¿Cómo ayudar a los usuarios a administrar las carteras de contraseñas en función de los riesgos de compromiso?

5

En el documento Portafolios de palabras clave y el usuario de esfuerzos finitos: Administración sostenible de grandes cantidades de cuentas | USENIX Security 2014 (tenga en cuenta que el texto completo en pdf ya está disponible). Está cubierto por ej. en

Básicamente, dado que es imposible que los usuarios recuerden contraseñas buenas y únicas para docenas o cientos de cuentas diferentes, y que algunas cuentas tienen un bajo riesgo para el usuario si están comprometidas (por ejemplo, contraseñas para iniciar sesión en un sitio de periódico para leer historias), explican que "la reutilización de la contraseña puede ser parte de una estrategia de afrontamiento ". Sugieren que las personas pueden agrupar cuentas con alto valor más baja probabilidad de compromiso, y aquellas con bajo valor más alto riesgo de probabilidad, y reutilizar la misma contraseña dentro de cada grupo. Su análisis abarca a los administradores de contraseñas, que también cambian algunos de los riesgos, hasta cierto punto. Sobre ese tema, consulte también ¿Cómo evaluar un administrador de contraseñas? . Añadiré que las estrategias híbridas también pueden tener sentido, por ejemplo. utilizando un administrador de contraseñas para algunos grupos de cuentas.

Señalan la necesidad de comprender y explicar cómo los usuarios pueden intercambiar el esfuerzo del usuario para recordar las contraseñas con la probabilidad de que la contraseña esté comprometida. Este sitio ha reunido cierta sabiduría en relación con eso: ¿Cuál es tu manera de crear buenas contraseñas que realmente puedan ser recordadas?

También señalan la necesidad de estudios futuros para comprender, modelar y explicar las pérdidas debidas a compromisos de varios tipos de cuentas. Entonces, mi pregunta para los expertos en gestión de riesgos y para aquellos expertos en explicar las cosas de manera que se conecten con los usuarios, ¿cómo podemos ayudar mejor a los usuarios a comprender los tipos de riesgos a los que se enfrentan si cuentas de diferentes? ¿Los tipos están comprometidos ? P.ej. el compromiso de una contraseña para una billetera bitcoin en línea presumiblemente significa la pérdida irrecuperable de todos los bitcoins almacenados allí. Sin embargo, el compromiso de la contraseña para leer artículos en un sitio de periódico puede tener poco o ningún impacto significativo en el usuario, y de hecho, algunos grupos de usuarios intentan compartir cuentas y contraseñas para este tipo de sitios con sus amigos. Otros tipos de cuentas son los bancos tradicionales (con alguna esperanza de recuperación de fondos robados), redes sociales, correo electrónico, contraseñas relacionadas con el trabajo, servicios web, acceso wifi, claves de cifrado, etc. A veces, las pérdidas pueden no ser obvias para los usuarios ( por ejemplo, riesgos de robo de identidad, pérdida de reputación, etc.).

    
pregunta nealmcb 17.07.2014 - 17:42
fuente

1 respuesta

3

Esta es una pregunta de investigación abierta, en realidad.

Es un poco difícil para los usuarios hacer frente a los consejos de seguridad; Al igual que la elección de contraseñas seguras toma tiempo, la racionalización sobre la reutilización de la contraseña también lo hace. Probablemente esté al tanto de El presupuesto de cumplimiento y Más no es la respuesta ya que citas a Herley.

Por lo tanto, es poco probable que un programa de concientización de seguridad consciente sea fructífero en el caso general porque requeriría más esfuerzo, tiempo y carga cognitiva para los usuarios (si deciden prestarle atención) y esto es lo que Ya está de sobra. Sería muy difícil validar experimentalmente que un esquema de reconocimiento de la estrategia de contraseña valga la pena . Necesitará demostrar que los usuarios realizan la inversión de tiempo y esfuerzo en su configuración del mundo real (algo que muy pocas personas en nuestro campo reconocen porque los haría publicar más lentos :)), y que el costo asociado a es significativamente menor que el beneficio que proporciona al simplificar el manejo de contraseñas para los usuarios finales. Necesitaría hacer eso para que varios sistemas y datos demográficos de los participantes tengan una estrategia viable para el usuario final.

Usted podría hacer entrenamiento en poblaciones específicas para las cuales el tiempo de entrenamiento puede ser reconocido como parte de su ocupación principal. Por ejemplo, los administradores de sistemas y los ejecutivos son poblaciones de alto riesgo y sus empleadores deberían asignarles de manera explícita capacitación en seguridad y tiempo de administración de seguridad.

Para la población general de usuarios finales, probablemente sea mejor delinear el valor de los activos que deben protegerse al elegir una contraseña en lugar de insistir en usar contraseñas seguras y únicas. Por ejemplo, el correo electrónico, el pago en línea y las cuentas bancarias deben conservar contraseñas únicas. Otros sitios deben permitir opciones más flexibles, como ID federada, contraseñas de un solo uso (basadas en correo electrónico / teléfono) y contraseñas débiles. Ya que está citando la investigación actual de algunos de los expertos mundiales del tema, probablemente sepa que ya no hay nada mejor.

    
respondido por el Steve DL 17.07.2014 - 18:09
fuente

Lea otras preguntas en las etiquetas