Bestrafung von Benutzern für unsichere Passwörter [geschlossen]

13

Ich denke darüber nach, die Rechte von Benutzern einzuschränken, die sich für unsichere Kennwörter entscheiden (die Unsicherheit eines Kennworts wird durch die Länge bestimmt, wie viele Arten von Zeichen (Groß- / Kleinschreibung, Zahlen, Symbole usw.) verwendet werden und ob dies möglich ist) befindet sich in einer Regenbogentabelle), um zu begrenzen, wie viel Schaden ihr Konto anrichten kann, wenn es kompromittiert wird.

Ich habe noch keine Anwendung für diese Idee, sage aber, ich schreibe ein Forum oder so etwas: Benutzer, die 1234 als Passwort verwenden, müssen möglicherweise vor dem Posten ein Captcha ausfüllen oder sind strengen Anti-Spam-Maßnahmen ausgesetzt, z als Zeitüberschreitungen oder Bayes'sche Filter, die ihren Inhalt ablehnen. Wenn dieses Forum sehr hierarchisch ist und auf irgendeine Weise die Beförderung zu Moderatoren oder Ähnlichem zulässt, würde dies entweder verhindern, dass sie Privilegien erlangen, oder ihnen sagen, dass sie Privilegien haben, aber nicht, dass sie diese ausüben, ohne zu einer sichereren wechseln Passwort.

Natürlich könnte dies nicht die einzige Sicherheitsmaßnahme sein, aber es könnte neben ansonsten guten Sicherheitspraktiken gut funktionieren.

Was denkst du? Übertreibt dies nur das Ziel, den Fokus von wichtigeren Sicherheitspraktiken abzuwenden, oder ist es ein guter Weg, um das Risiko zu begrenzen und Benutzer zu ermutigen, sicherere Kennwörter zu verwenden (und Menschen hoffentlich davon zu überzeugen, dass Sie gute Sicherheitspraktiken anwenden)?

Carson Myers
quelle
24
Was ist der Vorteil davon, wenn Sie bereits Benutzer mit falschen Passwörtern davon abhalten können, überhaupt auf Ihr System zuzugreifen?
Pete
12
Die meisten Leute werden wahrscheinlich weiterhin "letmein" verwenden, ungeachtet der Einschränkungen, die Sie ihnen auferlegen. Erzwingen Sie entweder die Kennwortregeln, wenn Sie ein Kennwort erstellen / ändern, oder tun Sie dies nicht.
John Straka
3
@Carson Myers: Nicht wenn du es aus Cat6-Kabel machst, ist es nicht: D
Piskvor hat das Gebäude
13
Erstens, Benutzer von was? Ich habe keine Lust mehr auf Websites, für die eine Anmeldung erforderlich ist, um ein in einem Forum veröffentlichtes Bild zu sehen. Dann muss das Kennwort aus 10 Ziffern und Sonderzeichen in Groß- und Kleinschreibung und OHNE Unterstreichungen und der Zahl 1 bestehen. Stellen Sie die Kennwortanforderungen proportional zum Wert von Daten geschützt.
SF.
6
In Florida waren Menschen, die ihre Kabelfernsehrechnungen zu spät bezahlten, manchmal auf einen Kanal beschränkt. CSPAN. Es hat für sie funktioniert. <Achselzucken>
Mike Sherrill 'Cat Recall'

Antworten:

35

YAGNI , KISS , DRY , die 10-Sekunden-Regel und die Tatsache, dass "[Benutzer] sich nicht für DICH interessieren", sollten es wahrscheinlich auf eine Lösung eingrenzen : Nicht.

