安全でないパスワードに対するユーザーの処罰[終了]

安全でないパスワードを選択するユーザーの権利を制限することを考えています（長さによって決定されるパスワードの安全性、使用される文字の種類（大文字/小文字、数字、記号など）、および使用できるかどうか）レインボーテーブルにあります）、侵害された場合にアカウントが受ける損害を制限します。

このアイデアのアプリケーションはまだありませんが、フォーラムなどを書いています：1234をパスワードとして使用するユーザーは、投稿する前にキャプチャを入力するか、厳格なスパム対策の対象となる場合がありますコンテンツを拒否するタイムアウトまたはベイジアンフィルターとして。このフォーラムが非常に階層的であり、モデレーターまたは何らかの手段による「昇格」を許可する場合、これは、それらが特権を獲得するのを阻止するか、特権を持っていることを伝えますが、より安全なものに変更せずにそれらを行使させませんパスワード。

もちろん、これはセキュリティの唯一の尺度となることはできませんが、それ以外の場合は適切なセキュリティプラクティスの次にうまくいくかもしれません。

どう思いますか？これは無理をして、より重要なセキュリティ慣行からフォーカスを奪い取っているのでしょうか、それともリスクを制限し、ユーザーに安全なパスワードの使用を促す良い方法ですか？

YAGNI、KISS、DRY、10秒ルール、および 「[u] sers do n't care you」は、おそらく1つの解決策に絞り込むべきです：しないでください。

• 信頼性が高く安全であるためには、多くのテストが必要になる開発作業が増えます。
• それはおそらくあなたがそれを見るどんな方法でもサイトのセキュリティを低下させます。ひどいパスワードを使用して権限を昇格させるバグが発生する可能性は大きすぎます。
• 開発者、テスター、メンテナー、DBA、システム管理者、ユーザーの複雑さが増します。
• 複雑さが増すほど、何らかの形で自分自身を繰り返すのを避けるのが難しくなります。
• ユーザーには、情報を読んでフォローアップするための注意力がありません。それらは、何らかの理想的なレベルに達するまでではなく、入力を受け入れるまで登録フォームを微調整するために使用されます。
• ユーザーは気にしません。

登録の変更時に安全なパスワードを強制するか、OpenIdを使用します（Jeff Atwoodの2c：http : //www.codinghorror.com/blog/2010/11/your-internet-drivers-license.html）。次に、より興味深い機能に集中します。

一つには、ユーザーは安全なパスワードの作成を強制されたり、OpenIdを使用したりすることに慣れているため、簡単です。

そもそも悪いと感じるパスワードを許可するのはなぜですか？ソースで問題を停止すると、どのクラスのパスワードがどのロールにマッピングされるかを把握しようとする設計時間を大幅に節約できます。定義上、管理者には完全な権限があるため、管理者は自分を制限するパスワードを入力しないようにするための機能がすでに必要です。

私の答えは本当にKISSに帰着します。

ユーザーとして、それはおそらくあなたのサイトを使用しないように私を説得するでしょう。真剣に言って、私の銀行は、6桁のコードはオンラインバンキングにとって完全に安全だと言っていますが、あまり知られていないブログにコメントを書きたいときは、少なくとも8文字以上の一意のパスワードを覚えておく必要があります-小文字、ユニコ​​ード、特殊文字、ギリシャ文字またはキリル文字の記号。これらは、Unicodeシーケンスを暗記する場合にのみ入力できます。そして定期的に変更してください。

誤解しないでください、セキュリティは重要です。しかし、誰かがあなたのサイトへのアクセスを得るためにパスワードを解読しようと信じる本当に強力な理由がない限り、あなたのユーザーを困らせるべきではありません。サイトがたまたまFBIネットワークへのVPNアクセスを提供している場合は、いらいらしてください。しかし、メールアドレスを知っている人がサインアップできるユーザーフォーラムの場合、本当に重要なのは何ですか？

より良い解決策：スマイリーフェイス。

私は真剣です！「ナッジ：健康、富、幸福に関する決定の改善」のような行動経済学の本を読んで、いくつかのことを確信させられました。

1. すべての人に賢明な決定を強いることはできません。
2. 人々は自由に選択したいのですが、多くのオプションが好きではありません。
3. ただし、単純なトリックを使用することで、選択を大幅に改善できます。

