¿Las contraseñas alfanuméricas de un solo caso son las más fáciles de usar?

12

A menudo se nos recomienda, o se nos exige, que compongamos contraseñas que contengan todo lo siguiente: números, letras minúsculas, letras mayúsculas y algunos caracteres especiales. En mi opinión, este no es el mejor consejo.

Suponiendo que necesitamos 80 bits de entropía en nuestra contraseña, esto se puede lograr de las siguientes maneras: 16 caracteres alfanuméricos de un solo caso al azar; 14 caracteres alfanuméricos aleatorios de dos casos; o 13 caracteres ASCII imprimibles

Mi opinión es que es más fácil escribir dos o tres caracteres alfanuméricos adicionales de caso único que manipular repetidamente la tecla de cambio de caso y buscar caracteres especiales en el teclado.

    
pregunta Peter 13.10.2014 - 11:09
fuente

4 respuestas

21

Si desea que el esquema de contraseñas sea más fácil de usar, debe permitir que el usuario elija lo que quiere en lugar de imponer tal limitación al adivinar lo que el usuario podría preferir .

Cada ser humano es único. Algunos pueden preferir una contraseña corta y complicada que se pueda ingresar rápidamente en virtud de la memoria muscular pura, mientras que otros pueden preferir una frase de contraseña que se puede unir en una canción.

Creo que los desarrolladores deberían respetar eso en lugar de tratar de encajar a todos en un molde.

    
respondido por el Question Overflow 13.10.2014 - 13:52
fuente
11

17 caracteres alfabéticos de un solo caso al azar tienen la misma entropía, y son aún más fáciles de recordar y escribir.

    
respondido por el Mark 13.10.2014 - 11:22
fuente
1

Hay un intercambio entre:

  1. pidiendo a los usuarios que escriban oraciones o frases cortas, sin la necesidad de validar mayúsculas, caracteres no alfa
  2. cadenas de texto muy cortas con complejidad de caracteres

Los usuarios medirán su experiencia como la dificultad y el éxito de la edad al escribir su contraseña y tendrá diferentes resultados con diferentes audiencias, y depende del diseñador del sistema determinar qué funciona mejor para la audiencia en particular (aunque, Yo diría que ninguna contraseña es la mejor, pero esa es una respuesta a otra pregunta).

En banca, tuve mejor éxito con el uso de contraseñas numéricas (horrible entropía) que en un centro de llamadas; las frases largas tenían las mejores tasas de éxito (supongo que eran mejores para escribir).

Me gustaría pensar que "la contraseña" como medio de autenticación tiene una vida útil limitada.

    
respondido por el Callum Wilson 13.10.2014 - 11:41
fuente
0

No diría que es más fácil de usar. Personalmente, quiero recordar menos personajes, pero también odio los límites artificiales que me imponen. Un enfoque más interesante podría ser calcular la entropía de una contraseña de usuario y simplemente requerir una cierta cantidad de entropía.

Si el usuario no ingresa nada que no sea letras minúsculas, requeriría la mayoría de los caracteres. Si incluyen mayúsculas, números o puntuación, cada una de esas clases de caracteres se aplicará a la longitud de la contraseña para determinar la cantidad de entropía.

Esto dejaría al usuario decidir si desea tener una contraseña alfabética más larga o una contraseña más corta y compleja. La única cosa adicional que necesitaría almacenar para dicho sistema sería una marca que indique que la contraseña no distingue entre mayúsculas y minúsculas si se utiliza el mismo uso de mayúsculas para toda la contraseña. Luego podría hacer una cadena más baja si el indicador está establecido para garantizar que las futuras entradas se procesen de la misma manera.

Tiene el inconveniente de hacer que sea menos obvio lo que se debe hacer, pero aún podría crearse un mensaje de error detallado, como por ejemplo, "Su contraseña aún no es lo suficientemente segura, para hacer que su contraseña sea más segura, considere agregar 3 signos de puntuación, 1 letras mayúsculas, 2 números, 6 letras minúsculas más, o pruebe con un subconjunto de estos. Asegúrese de distribuirlos a lo largo de la contraseña ". Esto le permitiría al usuario conocer ejemplos de lo que se debe agregar para obtener suficiente entropía.

También tiene la desventaja de que es probable que los usuarios solo los agreguen al final, lo cual es menos seguro que si estuvieran extendidos, pero el problema de los usuarios que eligen contraseñas malas es tan antiguo como la seguridad de la información.

    
respondido por el AJ Henderson 14.10.2014 - 16:14
fuente

Lea otras preguntas en las etiquetas