  • Es ist mehr Entwicklungsarbeit, die viele Tests erfordern würde , um zuverlässig und sicher zu sein.
  • Dies verringert wahrscheinlich die Sicherheit der Site, wie Sie sie sehen. Die Wahrscheinlichkeit, dass ein Fehler zu einer Eskalation der Rechte mit einem schrecklichen Passwort führt, ist einfach zu groß.
  • Dies erhöht die Komplexität für Entwickler, Tester, Betreuer, DBA, Sysadmin und Benutzer.
  • Je komplexer es ist, desto schwieriger ist es, sich nicht zu wiederholen.
  • Benutzer haben nicht die Aufmerksamkeitsspanne, um Ihre Informationen zu lesen und zu verfolgen. Sie sind es gewohnt, das Registrierungsformular so lange zu optimieren, bis es die Eingabe akzeptiert, und erst dann, wenn sie ein ideales Niveau erreicht haben.
  • Benutzer kümmern sich einfach nicht darum.
l0b0
quelle
Alle Stärken, außer vielleicht TROCKEN. Warum trocken? Auch es muss nicht sein , dass komplizierte, die ganze „Förderung MOD“ usw. war nur ein paar zusätzlichen Beispiele. Da die meisten Websites bereits unsichere Kennwörter erkennen und Sie sich auf vielen gängigen Plattformen (wie in Wordpress) bereits mit unsicheren Kennwörtern registrieren können, gibt das Hinzufügen von Captchas für diese Benutzer Anlass zu all diesen Bedenken? Es mag ärgerlich sein, aber die anderen Alternativen sind, Benutzer vollständig abzuweisen oder sie einzulassen und mehr Spam zu riskieren. Beispielsweise.
Carson Myers
3
+1 Für den Link zur Nutzung. Gute Seite ist gut. Ironischerweise hässlich für eine UI / UX-Site.
StuperUser
4
+1 Für Benutzer interessiert dich nicht. Wenn es sich um eine alberne Blog- / Q & A-Site handelt und ich mich an eine komplexe Kombination aus Benutzername und Kennwort erinnern muss, werde ich sie einfach nicht verwenden.
ElGringoGrande
@ElGringoGrande Ich schlage es nicht unbedingt für etwas Dummes vor, sondern als Mittelweg zwischen "Alle Kennwörter zulassen" und "Alle falschen Kennwörter ablehnen", wo es viele Sites gibt, die jede Methode anwenden. Es geht aber nicht gut, haha
Carson Myers
13

Erzwingen Sie entweder ein sicheres Kennwort bei der Registrierungsänderung oder verwenden Sie eine OpenId (Jeff Atwoods 2c: http://www.codinghorror.com/blog/2010/11/your-internet-drivers-license.html ). Konzentrieren Sie sich dann auf interessantere Funktionen.

Zum einen sind Benutzer daran gewöhnt, sichere Passwörter zu erstellen oder ihre OpenId zu verwenden, was für sie einfach ist.

StuperUser
quelle
Ich bin damit einverstanden, dass OpenId für diese Art von Dingen großartig ist, aber ich glaube, Sie sind voreingenommen in der Annahme, dass die meisten Benutzer an eines dieser Dinge gewöhnt sind. Die meisten Leute, die ich kenne, haben noch nie von OpenId gehört, und noch mehr verwenden unsichere Passwörter
Carson Myers
1
Guter Punkt. Ich habe OpenId vor SE nicht verwendet, aber Passwörter wurden aufgrund mangelnder Komplexität abgelehnt. Wenn es darum geht, etwas einfach und sicher zu halten, steht die Sicherheit an erster Stelle, auch wenn Sie die Verantwortung für die Schulung Ihrer Benutzer tragen. Sie müssten sich bemühen, sie über ihre Verantwortlichkeiten zu informieren, die auf der Komplexität ihres Passworts basieren. Es scheint besser, sie in Sicherheit zu schulen und ein gemeinsames Login zu fördern.
StuperUser
Ein gemeinsames Login ist ideal, aber wenn die Anwendung nicht technischer Natur ist, wird ein großer Teil der Benutzer nur dasselbe Passwort verwenden (oder das Passwort verlassen, wenn es nicht verfügbar ist). In meinem Beispiel frage ich mich, ob es darum gehen soll, Benutzer abzuweisen (indem sie ihr Passwort ablehnen) oder ihnen eine visuelle Erfahrung zu bieten (das können wir nicht zulassen, weil wir nicht wissen, ob Ihr falsches Passwort es hat) habe dein Konto kompromittiert), um ihnen die Probleme zu zeigen, die durch falsche Passwörter verursacht wurden
Carson Myers
Die meisten Benutzer verfügen über ein Facebook- oder Hotmail- oder Gmail-Konto (ein E-Mail-Konto ist für den Abruf von Anmeldeinformationen auf vielen Websites erforderlich). Daher kann es hilfreich sein, zu verdeutlichen, wie diese für die Anmeldung / Anmeldung verwendet werden.
StuperUser
Ich glaube, ich habe Facebook Connect vergessen usw.
Carson Myers
12

Warum lassen Sie Passwörter zu, die Sie als schlecht empfinden? Das Beenden des Problems an der Quelle erspart Ihnen viel Entwicklungszeit, wenn Sie herausfinden möchten, welche Klassen von Kennwörtern welchen Rollen zugeordnet sind. Da ein Administrator per Definition über vollständige Rechte verfügt, benötigen Sie bereits Funktionen, um sicherzustellen, dass er kein Kennwort eingibt, das ihn einschränkt.

