web-dev-qa-db-ja.com

ユーザーに強力なパスワードを選択させるための最良の方法は何ですか?

ほとんどのユーザーは弱いパスワードを使用しています。機密情報を保存するサービスであっても、弱いパスワードを使用する可能性があります。パスワードが推測されたり、強引に強制されたりすることを彼らが信じていないからだと思います。しかし、それが起こった場合、彼らは激怒するかもしれません。この混乱を避けるために、非常に強力なパスワード要件を作成します。

強力なパスワードを選択する必要があるため、ほとんどのユーザーが静かに不満を感じている可能性があることを理解しています。

私は次のようなツールチップについて考えました:

私たちのサービスは機密データ用です。あなたのパスワードはあなたのデータへの門です。攻撃者がパスワードを推測またはブルートフォースで攻撃できる場合、攻撃者はあなたのアカウントにフルアクセスできます。それは過去に他のサイトで何度も起こりました:
[最大のパスワードリーク(Sony、Citigroupなど)の年表はこちら]

ユーザーに強力なパスフレーズを選択して覚えさせるための最良の方法は何ですか?

編集:パスワードメーターを使用するように勧められました。
たとえば、私のパスワード要件は5つのルールで構成されています。次のメーターについて考えます。ユーザーが入力を開始すると、5つのルールすべてが赤でパスワードフィールドの横に表示されます。ユーザーが何らかの規則に該当するパスワードを入力するとすぐに、この規則はこの領域から消えます。 5つのルールがすべて満たされるとすぐに、「強い!」ルールの代わりに緑色で表示されます。

ただし、パスワードメーターを使用しても、ユーザーがそのような強力なパスワードを使用する必要がある理由はわかりません。それらにそのような情報を提供する必要がありますか?はいの場合、どのような形ですか?強力な最小パスワード要件のために、ユーザーを不満にしない方法はありますか?

ユーザーのパスワードが攻撃者に推測された場合、ユーザーがアプリケーション開発者に強力なパスワードの使用を強制しなかったと非難する可能性は何ですか?

user-behaviorpasswordsecurity
53
Andrei Botalov

サイトでは、パスワードフィールドの横にパスワードの強度(弱い中程度の非常に強い)が表示されることは珍しくありません。

あなたがこのようなことをした場合-代わりに、「解読までの時間」、パスワードが解読される(任意の)推定時間、およびいくつかの解説を表示します。

[password      ]  Cracked in: 1 minute 
                  You've selected one of the 10 top poor passwords used online

[password16    ]  Cracked in: 5 minutes
                  A simple numeric suffix on a common password adds little safety.

[mummyDearest  ]  Cracked in: 12 days
                  Using a pair of words from a standard dictionary has medium security.

[GonatfItbolwm ]  Cracked in: 8 years
                  No dictionary words plus mixed case, strong security

欠点は、これを十分に迅速に実行するアルゴリズムの複雑さが、機能の価値よりも高い場合があることです。

51
Bevan

どのようなパスワードを選択するかを私(ユーザー)に指示することほど厄介なことはありません。 このような煩わしさの良い例は、このサイトのログインシステムです

「123456」や「password」などのパスワードを自動的に防止することには利点がありますが、非常に強力なパスワードを強制しない理由は次のとおりです。

  • システムが、ユーザーがログインせざるを得ないもの(企業ネットワークなど)でない限り、ユーザーはシステムを離れて別の場所に移動する可能性が非常に高くなります。

  • ユーザーは間違いなく付箋に強制パスワードを書き留め、それをコンピューターの画面に貼り付けるか、オープンテキスト形式で自分に電子メールで送信します。安全のためにどうですか?

  • ユーザーは、Webブラウザーに自動的にパスワードを記憶させる可能性が高くなります。これは非常に危険です。ある意味Webブラウザは完全な形式のパスワードを(ある意味でスクランブルされた)テキスト形式で格納しますが、それでもトロイの木馬やワームの攻撃に対して非常に脆弱です。

  • ユーザーに強力なパスワードを設定させても、システムには弱いリンク、つまりユーザーが制御できないユーザーのメールアカウントがあり、ユーザーのパスワードは、ユーザーが強制するほど強力ではないことを保証できます。作る。

  • 銀行でない限り、パスワードの強度をすべて必要とするサイトにログインするのはかなり面倒です。ユーザーエクスペリエンスについて考えてみましょう。

  • したがって、強力なユーザーパスワードを指示するようにシステムを設定した場合でも、企業の従業員の1人がラップトップを暗号化されていない、または保護されていないデータで開いた状態で開くと、機密性の高いユーザー情報の実際の「漏洩」が組織内から発生する可能性があります。形。または、弱い内部ファイアウォールは、知らないうちにメガバイトの保護されていないデータを漏らすいくつかの熟練したハッカーの攻撃とは一致しません。これは過去に何度も何度も起こったことであり、これはあなたが心配すべきものです。

