¿Cómo se hacen cumplir las contraseñas seguras?
https://stackoverflow.com/questions/167917
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Hay muchas técnicas para imponer contraseñas seguras en el sitio web:
- Solicitar que las contraseñas pasen una expresión regular de diversa complejidad
- Establecer la contraseña de forma autónoma, para que los usuarios ocasionales tengan una contraseña segura
- Permitir que las contraseñas caduquen
- etc.
Por otro lado, hay inconvenientes, porque todos ellos hacen la vida menos fácil para el usuario, lo que significa menos registros.
Entonces, ¿qué técnicas utilizas? ¿Cuál es la mejor relación entre protección y inconvenientes?
Para aclarar las cosas, no me refiero a sitios bancarios o sitios que almacenan tarjetas de crédito. Piense más en términos de sitios populares (o no tan populares) que aún requieren registro.
Solución
No creo que sea posible aplicar contraseñas seguras, pero hay muchas cosas que puede hacer para alentarlas tanto como sea posible.
- Califique cada contraseña y envíe comentarios al usuario en forma de puntaje o barra gráfica, etc.
- Establezca una puntuación de contraseña mínima para eliminar a los horribles
- Tenga una lista de palabras comunes que están prohibidas, o acumula la puntuación de la contraseña
Un truco excelente que me gusta usar es tener la fecha de caducidad de la contraseña vinculada a la puntuación de la contraseña. Las contraseñas más fuertes no necesitan ser cambiadas tan a menudo. Esto funciona particularmente bien si puede dar a los usuarios comentarios directos sobre cuánto tiempo durará la contraseña que han elegido (y actualizarla dinámicamente para que puedan ver cómo la adición de caracteres afecta la fecha).
Otros consejos
No aplique nada ... si no está protegiendo la información financiera o algo igualmente importante, entonces no haga que el usuario elija una contraseña segura.
Tengo la misma contraseña débil en una gran cantidad de sitios que requieren registro para foros, etc. Realmente no me importa si alguien lo adivina y puede publicar mensajes como yo (y no creo que haya mucha motivación para alguien que lo haga). Lo que no puedo hacer es recordar diferentes contraseñas seguras para una docena de sitios y realmente no quiero usar otra pieza de software para administrarlas por mí.
El mejor compromiso sería mostrar algún tipo de comentario al usuario sobre qué tan segura es la contraseña (en función de si es una palabra del diccionario, número de diferentes tipos de caracteres, longitud, etc.).
¿Por qué lo hace cumplir ?
Encontré que un " medidor de fuerza de contraseña " (una barra que indica la fuerza de la contraseña mientras escribe) suele ser una buena medida no intrusiva. Hace que quienes se preocupan por la seguridad tengan una conciencia culpable sobre la debilidad de la contraseña, pero no frustra a quienes no les importa tanto.
Además, hay un ensayo perspicaz sobre por qué periódico la política de cambio de contraseña es una mala idea con el modelo de amenaza de hoy .
Según mi experiencia, ha dependido realmente del tipo de sitio.
Si está creando un sitio web bancario o financiero, los usuarios generalmente entienden si tiene una contraseña más segura, ya que sus datos personales pueden estar en riesgo.
Sin embargo, para sitios que normalmente no contienen mucha información personal, una contraseña más simple estará bien. Pueden ser menos propensos a los intentos de pirateo, y de todos modos no obtendrían nada que valiera la pena.
También descubrí que la mayoría de las personas también parecen tener un par de contraseñas que usan con frecuencia. Uno es complejo y otro es simple. Por lo tanto, solicitar que usen una contraseña compleja generalmente no evitará que las personas se registren.
Nunca he encontrado que las contraseñas que caducan funcionen correctamente. Como dije antes, muchas personas ya tienen un par de contraseñas que usan con frecuencia, por lo que pedirles que salgan de este solo para su sitio pueden hacer que no quieran regresar.
La mejor manera realmente depende de su sitio y de lo que esté utilizando. Pero la forma ideal es hacer todo lo posible en el lado del cliente antes de que lo envíen. Usar RegEx es una buena manera. Si puede hacer que no tengan que enviar el formulario nuevamente, es ideal.
Al dejar que las contraseñas caduquen, hay dos problemas notables con la práctica:
- A los usuarios les resulta más difícil recordar sus contraseñas actuales, por lo que es más probable que hagan cosas tontas, como escribirlas en un post-it pegado a su monitor.
- Los usuarios no generan una contraseña nueva, segura y no relacionada en cada intento. La mayoría de las veces usan algún esquema para generar una contraseña similar a la anterior. Por lo tanto, si un atacante obtiene una contraseña antigua, todavía es bastante fácil deducir una nueva.
EDITAR: Lo cual no quiere decir que estoy en contra de toda la idea, sino que esto debe ser considerado junto con otros factores.
Hay una herramienta Ajax, PasswordStrength, que le dará al usuario una idea si su contraseña es buena. Me gusta porque no tiene que prohibir la creación de una contraseña.
http://www.asp.net/AJAX/AjaxControlToolkit /Samples/PasswordStrength/PasswordStrength.aspx
Nunca he visto esto hecho, pero parece que funcionaría maravillosamente: la página de creación de contraseña podría tener una lista expandible de, por ejemplo, los 50 más contraseñas comunes , lo que obliga al usuario a desplazarse hacia abajo un poco antes de escribir su contraseña. Esto, combinado con la sugerencia de Checkers, haría mucho para evitar decisiones descuidadas.
Sin embargo, resolviendo el problema de evitar la reutilización de contraseñas ... no tengo idea.
