ユーザーにパスワードに特定のパターンを使用させる
多くのWebサイト、特に政府のWebサイトでは、特定の基準に準拠したパスワードを使用するようユーザーに強制しています。たとえば、8〜13文字を使用し、少なくとも1つの整数と1つの大文字を使用します。特殊文字を使用することもあります。私はそのようなパスワードパターンに従うのはかなり難しいことを発見しました。従うと、覚えるのが非常に難しくなります。
私の質問は:サイトの一意のパスワードパターンを覚えておくというセキュリティ面と記憶する負担を考えると、ユーザーにパスワードパターンの制限を適用することは価値がありますか?
パスワードパターンに追加するすべての制約は、ユーザーにより多くの認知的負荷を追加します。また、パスワードを安全にするための制約も有効です。しかし、ユーザーが常に忘れてしまい、その結果として「パスワードを忘れた」ワークフローに再び当たるパスワードは、どれほど安全か。さらに、ユーザーがこのサイトですでに記憶している安全なパスワードを使用するオプションを最小限に抑えます。 少なくともユーザーの60%が行うこと 。
セキュリティの問題は煩わしいため、対処が特に困難です。私たちが作成した優れたツールを人々に提供したいだけですが、代わりにユーザーとアプリケーションの間に障壁を構築する必要があります。ユーザーは自分の身元を証明する必要があります。完全にサニタイズされていない限り、提供されたデータは信頼できません。
残念ながら、これは現実です。大量のWebトラフィックは本当に悪質で、機密データが盗まれます。通常、アプリケーションにサインインするには、ユーザー名(多くの場合、電子メールアドレス)とパスワードを入力するようユーザーに要求します。ユーザー名は人を識別し、パスワードはユーザー名を送信した人が実際にアカウントを作成した人であることを証明します。これが2つの仮定に基づく理論です。
パスワードは、それを作成した人の心の外には決して見えません。
ユーザー名とパスワードの両方を必要に応じてメモリから呼び出すことができます。
参考: パスワードの問題
それで、あなたは何をしますか?
ユーザーが自分の使い慣れたパスワードを選択できるようにするための最も一般的なパスワードを見つけてください。 (1)8文字以上の長さ、(2)大文字と小文字、(3)数字または!@#£¤$などの特殊文字が必要です。このパターンはかなり安全ですが、セキュリティの専門家やユーザビリティの専門家の間で疑問視されています。私のパターンが信頼できない場合は、ユーザーエクスペリエンスとセキュリティのスケールで判断してください。
しかし、決してこれをしないでください:
パスワードの文字を強制するべきではありません。代わりにパスフレーズを推奨する必要があります。これは、長い方がより安全で覚えやすいです。
これを説明しようとする代わりに、私は [〜#〜] xkcd [〜#〜] にそれをさせましょう:
あなたが言うようにパスワードパターンの強制は基本的に、ユーザーが 最適化されたパスワードを発明することを確実にする良い方法です忘れられた 。これは特に、非常に複雑なルールに当てはまります(最近出くわしたのは、パスワードに少なくとも1つの大文字、1つの数字、1つの特殊文字、8文字以上の長さ、2文字の組み合わせがないことを要求した... )。
セキュリティを強化することを目的としており、私はパスワードを紙に書き留めておき、覚えられないためワークステーションの横に置いておく場所で働いてきました。安全ですか?私はそうは思いません。ユーザーは自分がやりたいことを実行でき、適切な選択をするように「ガイド」される必要があると思います。
一般的なメカニズムは、相対的なパスワードの強度を決定するためにチェックが行われるパスワードフィールドの横に強度または良さのインジケータを表示することです。これにより、ユーザーにパスワードの選択に関する指示とアドバイスが提供されます。これの一般的な実装には、赤(不良)から緑(良好、強い)までの色付きボックスがあります。
別の解決策は、Googleのように OpenIDプロバイダー や stackexchangeサイト を使用することです。そうすれば、ユーザーは何も覚える必要がなくなり、通常はワンクリックでログインできます。