Meine Antwort ist einfach nur KISS .

unholysampler
quelle
1
Dies ist keine Lösung, da dies dazu führt, dass Benutzer gezwungen sind, Gegenmaßnahmen zu ergreifen, die Ihre Sicherheitsrichtlinie noch weiter durchbrechen.
Deadalnix
@deadalnix wie so? Ich glaube, er hat nur gesagt, er soll auf die ganze Idee verzichten und falsche Passwörter ablehnen, und er liefert ein Beispiel dafür, warum meine Idee mehr Irritationen hervorruft als nötig
Carson Myers,
@deadalnix was meinst du? Welche Gegenmaßnahmen gegen ein sicheres Passwort würde ein Benutzer ergreifen?
StuperUser
7
@StuperUser: Dies ist vor allem der Wechsel einer Sicherheitsanfälligkeit durch eine andere.
Piskvor hat das Gebäude
1
@StupidUser: Wenn ein Benutzer für jede Site dasselbe Kennwort verwendet und die Meldung erhält, dass "mypassword" nicht akzeptabel ist, weil es keine Zahlen enthält, besteht eine gute Chance, dass er nur "mypassword1"
elwyn eingibt
7

Als Nutzer würde mich das wahrscheinlich davon überzeugen, Ihre Website nicht zu nutzen. Ich meine, im Ernst, meine Bank sagt mir, dass ein 6-stelliger Code für Online-Banking vollkommen sicher ist, aber wenn ich einen Kommentar zu einem weniger bekannten Blog schreiben möchte, muss ich mir ein eindeutiges Passwort merken, das mindestens 8 obere enthält - und Kleinbuchstaben, eine Ziffer, ein Sonderzeichen und ein griechisches oder kyrillisches Symbol, die nur eingegeben werden können, wenn Sie die Unicode-Sequenz auswendig können. Und ändern Sie es regelmäßig.

Versteh mich nicht falsch, Sicherheit ist wichtig. Aber wenn Sie Ihre Benutzer nicht verärgern sollten, es sei denn, Sie haben wirklich guten Grund zu der Annahme, dass jemand versucht, ihre Passwörter zu knacken, um Zugriff auf Ihre Website zu erhalten. Wenn Ihre Site zufällig VPN-Zugang zum FBI-Netzwerk bietet, gehen Sie vor, ärgern Sie sich. Aber wenn es ein Benutzerforum ist, in dem sich jeder mit einer E-Mail-Adresse anmelden kann, worum geht es dann wirklich?

Nikie
quelle
Nun, wenn es sich um eine Community-Site handelt, kann Spam ein Problem sein (und war wirklich in einem Projekt, an dem ich teilgenommen habe). IMO würde es mehr Benutzer davon abbringen, ihr Passwort einfach abzulehnen, und wenn wir Spam durch die Verwendung von Captchas (nicht ungewöhnlich) mildern wollen, ist es besser, den Benutzern, die es wahrscheinlich verursachen, diese Belästigung aufzuerlegen, nicht wahr?
Carson Myers
Außerdem denke ich, dass es ein weit verbreitetes Missverständnis ist, dass es selten zu Ausbrüchen kommt, wenn Sie klein sind. Ich war in ein paar kleinen bis mittleren Online-Communities involviert und es war immer ein Problem. Diese ServerFault-Frage scheint dies zu unterstützen .
Carson Myers
5
Warum sollten Spammer kürzere Passwörter verwenden? Warum sollten sie versuchen, die Passwörter anderer zu knacken, wenn sie nur ein neues Konto erstellen können? Ich sehe hier nicht den Vorteil langer Passwörter.
Nikie
Ich habe keine Ahnung, ich bin erst vor einiger Zeit auf die Idee gekommen und habe mich entschlossen zu sehen, wie es der Prüfung standhält :) nicht gut, wie es scheint ...
Carson Myers
1
Ihre Antwort gefällt mir sehr, weil sie darauf hinweist, wie albern es ist, überhaupt daran zu denken, diese Idee umzusetzen: unnötige Sicherheit für Websites mit nicht sicheren Daten zu schaffen.
Tundey
6

Bessere Lösung: Smileys.