これらの原則は、次のようにあなたの状況に当てはまると思います。

1. 安全でないパスワードに基づいてユーザーを制限すると、多くの場合、ユーザーを苛立たせて混乱させることになります。作業。"
2. パスワードを作成するとき、ユーザーは特殊文字などの使用可能なすべての可能性のリストを見る必要はありません。エントリが要件を満たさない場合にのみ複雑さを追加することを示唆する小さなポップアップを表示する方が良いでしょう。
3. 人々は社会的な手がかりに強く影響されます。私たちが自分の行動を承認していることを示す幸せそうな顔や、そうでない場合は眉をひそめているような小さなものでさえも。一部の優れたデザインのWebサイトでは、ユーザーが（提案された）パスワードと確認を入力すると、色が「十分ではない」の「赤」から「良い仕事の緑」に変わる色付きの進行状況バーが表示されます。このUIは、標準を満たすための社会的圧力を与えます-バーを緑に変えるか、眉をひそめます。色が変わります。

積み上げてはいけないが、まだ言及していない「悪い考え」の下にこれを提出する別の理由を考えた-カスタマーサポート。

これが顧客サポート担当者の背後にいる製品である場合、彼らはこれをあまり好きではありません。サポートの基本的な前提の1つは、ユーザーエクスペリエンスを理解し、予測できることです。通常のユーザーを支援している場合、ページ1、3、4へのリンクがあり、X、Y、Zを実行できます。など

今、あなたは彼らが追跡しなければならない別の変数を彼らに与えています。ユーザーに4ページへのリンクが表示されない場合、それはユーザーが何か愚かなことをしたからでしょうか？それとも、パスワードが悪口で、システムがページ4へのアクセスを拒否することでそれらを罰しているからでしょうか？待って...がらくた、不正なパスワードに対する罰の1つへのアクセスを拒否していますか、それとも5ページを考えていますか？ちょっと見てみましょう...大丈夫、大文字と小文字が混在しないパスワードでは、偶数ページへのアクセスは許可されますが、読み取り専用に制限されていると言っています...大丈夫、サー、パスワード、すべて大文字で構成されていますか、それともすべて小文字で構成されていますか？場合。文字を入力するときは小文字です。シフトを使用すると、大文字になります。パスワードに大文字小文字を混ぜましたか？システムへのログインに使用したパスワード。使用したばかりのもの。さて、[編集]に移動し、[設定]、[セキュリティ]の順に選択します。[保存されたパスワード]を選択します...いいえ、こちらからパスワードが表示されません。...

うん。これをしないでください。

パスワードを制限するか、ユーザーに脆弱なパスワードのリスクを知らせます。ユーザーが自分のデータを気にしないのであれば、他のユーザーへのアクセスを制限したいかもしれません。不注意なパスワード慣行に従う人が除かれれば、ユーザーはより自信を持つかもしれません。キーボードの下の付箋紙やラップトップにテープで貼り付ける場合、強力なパスワードを要求するポイントは何ですか（そのようなものを作成することはできません。私はそれを見ました）。

そして、レインボーテーブルに配置できるかどうか

私はあなたが辞書ではなく、レインボーテーブルを意味すると思います。辞書攻撃は、辞書のすべての単語がパスワードと一致する場合にテストするだけで機能します。この攻撃は、5回試行し、x分間ブロックすることで修正できます...

レインボーテーブルは、パスワードをハッシュし、攻撃者がハッシュを知っている場合にのみ使用されます。それがちょうど「12345」または類似のものであった場合、彼はレインボーテーブルでハッシュを見つけることができるかもしれません。

往復を完了するために：レインボーテーブルを役に立たないようにするには、パスワードをソルトする必要があります。そして、すべてのパスワードに1つだけでなく、すべてのパスワードに一意のソルトを使用します。その場合、攻撃者はアクセスしたいアカウントごとに固有のソルトを含むレインボーテーブルを作成する必要があります。賢明な方法で、連結多重ハッシュアルゴリズムを使用してハッシュを強化し、1世代で0.5秒かかるようにすることができます。これを行った場合、あなたのウェブサイト上のアカウントにアクセスするのは何日も価値があります。おそらく、このアカウントにマッチするハッシュを生成する月になります。長くかかります。

ハッシュの時間について：ログインメカニズムの待機時間を500ミリ秒と考えてください。私はそれが許容範囲だと思います...（リマインダー：SSLに約1秒かかります）