web-dev-qa-db-ja.com

未成年者が強力なパスワードを作成するためのガイド方法

私は学校で使用される10〜13歳向けのWebアプリケーションを設計しています。子供がアカウントを作成すると、パスワードを作成するように求められます。

子供たちに良いパスワードを発明するように導く方法を考え出すのに苦労しています。つまり、彼らが何か良いものを選ぶ可能性を高めるインタラクティブな段階的なプロセスが必要です。 「良い」とは、パスワードの推測(多くの可能なパスワード)に強く、記憶に残ることを意味します。特定のルールに準拠している場合は、強力なパスワードを想定しています。

私は以下について考えましたが、彼らはそれを無視するだろうと思います:

Print "Grab a book you like" 
Print "choose random chapter"
Print "Take the first four words and replace all I's with 1, all e's with 3 and all s with $ and type in what you get"
User types it in 
Print "Remember what you typed in, you will be asked for it in the future"

交換アドバイスはランダムに生成され、保存されません。

たぶん、パスワードの作成を偽装できるでしょうか?しかし、どうやって?

注:アカウント自体はそれほど重要ではなく、攻撃者が入力できるパスワードの数は3 /秒に制限されています。しかし、私たちが相談した2人の教師は、テキストパスワードは当面の間存在するため、このようなプロセスは貴重な学習機会であると考えています。

互換性のあるレガシーシステム(Windowsネットワーク)が原因で、テキストパスワードに悩まされています。

passwordeducationchildren
9
icehawk

パスワードの代わりに、パスフレーズはどうですか?クラブハウスに入るための秘密のフレーズを知る必要があるようなものです。

パスフレーズは、その長さの性質上、ハッキングされにくい傾向があります。

http://xkcd.com/936/

http://xkcd.com/936/

10
nightning

最初は通常のパスワードフィールドを表示すべきだと思います。

(規則に従って)十分に安全なパスワードを思いついたユーザーは、追加の読み取りや、パスワード選択ウィザードさえも気にしないでください。

パスワード強度チェッカーを表示できます。安全性が不十分なパスワードを最初に使用することを決定したユーザーは、強度メーターを確認してパスワードを変更するときに再考する可能性があります。

彼らが終わった後¹パスワードの入力後、あなたはあなたの要件に適合しないパスワードを入力したそれらのユーザーに助けを提供することができます。

パスワード/パスフレーズ検索戦略に関する警告:

  • あなたの質問からの例のアドバイスは十分に安全ではありません。同じ自然言語の文(または同じページ)にある単語は、「ランダム」ではない可能性があります。キャラクター置換戦略はあまり一般的ではないので、効果がありません(そして、あなたがそれを提案したらすぐに、それはとにかく公共の知識と見なされるべきです)。

  • http://xkcd.com/936/ が提案するものと同様のパスワードを選択するためのアドバイスを提供することにした場合、一般的な単語はランダムにでなければならないことに注意してください選択しました!人間は4つの無関係な単語について考えるように要求するのに十分な安全性ではありません。人間はこれが非常に下手だからです(常にsome種類の接続を作る)。

一般的に、「本を探す」、「お気に入りのウェブサイトを閲覧する」、「日記の最初の8ページのそれぞれにある13.文字を選択する」などの具体的な戦略を提案することは単なる例であり、ユーザーがこれらに厳密に従うべきではないことを明確に伝えます(これらの例がいくつかあり、ランダムに1つだけを示している場合でも)。

なぜ安全なパスワードを使用することが重要であるかを説明するのが最善だと思います(あなたのアカウントに起こり得ることのような脅威、他の人はあなたに投稿します)名前など)、そしてhow攻撃者(他のユーザー、ブルートフォースを適用するコンピューター)がそれをクラックしようとする可能性があります。

適切な説明(および実際にそれを読んだユーザー)の場合、何を使用しないかを明確にする必要があります。ある意味のあるパスワード(自分の人生についての何か)他の人が知っている可能性のあるもの、変更された場合でも実際の単語、本に表示される可能性のある一連の単語、またはそれに何らかの意味がある単語など).

この説明だけで十分な場合があるため、ユーザーがもう一度試してみることができます。この時点でパスワードジェネレーターを提供します。たとえば、独自のcorrect horse battery stapleをランダムに生成し(十分な大きさのWordリストが与えられていれば、アプリケーションはこれで十分です)、それをパスワードとして使用することを提案します。 (覚えられる可能性を高めたい場合は、各単語に対応する画像を表示できます。)

passwordパスワードフィールドがフォーカスを失った後(ヘルプの表示/リンク)、またはフォームの送信後(ウィザードの表示)。

2
unor

私はxkcd.comの「正しい馬のバッテリーの定番」の例に頼ります。エントロピーの概念を取り入れます。計算時間と子供たちが単語をリンクする楽しい時間を過ごすでしょう:

"chocolate booger factory"; 
"mets rule yankees drool";
"teachers leave those kids alone";

中学生の子供たちが考えることができるものは何でも。

1
Mayo

私はただ1つの方法と考えることができます。つまり、パスワードを生成して、どこかにメモしてもらいます。デフォルトではこのオプションのみです。

人間に聞こえる必要があるので、フレーズや画像の組み合わせは不可欠です...

0
Alex Debkaliuk