Comment appliquer des mots de passe forts?
https://stackoverflow.com/questions/167917
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Il existe de nombreuses techniques pour appliquer des mots de passe forts sur le site Web:
- Demander aux mots de passe de passer une expression rationnelle de complexité variable
- Définition du mot de passe de manière autonome, afin que les utilisateurs occasionnels aient un mot de passe fort
- Laisser les mots de passe expirer
- etc.
D'un autre côté, il y a des inconvénients, car ils rendent la vie moins facile pour l'utilisateur, ce qui signifie moins d'enregistrements.
Alors, quelles techniques utilisez-vous? Lesquels offrent le meilleur rapport protection / inconvénient?
Pour clarifier les choses, je ne fais pas référence aux sites bancaires ou aux sites qui stockent des cartes de crédit. Pensez davantage aux sites populaires (ou moins populaires) qui nécessitent encore une inscription.
La solution
Je ne pense pas qu'il soit possible d'imposer des mots de passe forts, mais vous pouvez faire beaucoup de choses pour les encourager autant que possible.
- Evaluez chaque mot de passe et donnez à l'utilisateur ses réactions sous la forme d'un score, d'une barre graphique, etc.
- Définissez un score de mot de passe minimum pour éliminer les terribles
- Ayez une liste de mots courants qui sont soit bannis, soit chargent le score du mot de passe
Un excellent moyen que j'aime utiliser consiste à associer la date d'expiration du mot de passe au score du mot de passe. Les mots de passe plus forts n'ont donc pas besoin d'être changés aussi souvent. Cela fonctionne particulièrement si vous pouvez donner aux utilisateurs un retour direct sur la durée de vie du mot de passe choisi (et le mettre à jour de manière dynamique pour qu'ils puissent voir comment l'ajout de caractères affecte la date).
Autres conseils
N'appliquez rien. Si vous ne protégez pas les informations financières ou quelque chose d'aussi important, ne faites pas choisir un mot de passe fort.
J'ai le même mot de passe faible sur tout un tas de sites nécessitant une inscription au forum, etc. Je me fiche de savoir si quelqu'un le devine et peut poster des messages comme moi (et ne pense pas qu'il y ait beaucoup de motivation pour quelqu'un pour le faire). Ce que je ne peux pas faire, c'est me rappeler différents mots de passe forts pour une douzaine de sites et ne pas vraiment vouloir utiliser un autre logiciel pour les gérer pour moi.
Le meilleur compromis serait de montrer à l’utilisateur une sorte de rétroaction sur la force du mot de passe (qu’il s’agisse d’un mot du dictionnaire, du nombre de types de caractères différents, de la longueur, etc.).
Pourquoi l'appliquer ?
J'ai constaté qu'un "indicateur de force de mot de passe" (une barre indiquant la force du mot de passe lors de la frappe) est généralement une bonne mesure non intrusive. Ceux qui se soucient de la sécurité se sentent coupables de la faiblesse du mot de passe, mais ne frustrent pas ceux qui ne se soucient pas autant.
D'après mon expérience, cela dépend vraiment du type de site, comme vous l'avez dit.
Si vous créez un site Web bancaire ou financier, les utilisateurs savent généralement si vous disposez d'un mot de passe plus sécurisé, car leurs données personnelles peuvent être en jeu.
Cependant, pour les sites ne contenant généralement pas beaucoup d'informations personnelles, un mot de passe plus simple conviendra. Ils sont peut-être moins enclins à tenter des tentatives de piratage et n’obtiendront rien d’intéressant de toute façon.
J'ai également constaté que la plupart des gens semblent également utiliser plusieurs mots de passe. L'un étant complexe et l'autre simple. Donc, leur demander d'utiliser un mot de passe complexe n'empêchera généralement pas les gens de s'enregistrer.
Je n'ai jamais constaté que les mots de passe expirants fonctionnaient correctement. Comme je l'ai déjà dit, beaucoup de gens ont déjà quelques mots de passe qu'ils utilisent souvent, alors leur demander de ne pas utiliser ce site uniquement pour votre site peut les empêcher de revenir.
Le meilleur moyen dépend vraiment de votre site et de ce que vous utilisez. Mais l’idéal est de faire le maximum du côté client avant de le soumettre. Utiliser RegEx est un bon moyen. Si vous pouvez leur faire éviter de soumettre le formulaire à nouveau, c'est l'idéal.
En laissant les mots de passe expirer, la pratique pose deux problèmes notables:
- Les utilisateurs ont plus de difficulté à se souvenir de leurs mots de passe actuels et sont donc plus enclins à faire des bêtises, comme les écrire sur un post-it collé sur leur moniteur.
- Les utilisateurs ne génèrent pas de nouveau mot de passe fort et indépendant à chaque tentative. La plupart du temps, ils utilisent un système pour générer un mot de passe similaire à l'ancien. Par conséquent, si un attaquant obtient un ancien mot de passe, il est assez facile pour eux d'en déduire un nouveau.
EDIT: Ce qui ne veut pas dire que je suis contre l'idée même, mais que cela doit être pris en compte avec d'autres facteurs.
Il existe un outil Ajax, PasswordStrength, qui permettra à l’utilisateur de savoir si son mot de passe est correct. J'aime ça parce que ça n'interdit pas la création d'un mot de passe.
http://www.asp.net/AJAX/AjaxControlToolkit /Samples/PasswordStrength/PasswordStrength.aspx
Je ne l'ai jamais vu faire, mais il semble que cela fonctionnerait à merveille: la page de création de mot de passe pourrait avoir une liste extensible des 50 plus mots de passe communs , forçant l'utilisateur à faire défiler l'écran un peu avant de saisir son mot de passe. Ceci, combiné avec la suggestion de Checkers, ferait beaucoup pour empêcher les choix imprudents.
Cependant, résoudre le problème de la prévention de la réutilisation des mots de passe ... pas la moindre idée.