そして最後に、起こり得るユーザーの主張から「お尻」を保護することをお勧めします。

  • ユーザーが好きなほとんどのパスワードを選択できるようにします。 「123456」や「password」などの明らかに最も悪いパスワードやすべてのスペースを拒否するように自動システムを設定します。

  • 自動システムをセットアップして、ユーザーのパスワードの複雑さをチェックし、ユーザーが弱いパスワードをセットアップし、ユーザー自身のリスクでこれを行っていることを示す目に見える警告を発行しますが、LET USERは好みのパスワードで続行します。

たとえば、「mycat81」などのパスワードは弱いものと見なしてはなりません。このようなパスワードが強制パスワードよりも優れている理由は次のとおりです。

  • ユーザーはそれを記憶し、それを書き留めておらず、自分の机の上に置いておく可能性があります。

  • ユーザーはログインプロセスに煩わされず、システムに「複雑」または「使いにくい」というラベルを付けます。

  • 忘れてしまったパスワードのリセットやキャンセルや問題に対処するための営業担当者のテクニカルサポート担当者への支払いが少なくなります。

38
ahmd1

興味深い 使用可能で安全なパスワードの作成に関する記事 は、 "this is fun"は、 "J4fS <2"などの数字と文字の暗号化された組み合わせよりも10倍安全です。

問題の根本は、 "J4fS <2"などのパスワードがユーザーにとって覚えにくいことだと思いますしたがって、これらの種類のパスワードを設定するように強制すると(そして、後で覚えられない場合にも)迷惑になります。

上記のように、文章ベースのパスワードの使用を奨励することができます。この種のパスワードの例を提供する場合は、例のパスワードが使用されていないことを確認してください。

12
Pau Giner

ウィキペディアは、「人々は、満足のいくパスワードを生成するのに十分なエントロピーを達成することで悪名高く過失しています」と述べています。 (http://en.wikipedia.org/wiki/Password_strength#Human-generated_pa​​sswords)

パスワードメーターもあまり信頼できません。彼らは通常、非常に良いパスワード(ランダムに生成された長いランダムな小文字で、スマートフォンで簡単に入力できる)を使用できないようにする一方で、弱いパスワードを多く許可するルールを持っています。

一方、パスワードが複雑になるほど、ユーザーがパスワードをモニターの付箋などのわかりやすい場所に書き留める可能性が高くなります。

パスワードの強度に関係なく、ユーザーが複数のシステムでパスワードを使用すると、それらの他のシステムを介した攻撃にさらされることになります。

ユーザーが強力で一意のパスワードを使用していることを確認する1つの方法は、ユーザー用のパスワードを生成するか、少なくともそうするための特定の手順をユーザーに提供することです。その間、パスワードを覚えやすく、または入力しやすくします。

私は通常、LastPassを使用してWebパスワードを追跡および生成します。私はこれらのパスワードを処理する必要がないため、非常に長いパスワードを生成させます。 (パスワードの長さを制限しているサイトを失礼に見てください!)

覚えやすいパスワードが必要なときは、ダイスウェアを使います。または、ユーザーにダイスウェアを指定することもできます。あなたはあなたのユーザーのためにダイスウェアスタイルのパスワードを生成することができます。

セキュリティが非常に重要な場合は、2要素認証を検討してください。

10
Jay Bazuzi

パスワードの議論は、エントロピー、ルール、および付随するユーザーエクスペリエンスの問題に関する議論に急速に発展します。ユーザーにアドバイスする最善の方法を決定する前に、前もって考えておくべき2つの簡単な質問があると思います。

  1. なぜあなたはアイデンティティ管理のビジネスに入る必要があるのですか?私たちは「 すべてのサイトに1つのパスワード "を使用します。ユーザーがサイトで新しい認証情報/アイデンティティを確立する必要がある非常に説得力のある理由がない限り、これを主要なプレーヤー(openid、Twitter、facebook、google ..)に委任します。開発努力の面で不利な点はありません(おそらく時間が経つとコストが下がります)。そして、パスワードの問題は解消されます。登録の手間も大幅に軽減されるため、登録数が増える可能性があります。 JanRain Engage のようなツールを使用すると、開発者が複数の認証スキームをサポートするのが非常に簡単になります。

  2. 部屋の象は、パスワードの整合性に関しては、「複数のサイトで同じパスワードを使用しない」という単純なルールです。残念ながら、パスワード強度メーターはこれを考慮できません。ただし、(a)各サイトに一意であるがお粗末なパスワード、および(b)すべてのサイトで使用する非常に強力な単一のパスワードを選択すると、(a)断然最良です。