Ich meine es ernst! Das Lesen von Büchern über Verhaltensökonomie wie "Nudge: Verbesserte Entscheidungen über Gesundheit, Wohlstand und Glück" hatte mich von ein paar Dingen überzeugt:

  1. Sie können nicht jeden zwingen, kluge Entscheidungen zu treffen.
  2. Die Leute mögen es frei zu wählen, aber sie mögen nicht viele Optionen.
  3. Sie können jedoch mit einfachen Tricks die Auswahl zum Besseren erheblich beeinflussen.

Ich sehe, dass diese Grundsätze für Ihre Situation wie folgt gelten:

  1. Das Einschränken von Benutzern anhand unsicherer Kennwörter wird sie höchstwahrscheinlich frustrieren und verwirren. Dies gilt insbesondere für die Mehrheit der Personen, die die sorgfältig geschriebenen Erklärungen in Dialogfeldern nicht lesen und einfach den Helpdesk anrufen und sagen: "Das stimmt nicht Arbeit."
  2. Beim Erstellen von Kennwörtern müssen die Benutzer nicht alle Möglichkeiten von Sonderzeichen anzeigen, die sie verwenden können. Es ist besser, ihnen ein kleines Popup-Fenster zu zeigen, in dem sie vorschlagen, etwas Komplexität hinzuzufügen, wenn ihr Eintrag nicht den Anforderungen entspricht.
  3. Die Menschen sind stark von sozialen Hinweisen beeinflusst - auch kleine wie glückliche Gesichter, die zeigen, dass wir ihr Verhalten gutheißen, oder finstere Gesichter, wenn wir dies nicht tun. Einige der besser gestalteten Websites zeigen einen farbigen Fortschrittsbalken an, der sich von Rot für Nicht gut genug :( zu Grün für Gute Arbeit! :) ändert, wenn der Benutzer sein (vorgeschlagenes) Passwort und die Bestätigung eingibt. Diese Benutzeroberfläche gibt ihnen einen gewissen sozialen Druck, die Standards zu erfüllen - damit die Bar grün wird oder das Stirnrunzeln in ein Lächeln verwandelt wird -, während sie mithilfe der unmittelbaren Rückmeldung von selbst herausfinden, wie sie sicherere Passwörter erstellen können Farbänderungen.
ewall
quelle
2
Mein erster Gedanke war, dass Sie vorgeschlagen haben, Benutzer zur Verwendung von Smileys in ihren Passwörtern zu verpflichten.
Aslum
4
@aslum: Eigentlich sind Smileys in Passwörtern keine so schlechte Idee. Fast alle bestehen aus nicht-alphanumerischen Zeichen. Wenn Sie also ein :) am Ende eines ansonsten schwachen Kennworts einfügen, wird es erheblich stärker, indem Sie den Suchbereich vergrößern.
afrazier
@afrazier: Es sei denn, dies wurde allgemein üblich und sie könnten der Liste der Zeichen hinzugefügt werden, richtig?
Serv-Inc
4

Nicht zum Anhäufen, aber ich dachte an einen anderen Grund, dies unter "Bad Idea" abzulegen, den ich noch nicht erwähnt habe - Kundensupport.

Wenn dies ein Produkt ist, hinter dem Kundenbetreuer stehen, wird es ihnen nicht besonders gefallen. Eine der zugrunde liegenden Annahmen des Supports ist, dass er die Benutzererfahrung versteht und vorhersagen kann. Wenn er einem normalen Benutzer hilft, sollte Page 1 Links zu den Seiten 2, 3 und 4 enthalten, auf denen er X, Y, Z ausführen kann , etc.

