安全でないパスワードに対するユーザーの処罰[終了]


13

安全でないパスワードを選択するユーザーの権利を制限することを考えています(長さによって決定されるパスワードの安全性、使用される文字の種類(大文字/小文字、数字、記号など)、および使用できるかどうか)レインボーテーブルにあります)、侵害された場合にアカウントが受ける損害を制限します。

このアイデアのアプリケーションはまだありませんが、フォーラムなどを書いています:1234をパスワードとして使用するユーザーは、投稿する前にキャプチャを入力するか、厳格なスパム対策の対象となる場合がありますコンテンツを拒否するタイムアウトまたはベイジアンフィルターとして。このフォーラムが非常に階層的であり、モデレーターまたは何らかの手段による「昇格」を許可する場合、これは、それらが特権を獲得するのを阻止するか、特権を持っていることを伝えますが、より安全なものに変更せずにそれらを行使させませんパスワード。

もちろん、これはセキュリティの唯一の尺度となることはできませんが、それ以外の場合は適切なセキュリティプラクティスの次にうまくいくかもしれません。

どう思いますか?これは無理をして、より重要なセキュリティ慣行からフォーカスを奪い取っているのでしょうか、それともリスクを制限し、ユーザーに安全なパスワードの使用を促す良い方法ですか?


24
不適切なパスワードを持つユーザーがシステムにまったくアクセスできないように制限できる場合、この利点は何ですか?
ピート

12
ほとんどの人は、あなたがどんな制限を課しても「letmein」を使い続けるでしょう。パスワードを作成/変更するときにパスワードルールを施行するかしないか。
ジョンStraka

3
@カーソン・マイヤーズ:Cat6ケーブルでそれを作るのではなく:D
Piskvorは建物を去りました

13
まず、何のユーザー?フォーラムに投稿された画像を表示するためにログインが必要なウェブサイトにうんざりしている場合、パスワードに数字と特殊文字、アンダーラインと数字なしの10文字の大文字と小文字を混在させる必要があります。パスワード要件を値に比例させる保護されたデータの。
SF。

6
フロリダでは、ケーブルテレビの請求書の支払いが遅れた人は、1つのチャンネルに制限されることがありました。CSPAN。彼らのために働いた。<shrug>
マイクシェリル 'キャットリコール'

回答:


35

YAGNIKISSDRY10秒ルール、および 「[u] sers do n't care you」は、おそらく1つの解決策に絞り込むべきです:しないでください。

  • 信頼性が高く安全であるためには、多くのテストが必要になる開発作業が増えます。
  • それはおそらくあなたがそれを見るどんな方法でもサイトのセキュリティを低下させます。ひどいパスワードを使用して権限を昇格させるバグが発生する可能性は大きすぎます。
  • 開発者、テスター、メンテナー、DBA、システム管理者、ユーザーの複雑さが増します。
  • 複雑さが増すほど、何らかの形で自分自身を繰り返すのを避けるのが難しくなります。
  • ユーザーには、情報を読んでフォローアップするための注意力がありません。それらは、何らかの理想的なレベルに達するまでではなく、入力を受け入れるまで登録フォームを微調整するために使用されます。
  • ユーザーは気にしません。

強い点、すべて、多分DRYを除く。なぜ乾燥するのですか?また、それはする必要がないという複雑、全体の「MODへの推進」などは、単にいくつかの余分な例でした。ほとんどのWebサイトはすでに安全でないパスワードを検出しており、多くの一般的なプラットフォーム(Wordpressが思い浮かぶ)はすでに安全でないパスワードで登録できるので、これらのユーザーにcaptchaを追加すると、これらの懸念がすべて生じますか?それは迷惑かもしれませんが、他の選択肢はユーザーを完全に追い払うか、またはそれらを入れてより多くのスパムを危険にさらします。例えば。
カーソンマイヤーズ

