Come imposti password complesse?
https://stackoverflow.com/questions/167917
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Esistono molte tecniche per applicare password complesse sul sito Web:
- Richiesta che le password passino una regex di varia complessità
- Impostazione autonoma della password, in modo che gli utenti occasionali dispongano di una password complessa
- Lasciare scadere le password
- ecc.
D'altra parte ci sono degli svantaggi, perché tutti rendono la vita meno facile per l'utente, il che significa meno registrazioni.
Quindi, quali tecniche usi? Quale offre la migliore protezione contro l'inconveniente?
Per chiarire le cose, non mi riferisco ai siti bancari o ai siti che contengono carte di credito. Pensa di più in termini di siti popolari (o non così popolari) che richiedono ancora la registrazione.
Soluzione
Non credo sia possibile imporre password complesse, ma ci sono molte cose che puoi fare per incoraggiarle il più possibile.
- Valuta ogni password e dai un feedback all'utente sotto forma di punteggio o barra grafica, ecc.
- Imposta un punteggio minimo per la password per eliminare quelli terribili
- Avere un elenco di parole comuni che sono state bandite o inserire il punteggio della password
Un eccellente trucco che mi piace usare è quello di avere la data di scadenza della password legata al punteggio della password. Le password più forti non devono essere cambiate così spesso. Funziona in particolare bene se puoi fornire agli utenti un feedback diretto sulla durata della password scelta (e aggiornarla in modo dinamico in modo che possano vedere come l'aggiunta di caratteri influisce sulla data).
Altri suggerimenti
Non applicare nulla ... se non stai proteggendo le informazioni finanziarie o qualcosa di altrettanto importante, allora fai che l'utente scelga una password complessa.
Ho la stessa password debole su un intero carico di siti che richiedono la registrazione per forum, ecc. Non mi interessa davvero se qualcuno lo indovina e può pubblicare messaggi come me (e non penso che ci sia molta motivazione per qualcuno per farlo). Quello che non posso fare è ricordare diverse password complesse per una dozzina di siti e non voglio davvero usare un altro software per gestirli da me.
Il miglior compromesso sarebbe quello di mostrare all'utente una sorta di feedback sull'intensità della password (in base al fatto che si tratti di una parola del dizionario, numero di diversi tipi di caratteri, lunghezza, ecc.)
Perché imporre esso
Ho scoperto che un misuratore di resistenza "password" " (una barra che indica la sicurezza della password durante la digitazione) è in genere una buona misura non intrusiva. Rende coloro che si preoccupano della sicurezza avere una coscienza colpevole della debolezza della password, ma non frustrano quelli a cui non importa così tanto.
Inoltre, c'è un saggio approfondito su perché periodico la politica di modifica della password è una cattiva idea con il modello di minaccia di oggi .
È stata la mia esperienza che dipende davvero dal tipo di sito, come hai detto.
Se stai creando una banca o un sito Web finanziario, gli utenti in genere comprendono se hai una password più sicura, poiché i loro dati personali potrebbero essere a rischio.
Tuttavia, per i siti che in genere non contengono molte informazioni personali una password più semplice andrà bene. Potrebbero essere meno inclini ai tentativi di hacking e non otterrebbero comunque qualcosa di utile.
Ho anche scoperto che molte persone sembrano avere anche un paio di password che usano spesso. Uno è complesso e un altro è semplice. Pertanto, la richiesta di utilizzare una password complessa di solito non impedisce alle persone di registrarsi.
Non ho mai trovato che le password in scadenza funzionassero correttamente. Come ho detto prima, molte persone hanno già un paio di password che usano spesso, quindi chiedere loro di uscire da questo solo per il tuo sito potrebbe non voler tornare.
Il modo migliore dipende davvero dal tuo sito e da ciò che stai utilizzando. Ma il modo ideale è quello di fare il più possibile sul lato client prima di inviarlo. L'uso di RegEx è un buon modo. Se riesci a farli non dover inviare nuovamente il modulo, è l'ideale.
Lasciare scadere le password, ci sono due notevoli problemi con la pratica:
- Gli utenti trovano più difficile ricordare le loro password attuali e quindi hanno maggiori probabilità di fare cose stupide come scriverle su un post bloccato sul monitor.
- Gli utenti non generano una password nuova, sicura e non correlata ad ogni tentativo. Il più delle volte usano uno schema per generare una password simile a quella precedente. Pertanto, se un utente malintenzionato ottiene una vecchia password, è comunque abbastanza facile dedurne una nuova.
EDIT: Il che non vuol dire che sono contrario all'intera idea, ma solo che questo deve essere considerato insieme ad altri fattori.
Esiste uno strumento Ajax, PasswordStrength, che darà all'utente la possibilità di sapere se la password è valida. Mi piace perché non deve vietare la creazione di una password.
http://www.asp.net/AJAX/AjaxControlToolkit /Samples/PasswordStrength/PasswordStrength.aspx
Non l'ho mai visto fatto, ma sembra che funzionerebbe meravigliosamente: la pagina di creazione della password potrebbe avere un elenco espandibile, diciamo, dei 50 più password comuni , costringendo l'utente a scorrere un po 'verso il basso prima di digitare la password. Questo, combinato con il suggerimento di Dama, farebbe molto per prevenire scelte imprudenti.
Tuttavia, risolvendo il problema di impedire il riutilizzo della password ... nessun indizio.