Jetzt geben Sie ihnen eine weitere Variable, die sie im Auge behalten müssen. Wenn der Benutzer den Link zu Seite 4 nicht sieht, liegt es daran, dass er etwas Dummes getan hat? Oder liegt es daran, dass ihr Passwort scheiße ist und Ihr System sie bestraft, indem es ihnen den Zugriff auf das Passwort verweigert? Warten Sie ... Mist, verweigert man mir den Zugang zu einer der Strafen für ein falsches Passwort, oder denke ich darüber nach? Lassen Sie mich das nachschlagen, nur einen Moment ... Okay, es besagt, dass für ein Passwort, bei dem Groß- und Kleinbuchstaben nicht gemischt werden, der Zugriff auf gerade Seiten erlaubt ist, aber nur lesbar ist ... Okay, Sir, Ihr Passwort, besteht es aus Groß- oder Kleinbuchstaben? Fall. Wenn Sie nur den Buchstaben eingeben, ist das Kleinbuchstaben; Wenn Sie die Umschalttaste verwenden, werden Großbuchstaben verwendet. Haben Sie die Fälle in Ihrem Passwort gemischt? Das Kennwort, mit dem Sie sich beim System angemeldet haben. Die, die du gerade benutzt hast. Okay, gehen Sie zu Bearbeiten, wählen Sie Einstellungen und dann Sicherheit. Wählen Sie "Gespeicherte Passwörter" ... nein, ich kann Ihre Passwörter von hier aus nicht sehen ...

Ja. Mach das nicht.

BlairHippo
quelle
2

Beschränken Sie die Kennwörter oder informieren Sie die Benutzer über das Risiko schwacher Kennwörter. Ich denke, wenn ein Benutzer sich nicht um seine Daten kümmert, möchten Sie möglicherweise den Zugriff auf die Daten anderer Benutzer einschränken. Möglicherweise fühlen sich Benutzer sicherer, wenn diejenigen, die sich nach unachtsamen Passwortpraktiken richten, ausgeschlossen werden. Was nützt es, ein stärkeres Passwort zu fordern, wenn es auf einem Notizzettel unter der Tastatur oder auf einem Klebeband auf dem Laptop landet?

JeffO
quelle
Ein Teil meiner Frage bestand darin, den Einfluss der Benutzer auf einander zu begrenzen, wenn sie schlechte Passwörter verwendeten, sodass Sie sie nicht direkt wegschicken, sondern sicherstellen, dass ihre schlechte Praxis nicht zum Leid anderer wird. Nach dieser langen Diskussion scheint es das nicht wert zu sein. Trotzdem, eine lustige Idee, denke ich.
Carson Myers
2

und ob es sich in einem Regenbogentisch befinden kann

Ich denke du meinst Wörterbuch und nicht Regenbogentabelle. Der Wörterbuch-Angriff testet nur alle Wörter des Wörterbuchs, wenn sie mit dem Passwort übereinstimmen. Dieser Angriff kann durch 5 Versuche und Blockieren für x Minuten behoben werden ...

Eine Regenbogentabelle wird nur verwendet, wenn Sie das Kennwort haben und der Angreifer den Hash kennt. Dann könnte er den Hash in der Regenbogentabelle finden, wenn es nur "12345" oder ähnliches wäre.

Nur um die Rundreise abzuschließen: Um einen Regenbogentisch unbrauchbar zu machen, sollten Sie die Passwörter salzen. Verwenden Sie für jedes Kennwort ein eindeutiges Salt und nicht nur eines für alle. In diesem Fall muss der Angreifer für jedes Konto, auf das er zugreifen möchte, eine Regenbogentabelle mit dem eindeutigen Salt erstellen. Clever von Ihrer Seite erledigt, können Sie das Hashing mit dem Concatenation Multiple Hash-Algorithmus aufpeppen, sodass eine Generation eine halbe Sekunde dauern kann. Wenn Sie dies getan haben, muss der Zugriff auf ein Konto auf Ihrer Website Tage und wahrscheinlich Monate dauern, bis Hashes generiert wurden, um eine Übereinstimmung mit diesem Konto zu finden. Ich kann mir keinen Angreifer vorstellen, der versucht, alle Passwörter abzurufen, wenn dies der Fall ist dauert so lange

Für die Zeit des Hashens: Denken Sie an eine Wartezeit von 500 ms für einen Anmeldemechanismus. Ich denke, es ist akzeptabel ... (zur Erinnerung: Fast eine Sekunde dauert ein Handschlag für SSL)

WarrenFaith
quelle
Ja, ich meinte ein Wörterbuch, danke. Und Sie haben sicherlich Recht, dass andere Formen der Sicherheit notwendig sind
Carson Myers