¿Por qué no recompensamos a los usuarios que eligen contraseñas seguras? [cerrado]

11

Supongamos que hay una propiedad web que tiene algún tipo de sistema de recompensa o producto que sus usuarios desean. Podría ser la reputación de los sitios similares a Stack Exchange, las insignias de rango en los tableros de mensajes o las funciones complementarias que se desbloquean con el tiempo.

A menudo he visto formularios con un "medidor de fuerza de contraseña": cuando el usuario ingresa su contraseña, la barra cambia de rojo a amarillo a verde para indicar qué tan segura es su elección de contraseña. Pero nunca he visto una combinación de estos dos conceptos.

¿Por qué no recompensamos a los usuarios que seleccionan contraseñas seguras dándoles más representantes por adelantado, otorgando credenciales o desbloqueando funciones exclusivas? Me imagino que las insignias visibles públicamente podrían no ser las más inteligentes; si hubiera una insignia de bronce que pudiera interpretarse como "este usuario eligió la segunda complejidad más débil" que divulgaría demasiada información a un posible atacante. (Una rápida mirada al perfil público de un usuario revelaría qué cuentas tenían las contraseñas más débiles, y centrarían sus esfuerzos en la fruta que cuelga más abajo).

¿Alguien ha intentado esto alguna vez? ¿Funcionó?

EDITAR: ¿Cambiaría algo si el beneficio no se publicara públicamente? Por ejemplo, si un banco otorga una tasa de interés de la cuenta de ahorros un poco más alta a los usuarios que optaron por usar un token MFA.

    
pregunta smitelli 22.04.2015 - 14:51
fuente

7 respuestas

27

No sabemos cómo medir la fortaleza de una contraseña, mirando la contraseña. Por supuesto, hay muchas herramientas que pretenden ser "medidores de seguridad de contraseñas" y darle un bonito color verde. Sin embargo, todos son tontos y no te dan la fuerza "verdadera"; en cambio, lo que el medidor de fuerza de la contraseña le dice es: "asumiendo que el atacante es un chimpancé, entonces su contraseña es buena".

Entonces, si bien un valor "rojo" del medidor es una información interesante (le dice: "su contraseña es tan mala que incluso un chimpancé podría romperla"), concentrarse en obtener un resultado "verde" no lo hará lejos. En general, lo hará inmune a los piratas informáticos chimpancés.

De hecho, los medidores de seguridad de contraseñas, y aún más su sistema de distintivo propuesto, son tóxicos : alientan a los usuarios a encontrar contraseñas "ingeniosas" que salen de un par de "reglas de contraseña" integradas en El sistema de medidor de contraseñas. Esto capacita a los usuarios para que intenten alcanzar la seguridad de las contraseñas a través de ingenio y astucia, exactamente lo contrario de lo que deberían hacer. La fortaleza de la contraseña proviene de la aleatoriedad . La aleatoriedad no se puede medir a partir de la salida.

Lo que podría funcionar es un generador de contraseñas, que utiliza la aleatoriedad para sugerir una contraseña para los usuarios cuando la eligen. Entonces pueden obtener la credencial si eligen usar esa contraseña. Si hacen otra elección, en la intimidad de su mente (donde la aleatoriedad es difícil de obtener, desafortunadamente), entonces no obtienen la insignia.

    
respondido por el Tom Leek 22.04.2015 - 16:27
fuente
9

Algunas razones:

  • Se filtraría información sobre qué cuentas tienen contraseñas más débiles. Incluso si no es de acceso público, si un atacante tiene acceso a los hashes de contraseña y también se recupera el valor del indicador de fortaleza de la contraseña, podrían eliminar las grietas de las contraseñas más difíciles de su ataque.
  • "Fuerza de la contraseña" no es realmente una métrica. La fuerza de una contraseña se basa en el grupo de entropía desde el que se crea la contraseña. admixquit podría ser una frase aleatoria de 9 letras minúsculas, en cuyo caso tiene una entropía de 42 bits. O podrían ser dos palabras clave , con solo 25 bits de entropía. La contraseña juancarlitos tiene una longitud de 12 caracteres, y el uso de estos métodos lo hace más "fuerte" que admixquit (con ambas variaciones de generación: Diceware o letras aleatorias). Sin embargo, juancarlitos se encuentra alrededor de la posición 200,009 en la lista de palabras RockYou haciendo que sea más fácil adivinar la contraseña. ¿Quién decide qué califica como "fuerte"?
  • Algunos usuarios se sienten incómodos con contraseñas largas. Esto puede animar a los usuarios a establecer una contraseña compleja y obtener la recompensa para luego tener que restablecerla a la misma contraseña que usan en todos los demás sistemas porque la han olvidado. Esto derrota a todo el objeto de tener la recompensa en primer lugar.
respondido por el SilverlightFox 22.04.2015 - 16:33
fuente
2

Configurar un sistema como usted describe sería una fuga de información que le diría a un atacante a qué usuarios atacar, por lo que sería una mala idea solo por esa razón.