ユーザビリティとUXのコンテキストでは、これらの方法はどちらもパスワードパターンの適用よりも優れています。
ああ、そして私たちがパスワードについて話している間、何をするにしても、ユーザーのパスワードを8文字に切り詰めないでください。パスワードフィールドに8文字を超える文字が入力され、ユーザーがログインできることを期待している場合でも、これを行うサイトがあるとは信じられません。
興味深い質問です。ユーザーにかなり複雑なパスワードを作成するように要求すると、それを覚えるのが難しくなる可能性があることにも同意しますが、チャンスを与えられた人々は本当に弱いパスワードを作成することにも気づかなければなりません力または辞書攻撃)。これを引用するには article :
許可すると、ユーザーは、覚えやすい最も簡単で覚えやすいパスワードを選択します。これは、多くの場合、ユーザーの名前(おそらく逆)、ユーザー名、生年月日、電子メールアドレス、Webサイト名、辞書に載っていないもの、または「パスワード」です。漏洩した Hotmail および MySpace passwords の分析は、これが正しいことを示しています。ほぼすべての場合で、Webサイトは攻撃者の最初の標的であるため、ユーザーがこれらのタイプのパスワードを選択できないようにする必要があります。
とは言うものの、代替オプションは、ログインページの横にヒントボックスを提供することです。これにより、パスワードの予想されるレイアウトについてユーザーに通知します。
例えば。パスワードは8〜13文字で、少なくとも1文字の大文字と1つの特別な文字が含まれている必要があります。
私は これに関する同様の質問 をここに投稿しましたが、これは一見の価値があります。
これにより、使用したパスワードの種類がユーザーに通知され、正しいパスワードを入力するための出発点が提供されます。さらに ユーザーの約60%が複数のサイトで同じパスワードを使用していることを示しています sであるため、パスワードの構造に関して共通のポイントから始めると、パスワードをよりよく覚えやすくなります
セキュリティに関する議論では、リスク評価の概念を導入する必要があります。攻撃者がユーザーのパスワードを入手した場合、Webサイトまたはアプリを破壊できますか?攻撃者がユーザーのパスワードを入手した場合、無料のものを入手できますか?攻撃者がパスワードを入手した場合、ユーザーのお金にアクセスできますか?
「フォームは機能に従う」というコンセプトに魅力を感じていると思います。銀行口座には強力なセキュリティが必要です。残念ながら、これは強力なパスフレーズ(めったに実装されていない)または強力なパスワードを意味します。また、強力なパスワードは、大文字、小文字、数字、記号を組み合わせたもので、X文字より長くする必要があり、別のWebサイトなどで再利用しないでください。
これらのパスワードは使用が非常に困難です。実際のコンピューターで障害のない人には使いにくいです。失読症や学習障害のある人、片腕だけの人、またはタッチスクリーンキーボードを使用している人にとって、どれほど難しいか想像してみてください。
回避策の1つは、ユーザーに安全なパスワードを取得することを提案することです。その金庫に非常に強力なパスフレーズを使用するように依頼し、金庫を使用して短い強力なパスワードを生成するよう依頼します。 Lastpass 、 Keepass 、 Password Safe 、 1password を含むがこれらに限定されないソフトウェアおよび情報のソースへのリンクを提供するおよび Diceware 。
私がやろうとしていることは、ユーザーにパスワードを提案することです。彼はそれを受け入れる必要はありません。提案されたパスワードは、2つまたは3つの短いフレーズをランダムにつなぎ合わせたものです。フレーズは実際の単語ではありませんが、似ているため、ユーザーは簡単にパスワードを覚えることができます。通常は "動詞"と "名詞"の例(xkcdから取得):corekthorcebateristapli
もちろん、多用を避けるために、多分各単語の使用頻度で、大規模な辞書を最初に作成する必要があります...