3
+1リンクを使用するために。良いサイトは良いです。UI / UXサイトにとって皮肉なことにい。
StuperUser

4
+1 Forユーザーはあなたを気にしません。愚かなブログ/ Q&Aサイトであり、複雑なユーザー名/パスワードのコンボを覚えなければならない場合は、単に使用しません。
-ElGringoGrande

@ElGringoGrande「すべてのパスワードを許可する」と「すべての不正なパスワードを拒否する」の中間地点として、それぞれの方法を採用しているサイトがたくさんあるので、必ずしも愚かなことを提案しているわけではありません。しかし、それはうまくいきません、ハハ
カーソン・マイヤーズ

13

登録の変更時に安全なパスワードを強制するか、OpenIdを使用します(Jeff Atwoodの2c:http : //www.codinghorror.com/blog/2010/11/your-internet-drivers-license.html)。次に、より興味深い機能に集中します。

一つには、ユーザーは安全なパスワードの作成を強制されたり、OpenIdを使用したりすることに慣れているため、簡単です。


OpenIdはこの種のことには優れていることに同意しますが、ほとんどのユーザーはこれらのいずれかに慣れていると考えることに偏っているかもしれません。私が知っているほとんどの人はOpenIdを聞いたことがなく、さらに安全でないパスワードを使用しています
カーソンマイヤーズ

1
いい視点ね。SEの前はOpenIdを使用していませんでしたが、複雑さが足りないためにパスワードが拒否されていました。シンプルで安全なものを維持することである場合、ユーザーを教育する責任はあなたにあるとしても、セキュリティが最初になります。パスワードの複雑さに基づいて責任について教育するために努力する必要があります。それを使用して、セキュリティ/一般的なログインの促進で教育することをお勧めします。
StuperUser

共通のログインが理想的ですが、アプリケーションが本質的に技術的でない場合、ユーザーの大部分は同じパスワードを使用することを選択します(使用できない場合はそのままにします)。私の例では、パスワードを拒否することでユーザーを追い払うべきなのか、それとも視覚的な体験を与えるべきなのか疑問に思っています(あなたの悪いパスワードがわからないので、私たちはあなたにそれをさせることはできません)アカウントが侵害された)不正なパスワードによって作成された問題を表示する
カーソンマイヤーズ

ほとんどのユーザーは、facebookまたはhotmailまたはGmailアカウント(多くのサイトで資格情報を取得するにはメールアカウントが必要です)を持っているため、これらをサインアップ/ログインに使用すると便利な場合があります。
StuperUser

私は等の接続Facebookのを忘れてしまったと思います
カーソンマイヤーズ

12

そもそも悪いと感じるパスワードを許可するのはなぜですか?ソースで問題を停止すると、どのクラスのパスワードがどのロールにマッピングされるかを把握しようとする設計時間を大幅に節約できます。定義上、管理者には完全な権限があるため、管理者は自分を制限するパスワードを入力しないようにするための機能がすでに必要です。

私の答えは本当にKISSに帰着します。


1
これは解決策ではありません。これにより、ユーザーはセキュリティポリシーをさらに破綻させる対策を採用する傾向があります。
-deadalnix

@deadalnixどうですか?私は必要である私の考えは、より多くの刺激を引き起こすかもしれない理由の例を提供しながら、彼はただ、全体的なアイデアを断念し、ちょうど悪いパスワードを拒否するように言っていると思う
カーソンマイヤーズ

@deadalnixどういう意味ですか?ユーザーは安全なパスワードに対するどのような対策を採用しますか?
StuperUser

7
@StuperUser:これは、最も注目すべきことです。ある脆弱性から別の脆弱性に切り替えます。
Piskvorは、建物の左

1
@StupidUser:ユーザーがすべてのサイトで同じパスワードを再利用していて、数字が含まれていないため「mypassword」は受け入れられないと言われた場合、「mypassword1」
elwynを

