security - tipos - ¿Cómo se aplican las contraseñas seguras?
palabras para contraseñas (8)
Hay muchas técnicas para aplicar contraseñas seguras en el sitio web:
- Solicitar que las contraseñas superen una expresión regular de complejidad variable
- Establecer la contraseña de forma autónoma, para que los usuarios ocasionales tengan una contraseña segura
- Permitir que las contraseñas caduquen
- etc.
Por otro lado, hay inconvenientes, porque todos hacen la vida menos fácil para el usuario, lo que significa menos registros.
Entonces, ¿qué técnicas usas? ¿Cuáles proporcionan la mejor relación de protección frente a inconveniencias?
Para aclarar las cosas, no me refiero a sitios bancarios o sitios que almacenan tarjetas de crédito. Piense más en términos de sitios populares (o no tan populares) que aún requieren registro.
¿Por qué hacer cumplir ?
Descubrí que un "medidor de intensidad de contraseña" (una barra que indica la fortaleza de la contraseña a medida que escribe) suele ser una buena medida no intrusiva. Hace que aquellos que se preocupan por la seguridad tengan una conciencia culpable por la debilidad de la contraseña, pero no frustre a los que no les importa tanto.
Además, hay un ensayo revelador sobre por qué una política de cambio de contraseña periódica es una mala idea con el modelo de amenaza de hoy .
Al dejar caducar las contraseñas, hay dos problemas notables con la práctica:
- A los usuarios les resulta más difícil recordar sus contraseñas actuales, por lo que es más probable que hagan cosas tontas, como escribirlas en una publicación, pegadas a su monitor.
- Los usuarios no generan una contraseña nueva, sólida y no relacionada en cada intento. La mayoría de las veces utilizan algún esquema para generar una contraseña similar a la anterior. Por lo tanto, si un atacante obtiene una contraseña anterior, todavía es bastante fácil para ellos deducir una nueva.
EDITAR: Lo cual no quiere decir que estoy en contra de toda la idea, sino que esto debe ser considerado junto con otros factores.
Hay una herramienta Ajax, PasswordStrength, que le dará al usuario una idea si su contraseña es buena. Me gusta porque no tiene que prohibir la creación de una contraseña.
http://www.asp.net/AJAX/AjaxControlToolkit/Samples/PasswordStrength/PasswordStrength.aspx
La mejor manera realmente depende de tu sitio y de lo que estás usando. Pero la forma ideal es hacer todo lo que pueda del lado del cliente antes de enviarlo. Usar RegEx es una buena manera. Si puede hacer que no tengan que volver a enviar el formulario, eso es ideal.
No impongas nada ... si no proteges la información financiera o algo igualmente importante, no hagas que el usuario elija una contraseña segura.
Tengo la misma contraseña débil en una gran cantidad de sitios que requieren registro para foros, etc. Realmente no me importa si alguien lo adivina y puede publicar mensajes como yo (y no creo que haya mucha motivación para que alguien lo haga) asi que). Lo que no puedo hacer es recordar diferentes contraseñas seguras para una docena de sitios y realmente no quiero usar otra pieza de software para gestionarlos por mí.
El mejor compromiso sería mostrar algún tipo de retroalimentación al usuario sobre qué tan fuerte es la contraseña (en función de si es una palabra de diccionario, número de diferentes tipos de caracteres, longitud, etc.).
Según mi experiencia, realmente depende del tipo de sitio, como dijiste.
Si está creando un banco o un sitio web financiero, los usuarios generalmente entienden si tiene una contraseña más segura, ya que sus datos personales pueden estar en peligro.
Sin embargo, para los sitios que generalmente no contienen mucha información personal, una contraseña más simple estará bien. Pueden ser menos propensos a piratear los intentos, y no obtendrían nada que valga la pena de todos modos.
También descubrí que la mayoría de la gente también parece tener un par de contraseñas que usan con frecuencia. Uno siendo complejo, y otro siendo simple. Por lo tanto, solicitar que usen una contraseña compleja generalmente no evitará que las personas se registren.
Nunca he encontrado las contraseñas que caducan para que funcionen correctamente. Como dije antes, muchas personas ya tienen un par de contraseñas que usan con frecuencia, por lo que pedirles que salgan de esto solo para su sitio puede hacer que no quieran regresar.
No creo que sea posible aplicar contraseñas seguras, pero hay muchas cosas que puede hacer para alentarlas tanto como sea posible.
- Califique cada contraseña y brinde comentarios al usuario en forma de puntaje o barra gráfica, etc.
- Establecer un puntaje mínimo de contraseña para eliminar los horribles
- Tenga una lista de palabras comunes que están prohibidas, o anote la contraseña
Un truco excelente que me gusta usar es tener la fecha de vencimiento de la contraseña vinculada a la puntuación de la contraseña. Por lo tanto, las contraseñas más fuertes no necesitan cambiarse con tanta frecuencia. Esto funciona especialmente bien si puede darles a los usuarios información directa sobre cuánto tiempo durará la contraseña que han elegido (y actualizarla dinámicamente para que puedan ver cómo la adición de caracteres afecta la fecha).
Nunca he visto esto hecho, pero parece que funcionaría maravillosamente: la página de creación de contraseñas podría tener una lista ampliable de, por ejemplo, las 50 contraseñas más comunes , lo que obligaría al usuario a desplazarse un poco antes de escribir su contraseña . Esto, combinado con la sugerencia de Checkers, haría mucho para evitar elecciones descuidadas.
Sin embargo, resolver el problema de evitar la reutilización de contraseñas ... no hay pista.