1. Inicio
  2. Pregunta y respuesta
  3. ¿Cómo se aplican las contraseñas seguras?

¿Cómo se aplican las contraseñas seguras?

2008-10-03 12 views
9

Hay muchas técnicas para hacer cumplir las contraseñas seguras en el sitio web:¿Cómo se aplican las contraseñas seguras?

  • Solicitando que las contraseñas pasar una expresión regular de diversa complejidad
  • Configuración de la contraseña de forma autónoma, por lo que los usuarios casuales tienen una contraseña segura
  • contraseñas permitir que expiren
  • etc.

en las otras manos hay inconvenientes, porque todos ellos a hacer la vida más difícil para el usuario, mea menos registros.

Entonces, ¿Qué técnicas usas? ¿Cuáles proporcionan la mejor relación de protección frente a inconveniencias?

Para aclarar las cosas, no me refiero a sitios bancarios o sitios que almacenan tarjetas de crédito. Piense más en términos de sitios populares (o no tan populares) que aún requieren registro.

Fuente

2008-10-03 Sklivvz

Respuesta

25

No creo que sea posible aplicar contraseñas seguras, pero hay muchas cosas que puede hacer para alentarlas tanto como sea posible.

  • Tasa de cada contraseña y dar la retroalimentación de los usuarios en forma de una puntuación o una barra gráfica, etc.
  • Establecer una puntuación mínima de contraseña para eliminar a los terribles los
  • tener una lista de palabras comunes que son ya sea prohibido, o la contraseña del tanque puntuación

Una excelente truco que me gusta usar es tener fecha de caducidad de la contraseña vinculada a la puntuación de la contraseña. Por lo tanto, las contraseñas más fuertes no necesitan cambiarse con tanta frecuencia. Esto funciona bien si puede darles a los usuarios información directa sobre cuánto tiempo durará la contraseña que han elegido (y actualizarla dinámicamente para que puedan ver cómo la adición de caracteres afecta la fecha).

Fuente

2008-10-03 17:19:16 Dan

+0

¡Realmente me gusta el truco! – Sklivvz

+0

Esa es una gran idea. Gracias por compartir. – Rich

+0

Gracias;) Funciona mejor si realmente no necesita aplicar una política de cambio de contraseña (para que pueda legítimamente permitir contraseñas suficientemente fuertes como para no caducar nunca), simplemente úsela como un palo para incentivar a los usuarios a elegir unos. Con la interfaz de usuario correcta, ¡funciona realmente bien! – Dan

1

La mejor manera realmente depende de su sitio y lo que está utilizando. Pero la forma ideal es hacer todo lo que pueda del lado del cliente antes de enviarlo. Usar RegEx es una buena manera. Si puede hacer que no tengan que volver a enviar el formulario, eso es ideal.

Fuente

2008-10-03 17:16:52 Tom

8

No aplique nada ... si no está protegiendo la información financiera o algo igualmente importante, entonces no haga el usuario elija una contraseña segura.

Tengo la misma contraseña débil en una gran cantidad de sitios que requieren registro para foros, etc. Realmente no me importa si alguien adivina y puede publicar mensajes como yo (y no creo que haya mucha motivación) para que alguien lo haga). Lo que no puedo hacer es recordar diferentes contraseñas seguras para una docena de sitios y realmente no quiero usar otra pieza de software para administrarlos por mí.

El mejor compromiso sería mostrar algún tipo de retroalimentación al usuario sobre qué tan fuerte es la contraseña (en función de si es una palabra de diccionario, número de diferentes tipos de caracteres, longitud, etc.).

Fuente

2008-10-03 17:17:08

+0

@Rob Walker: La triste realidad es que 1 usuario de 7 elige su nombre de usuario como contraseña.Tan pronto como haya * algo * en juego en el sitio (incluso cosas sin valor monetario), las personas * se quejarán si su cuenta es pirateada. Tenía esto suceder en un sitio de usuario de 100k. :-( – Sklivvz

+0

Hmm ... Acabo de iniciar sesión en Bank Of America usando RobWalker: RobWalker. J/k, por supuesto. ;-) – Kip

+0

Me gusta cuando una aplicación me pide una contraseña, y muestra lo fuerte que es con un poco de barra/escala y una breve representación textual (es decir, débil, promedio, fuerte, solo se puede romper por el servicio secreto, etc.). Alienta el uso de una contraseña segura, incluso para un usuario promedio. Upvote. – OregonGhost

1

en dejar que las contraseñas caducan, hay dos problemas notables con la práctica:

  • usuarios les resulta más difícil recordar sus contraseñas actuales, y por lo que son más propensos a hacer cosas tontas como escribirlas en una post-it pegado a su monitor.
  • Los usuarios no generan una contraseña nueva, fuerte y no relacionada en cada intento. La mayoría de las veces utilizan algún esquema para generar una contraseña similar a la anterior. Por lo tanto, si un atacante obtiene una contraseña anterior, todavía es bastante fácil para ellos deducir una nueva.

EDIT: cual no quiere decir que esté en contra de la idea, pero sólo que esta debe ser considerada junto con otros factores.

Fuente

2008-10-03 17:18:14

+0

Don ' ¡retrocede, haz un punto y sé el dueño! Para el registro, estoy de acuerdo. Si está ejecutando un servicio que la gente va a iniciar sesión esporádicamente, entonces forzarlos a cambiar su contraseña cada vez es simplemente una molestia innecesaria. – Dan

2

Por qué hacer cumplir ella?

He encontrado que un "medidor de intensidad de la contraseña" (una barra que indica la fuerza de contraseña a medida que escribe) es por lo general una buena medida no intrusiva. Hace que aquellos que se preocupan por la seguridad tengan una conciencia culpable por la debilidad de la contraseña, pero no frustre a los que no les importa tanto.

Además, hay un profundo ensayo sobre why periodic password change policy is a bad idea with today's threat model.

Fuente

2008-10-03 17:20:48

+0

¡Gracias por el enlace! El concepto "debe cambiar las contraseñas cada X días" ha demostrado ser excepcionalmente difícil de dejar. –

2

Según mi experiencia, depende en gran medida del tipo de sitio, como dijiste.

Si va a crear un banco o sitio web financiera, entonces los usuarios suelen entender si usted tiene una contraseña más segura, ya que sus datos personales que pueden estar en riesgo.

Sin embargo para los sitios que normalmente no contienen una gran cantidad de información personal que una simple contraseña va a estar bien. Pueden ser menos propensos a piratear los intentos, y no obtendrían nada que valga la pena de todos modos.

También he descubierto que la mayoría de las personas también parecen tener un par de contraseñas que usan a menudo. Uno siendo complejo, y otro siendo simple. Por lo tanto, solicitar que usen una contraseña compleja generalmente no evitará que las personas se registren.

Nunca he encontrado que las contraseñas que caducan funcionen correctamente. Como dije antes, muchas personas ya tienen un par de contraseñas que usan con frecuencia, por lo que pedirles que salgan de esto solo para su sitio puede hacer que no quieran regresar.

Fuente

2008-10-03 17:23:22 AaronS

0

nunca he visto este hecho, pero parece que funcionaría maravillosamente: la página de creación de contraseña podría tener una lista expandible de la, digamos, los 50 más common passwords, obligando al usuario a desplazarse un poco antes de escribir su contraseña. Esto, combinado con la sugerencia de Checkers, haría mucho para evitar elecciones descuidadas.

Sin embargo, resolver el problema de evitar la reutilización de contraseñas ... no hay pista.

Fuente

2008-10-04 17:37:20 pookleblinky

Cuestiones relacionadas

 Cuestiones relacionadas