complejidad de la contraseña y políticas desde el punto de vista de los usuarios [duplicado]

Navega tus respuestas
2

Hay dos lados de la complejidad de la contraseña, el lado del administrador y el lado de los usuarios. Son efectivamente requisitos inconexos. Buena complejidad y políticas de contraseñas se discuten a menudo. Pero no he visto buenas guías o mejores prácticas para los usuarios. Todo lo que está disponible son siempre las mejores prácticas del punto de vista del administrador: crear una contraseña larga compleja al azar y cambiarla cada dos días ...

Al final, mientras más complejos sean los requisitos y las políticas, más intentarán evadirlos los usuarios al crear contraseñas simples, escribirlas, etc. pero no es su información lo que quieren proteger y, en última instancia, una vez que la seguridad es violado, no recuperas tus pérdidas.

He estado en ambas situaciones, como administrador y ahora como un usuario que se ve forzado a tener un historial de contraseñas cero, complejidad total y cambio cada 60 días. Además tengo mis otras 10 contraseñas complejas para recordar. Así que empecé a usar secuencias alfanuméricas simples como: pou987^ o opqR678( . Sé que es malo, pero qué diablos, mi cerebro está limitado y envejeciendo.

¿Existe una buena guía para construir contraseñas no aleatorias que tengan en cuenta el historial de cero que se pueda recordar? (No necesito que la contraseña sea ultra fuerte, sé que no se puede hacer, pero existen otras barreras, cortafuegos, número limitado de intentos de contraseña, restricción de acceso físico, por lo que quiero que la contraseña se considere sólida con estos barreras adicionales en su lugar.)

¿Qué debo sugerir a mis usuarios, como administrador? ¿Cómo deberían abordar la creación de la contraseña (lo siento, pero NADIE en la empresa va a recordar cosas como gZ9]Rjm}t5d? , que ahora todavía se considera débil y las contraseñas fuertes comienzan con 16 caracteres, eso es idiota)?

    
pregunta leosenko 07.03.2018 - 16:30
fuente

3 respuestas

3

Ahora hay una guía muy buena para las políticas que son fundamentalmente buenas para los usuarios. La mayoría de los requisitos que indicas en tu pregunta ahora están anticuados.

Mejor : ¡usa un administrador de contraseñas! Deje que el software genere e ingrese la contraseña para el usuario. No se requiere memoria y la contraseña se puede generar con la máxima complejidad (entropía / aleatoriedad, lo que sea que use para comprender la fortaleza de la contraseña)

Pero si necesita generar sus propias contraseñas:

Primero : deja de requerir que los usuarios cambien sus contraseñas con tanta frecuencia. La mayoría de las pautas sugieren que nunca se requiere un cambio hasta que haya una necesidad específica de cambiar (como nunca, excepto cuando se sospecha que la cuenta está comprometida). Hay cierto debate sobre este punto, pero algunos administradores solo llegan a requerir un cambio anual.

Segundo : ha habido estímulos durante mucho tiempo para dejar de usar el término "contraseña" y el término "frase de contraseña". La longitud es mucho más "fuerte" que la complejidad. Entonces, cree una oración: Word word word word. Hay caracteres superiores, inferiores y especiales (espacio y un punto). ¿Esto es perfecto? ¡Absolutamente no! ¿Es fuerte "suficiente" y fácil de usar? Sí, para la mayoría de los casos de uso. Los administradores y ejecutivos senior deberían usar contraseñas mucho mejores (consulte los administradores de contraseñas más arriba).

Tercer : [aquí es donde la comunidad me va a sesgar] requiere una autenticación de dos factores y si se usa , relajará los requisitos de longitud y complejidad. Nunca había pensado en esto hasta que enseñé a los maestros de Necesidades Especiales a tomar conciencia sobre seguridad y se les ocurrió esta idea durante la clase. Puede ser difícil para algunas personas con discapacidades diferentes y muy jóvenes ingresar una contraseña compleja o larga. Si 2FA se implementa correctamente, la contraseña puede ser muy simple y, sin embargo, asegurada por 2FA. Incluso si alguien más necesita ingresar la contraseña para el usuario, el token 2FA se va con el usuario. Incluso si no afloja los requisitos de complejidad, use 2FA en todos los lugares que pueda.

Todas estas cosas (excepto la complejidad de contraseñas relajadas si se usa 2FA) han sido una guía de contraseña común en todo el mundo durante un par de años:

Reino Unido:
enlace

EE. UU .:
enlace

Microsoft:
enlace

    
respondido por el schroeder 07.03.2018 - 16:56
fuente
2

El desafío es "lo que los usuarios recordarán", de ahí la adicción a los post-it.

Les pido a los usuarios que escojan un par de artículos en sus escritorios y los usen como contraseña. Si pides a 5 personas que miren un escritorio y elijan lo que les llama la atención, obtendrás 5 respuestas diferentes. Ahora incluya las cualidades de estos elementos (color, tamaño, memoria asociada con el elemento) y adivinar que se vuelve mucho más difícil.

Además, el contenido de los escritorios tiende a cambiar con el tiempo. Mucho de esto es estático, pero hay un cambio sutil a lo largo del tiempo a medida que se agregan nuevos elementos y se eliminan los más antiguos.

Por ejemplo, si tengo un carro de juguete azul de vacaciones, un reloj plateado que gané en una rifa, un abanico blanco y un recipiente de goma espuma de una banda que me gusta y cuyo concierto vi en Zurich, hay Una serie de posibilidades casi ilimitada. Tal vez sea BlueCarZurichConcert. Tal vez sea clockCarBand. Tal vez sea BlueSilverBlack. El punto es que el usuario puede mirar su escritorio y tener una buena idea de cuál es su contraseña, y alguien que trate de adivinar tendrá una idea muy limitada de dónde comenzar, incluso si supieran que la contraseña estaba en el lugar. escritorio.

    
respondido por el baldPrussian 07.03.2018 - 18:04
fuente
0

Si eso es algo que debe recordarse, la mejor recomendación que he visto es codificar una frase que uno pueda recordar fácilmente. Por ejemplo, "A mi perro, a Sally le gusta jugar tira y afloja", se convierte en Md $ LtPt0w, lo que constituye una contraseña bastante segura. Todo lo que el usuario debe hacer es recordar la frase y las reglas de codificación.

    
respondido por el postoronnim 07.03.2018 - 17:01
fuente

Lea otras preguntas en las etiquetas

¿Es seguro publicar la salida de los comandos de excavación de Linux (DNS)? ¿Cuáles son algunos de los posibles ataques que se podrían realizar en un sitio web que no administra la codificación url correctamente?