7

ユーザーとして、それはおそらくあなたのサイトを使用しないように私を説得するでしょう。真剣に言って、私の銀行は、6桁のコードはオンラインバンキングにとって完全に安全だと言っていますが、あまり知られていないブログにコメントを書きたいときは、少なくとも8文字以上の一意のパスワードを覚えておく必要があります-小文字、ユニコ​​ード、特殊文字、ギリシャ文字またはキリル文字の記号。これらは、Unicodeシーケンスを暗記する場合にのみ入力できます。そして定期的に変更してください。

誤解しないでください、セキュリティは重要です。しかし、誰かがあなたのサイトへのアクセスを得るためにパスワードを解読しようと信じる本当に強力な理由がない限り、あなたのユーザーを困らせるべきではありません。サイトがたまたまFBIネットワークへのVPNアクセスを提供している場合は、いらいらしてください。しかし、メールアドレスを知っている人がサインアップできるユーザーフォーラムの場合、本当に重要なのは何ですか?


1つは、コミュニティサイトについて話している場合、スパムが問題になる可能性があります(実際に私が参加したいくつかのプロジェクトにありました)。IMOはパスワードを完全に拒否するように多くのユーザーを追い払うでしょう。そして、キャプチャを使用してスパムを緩和する場合(珍しくありません)、それを引き起こす可能性のあるユーザーに迷惑をかける方が良いでしょうか?
カーソンマイヤーズ

また、私はあなたが小さい場合に試みられた侵入を得ることが稀であるという一般的な誤解だと思います。私は小規模から中規模のオンラインコミュニティに参加しており、常に問題でした。このServerFaultの質問はそれをサポートしているようです
カーソンマイヤーズ

5
なぜスパマーは短いパスワードを使用するのですか?新しいアカウントを作成するだけで、他の人のパスワードを解読しようとするのはなぜですか?ここでは、長いパスワードの利点は見当たりません。
ニキエ

前と決めたが、それがないだけでなく、それは...そうです:)精査に立ってどのように見ている間、私は見当がつかない、私はちょうどそれを少しを思い付いた
カーソンマイヤーズの

1
安全でないデータを含むサイトに不必要なセキュリティを作成するというこのアイデアを実装することさえ考えていることの愚かさを指摘しているので、私はあなたの答えがとても好きです。
タンディ

6

より良い解決策:スマイリーフェイス。

私は真剣です!「ナッジ:健康、富、幸福に関する決定の改善」のような行動経済学の本を読んで、いくつかのことを確信させられました。

  1. すべての人に賢明な決定を強いることはできません。
  2. 人々は自由に選択したいのですが、多くのオプションが好きではありません。
  3. ただし、単純なトリックを使用することで、選択を大幅に改善できます。

これらの原則は、次のようにあなたの状況に当てはまると思います。

  1. 安全でないパスワードに基づいてユーザーを制限すると、多くの場合、ユーザーを苛立たせて混乱させることになります。作業。"
  2. パスワードを作成するとき、ユーザーは特殊文字などの使用可能なすべての可能性のリストを見る必要はありません。エントリが要件を満たさない場合にのみ複雑さを追加することを示唆する小さなポップアップを表示する方が良いでしょう。
  3. 人々は社会的な手がかりに強く影響されます。私たちが自分の行動を承認していることを示す幸せそうな顔や、そうでない場合は眉をひそめているような小さなものでさえも。一部の優れたデザインのWebサイトでは、ユーザーが(提案された)パスワードと確認を入力すると、色が「十分でない」の「赤」から「良い仕事の緑」に変わる色付きの進行状況バーが表示されます。このUIは、標準を満たすための社会的圧力を与えます-バーを緑に変えるか、眉をひそめます。色が変わります。

2
私の最初の考えは、パスワードにスマイリーフェイスを使用するようユーザーに要求することを提案しているということでした。
アスラム

4
@aslum:実際、パスワードに含まれるスマイリーはそれほど悪い考えではありません。それらのほぼすべてが英数字以外の文字で構成されているので、弱いパスワードの最後に:)を追加するだけで、検索スペースを増やすだけで非常に強力になります。
フレイジャー