Además, no es necesario. Si desea que los usuarios elijan contraseñas seguras, todo lo que necesita hacer es establecer los requisitos de longitud y complejidad.

    
respondido por el GdD 22.04.2015 - 14:57
fuente
2

La misma razón por la que las personas no obtienen recompensas por pagar la manutención de los hijos o por presentarse al trabajo, es algo que se supone que debe hacer. No recibes elogios por hacer las cosas que debes hacer. Chris Rock hizo una buena presentación sobre este tema.

    
respondido por el omgimdrunk 22.04.2015 - 17:17
fuente
2

En primer lugar, ¿qué es una contraseña segura? La asombrosa mayoría de los sitios web utilizan medidores basados en la máxima entropía alcanzable de un espacio de caracteres, en lugar de la entropía de las contraseñas creadas realmente por los usuarios . Los medidores de fuerza no incitan a los usuarios a crear contraseñas realmente aleatorias, y no captan el hecho de que los usuarios reutilizan las contraseñas de forma rutinaria (por una muy buena razón: tienen demasiadas para recordar).

En segundo lugar, ¿por qué queremos seguir obligando a los usuarios a elegir contraseñas seguras y únicas? La autenticación como se implementa actualmente está rota. Requiere demasiado esfuerzo a medida que la escala según el número de autenticaciones que una persona realiza por día (consulte Estudio de fatiga de contraseña de NIST para tener una idea de la escala de los eventos de autenticación en el lugar de trabajo solo ).

La mayoría de los investigadores e industriales que trabajan en la autenticación no entienden este hecho básico y, como resultado, no tenemos pruebas de cuál es el mejor curso de acción para los desarrolladores de sitios web. Sin embargo, se deben usar sistemas de identidad federados como OAuth2 u OpenID, para que los usuarios puedan confiar, por ejemplo. sus credenciales de GMail para iniciar sesión. Muchos sitios web no tienen razones para pedirles a los usuarios que recuerden otra contraseña, y ciertamente no deberían consumir más atención de la que es estrictamente necesaria para sus operaciones de seguridad.

Si necesita más convencimiento de por qué es una mala idea forzar o incluso animar a los usuarios a aumentar sus esfuerzos en la creación de contraseñas, lea:

respondido por el Steve DL 22.04.2015 - 15:30
fuente
1

La mayoría de los sitios web / servicios tendrían dificultades para ofrecer un incentivo para que un usuario tenga una contraseña segura. Por supuesto, insignias y representantes en sitios como * .stackexchange, pero, de lo contrario, ¿no veo qué se podría ofrecer realmente?

Por supuesto, esto es ignorar la pérdida de información o la pintura de destino para los usuarios sin contraseñas más seguras. No estoy seguro de si constituiría o no una violación de DPA en el Reino Unido. Consultaré a nuestro agente de DPA y le preguntaré. (Edición: esto no es en modo alguno una violación de DPA ya que no se trata de datos personales)

No creo que el enfoque de la zanahoria y el palo funcione en lo que respecta a la complejidad de la contraseña, hasta que se ha picado al usuario.

    
respondido por el Aaron Dobbing 22.04.2015 - 15:25
fuente
1

Aunque el argumento de que la seguridad en sí misma debería ser una recompensa suficiente es justo, hay algunas compañías que ya lo hacen. Por ejemplo, Mailchimp (con quien no tengo afiliación aparte de ser cliente) ha estado dando un 10% de descuento desde marzo de 2013 si habilita 2FA en su cuenta (y antes de eso fue 2% desde febrero de 2012 ).

Como compañía, obviamente, han decidido que les reduce el riesgo (si un spammer se apoderó de su cuenta de Mailchimp, podría afectar su reputación y capacidad de entrega), por lo que le recompensarán financieramente. por ello.

    
respondido por el Matthew Steeples 22.04.2015 - 23:39
fuente

Lea otras preguntas en las etiquetas