したがって、本当に独自の認証およびID管理スキームをセットアップする必要がある場合は、パスワードアルゴリズムのウィキペディアになろうとしないことで、ユーザーのために最善を尽くします。 「このサイトに固有のパスワードを作成してください」という単純なメッセージに焦点を当てただけの場合でも、あなたは善の世界を行うことになります。パスワードの強度メーター、パスワードの作成方法などに関するアドバイスは、このメッセージのIMHOに少し時間がかかります。

ところで、これはパスワードhaystacksをテストするための good site です(「Hello World」がアルゴリズム的に「23cd1234234」よりもメガ桁安全であることを証明できます)。

5
tardate

はい、ルールをユーザーに提供する必要があります-パスワードを改善する方法を知らなければ、パスワードが十分ではないと言われるのは非常にイライラします。 N個の文字が必要で、そのうち2つの数字と3つの記号が必要な場合は、そのように言って例を示します。

非常に強力なパスワードが実際に必要な場合は、適切なパスワードジェネレーターへのリンクを提供してください。キーボードを叩くだけではランダムさは生じません。また、パスワードを提供した場合、ITの誰かがそれを知ってしまう可能性があり、目的を達成できなくなることも説明します。

4
Melanie

パスワードのセキュリティの問題は、次の問題に分類できます。

  1. ユーザーが 安全なパスワードを選択する を妨げないこと。
  2. ユーザーの複雑さとその背後にある意味を示します。
  3. 安全で覚えやすいパスワードをユーザーが選択できるようにします。
  4. パスワードの漏洩防止。
  5. パスワードのハッキングを防止します。

問題ごとのポイント:

  1. ユーザーが安全なパスワードを選択できないようにする:

    • ユーザーに長いパスワード(8〜50文字)を選択させ、特殊文字を選択させます。
    • ユーザーが別のマシンでパスワードをレンタルできない可能性があるため、標準にない文字を含むパスワードを受け入れないASCII 32..126のセット(「」から「〜」まで))またはキーボード。
    • パスワードが長いほど、文字タイプとしての複雑さが少なくなります。

  2. ユーザーに複雑さを示す:

    • 複雑さのインジケーター(長さの関数、辞書の単語、文字のタイプ(小文字、大文字、数字、記号))を提供します。
    • アカウントがハッキングされた場合にどうなるかをユーザーに知らせます。

  3. 安全で覚えやすいパスワードをユーザーが選択できるようにする:

    • 覚えやすい安全なパスワードを考案する方法を提案します。
    • OPENIDを有効にする-ユーザーがサイトの1回限りの使用で複数のパスワードやパスワードを覚える必要がないようにします。

  4. パスワードの漏洩防止:

    • ユーザーが他の場所で使用したパスワードを使用しないことをお勧めします。
    • 安全なログイン(https)のみを有効にします。
    • 従業員がパスワードを尋ねることは決してないことをユーザーに通知します。

  5. パスワードのハッキングを防ぐ:

    • 特定のIPから連続して5つを超える障害を有効にしないでください。
    • 特定のユーザー名に対して、連続して5つを超える失敗を有効にしないでください。
3
Danny Varod

推測が難しいパスワードを選択したり、二要素認証などの方法を有効にしたりした顧客に報酬を与えます。サイトやビジネスによっては、機能への早期アクセス、無料の景品、さらには製品の割引などが含まれる場合があります。 (Mailchimpは 現在割引を提供しています 2要素認証をアクティブ化するためのものです。)

ユーザーに明確な利点がある場合、ユーザーは何か大変なことをします。ほとんどのユーザーにとって、覚えにくいパスワードを設定しても、現時点では具体的なメリットはなく、後で不安を引き起こすだけです。

2
Tom

ユーザーは長い情報を好みません(例:パスワード漏洩の証拠)。

このようなもので十分です password plugin 、誰も自分のパスワードメーターを弱く見たくないので。それはあなたのシステムよりも簡単です、あなたのシステムはおそらく視覚的な側面を改善するでしょう。

  • 最初のコメントとして、ウェブサイトが40歳以上の母親と父親向けである場合、彼らはあなたが「クラックされたパスワード」によって何を意味するかを決して知るつもりはありません。はい、知っています。しかし、そうではないので、あなたの情報はx%の顧客にとって役に立たないでしょう、それは正しくありません:)
1
NicoJuicy

ブルートフォースとセキュリティはユーザーの問題ではありません。それはサイト管理者の問題です。では、なぜユーザーは管理者の問題を解決する必要があるのでしょうか。

同じIPからのログインを10回に制限して、適切なパスワード復元メカニズムを作成してください。これで、ユーザーは任意のパスワードを使用できるようになり、サイトは保護されます。

ユーザーが覚えやすいパスワードが欲しい。誰もがパスワードマネージャソフトウェアを使用しているわけではありません。

0
webvitaly