@afrazier:これが一般的な慣行になり、キャラクターのリストに追加できない場合を除きますか?
serv-inc

4

積み上げてはいけないが、まだ言及していない「悪い考え」の下にこれを提出する別の理由を考えた-カスタマーサポート。

これが顧客サポート担当者の背後にいる製品である場合、彼らはこれをあまり好きではありません。サポートの基本的な前提の1つは、ユーザーエクスペリエンスを理解し、予測できることです。通常のユーザーを支援している場合、ページ1、3、4へのリンクがあり、X、Y、Zを実行できます。など

今、あなたは彼らが追跡しなければならない別の変数を彼らに与えています。ユーザーに4ページへのリンクが表示されない場合、それはユーザーが何か愚かなことをしたからでしょうか?それとも、パスワードが悪口で、システムがページ4へのアクセスを拒否することでそれらを罰しているからでしょうか?待って...がらくた、不正なパスワードに対する罰の1つへのアクセスを拒否していますか、それとも5ページを考えていますか?ちょっと見てみましょう...大丈夫、大文字と小文字が混在しないパスワードでは、偶数ページへのアクセスは許可されますが、読み取り専用に制限されていると言っています...大丈夫、サー、パスワード、すべて大文字で構成されていますか、それともすべて小文字で構成されていますか?場合。文字を入力するときは小文字です。シフトを使用すると、大文字になります。パスワードに大文字小文字を混ぜましたか?システムへのログインに使用したパスワード。使用したばかりのもの。さて、[編集]に移動し、[設定]、[セキュリティ]の順に選択します。[保存されたパスワード]を選択します...いいえ、こちらからパスワードが表示されません。...

うん。これをしないでください。


2

パスワードを制限するか、ユーザーに脆弱なパスワードのリスクを知らせます。ユーザーが自分のデータを気にしないのであれば、他のユーザーへのアクセスを制限したいかもしれません。不注意なパスワード慣行に従う人が除かれれば、ユーザーはより自信を持つかもしれません。キーボードの下の付箋紙やラップトップにテープで貼り付ける場合、強力なパスワードを要求するポイントは何ですか(そのようなものを作成することはできません。私はそれを見ました)。


私の質問の一部は、ユーザーが貧弱なパスワードを使用した場合のユーザー同士の影響を制限することでした。この長い議論の後、それは価値がないようです。それでも、おもしろいと思います。
カーソンマイヤーズ

2

そして、レインボーテーブルに配置できるかどうか

私はあなたが辞書ではなく、レインボーテーブルを意味すると思います。辞書攻撃は、辞書のすべての単語がパスワードと一致する場合にテストするだけで機能します。この攻撃は、5回試行し、x分間ブロックすることで修正できます...

レインボーテーブルは、パスワードをハッシュし、攻撃者がハッシュを知っている場合にのみ使用されます。それがちょうど「12345」または類似のものであった場合、彼はレインボーテーブルでハッシュを見つけることができるかもしれません。

往復を完了するために:レインボーテーブルを役に立たないようにするには、パスワードをソルトする必要があります。そして、すべてのパスワードに1つだけでなく、すべてのパスワードに一意のソルトを使用します。その場合、攻撃者はアクセスしたいアカウントごとに固有のソルトを含むレインボーテーブルを作成する必要があります。賢明な方法で、連結多重ハッシュアルゴリズムを使用してハッシュを強化し、1世代で0.5秒かかるようにすることができます。これを行った場合、あなたのウェブサイト上のアカウントにアクセスするのは何日も価値があります。おそらく、このアカウントにマッチするハッシュを生成する月になります。長くかかります。

ハッシュの時間について:ログインメカニズムの待機時間を500ミリ秒と考えてください。私はそれが許容範囲だと思います...(リマインダー:SSLに約1秒かかります)


はい、辞書を意味しました、ありがとう。そして、あなたは確かに他の形のセキュリティが必要であることを確かです
カーソンマイヤーズ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.