Al igual que con muchas personas que trabajan en TI, me he encontrado en la posición de brindar apoyo técnico a parientes mayores. La mayoría de estos familiares no tienen conocimientos técnicos y odian la idea de las contraseñas.
Normalmente me frustro y les doy una variante de p@ssw0rd que obviamente no es tan segura.
¿Cuál es la mejor manera de educarlos sobre cómo generar una contraseña segura que puedan recordar y escribir fácilmente?
Soy un defensor del enfoque de frase de contraseña. Todos sabemos que las contraseñas más largas son más difíciles para los ataques de hash cracking. Durante varios años he abogado por el uso de una oración corta con mayúsculas y puntuación típicas. Esto produce una longitud y complejidad inherentes, pero podría permitir una fácil adivinación. Para que sea más difícil adivinar, se puede agregar más fuerza con el uso de un número de varios dígitos o una palabra impar, como un apodo o un derivado extranjero.
Las siguientes son contraseñas seguras que son fáciles de recordar y de escribir.
My home was 7925.
Bito loves little kids.
Mum was born in 1918.
Abogo por este enfoque para todos, pero podría ser particularmente útil para las personas mayores. Haga que ellos escoja un hecho de su juventud, que a menudo es más fácil de recordar para las personas mayores que los hechos actuales.
Ventajas:
Desventajas:
Suficientes palabras simples en la frase de contraseña lo harán fuerte sin complejidad adicional, por cierto. Considere: Usar un diccionario de inglés muy pequeño que contenga solo 10,000 palabras. Cuatro palabras en un patrón predecible tendrían 10000 ^ 4 = 10 ^ 16 combinaciones, un poco más que una contraseña de 8 caracteres compleja (elegida entre 96 caracteres posibles) y cada palabra adicional agrega más combinaciones de 2 caracteres en una contraseña compleja desde 10000 > 96 ^ 2. Entonces
Dogs and cats are cute.
es más fuerte que una contraseña compleja de 10 caracteres, incluso si el atacante sabe que la frase de contraseña es una oración simple.
Si toma lo anterior y agrega una palabra impar o un número de varios dígitos, una frase de cuatro palabras es una contraseña muy segura.
La inclusión de puntuación y mayúsculas en la mitad de la oración refuerza significativamente la frase de paso, BTW.
Debido a que el campo de la contraseña está enmascarado, los usuarios deben poder escribir sin recibir comentarios de la pantalla, por lo que necesitan algo que puedan escribir correctamente solo con el teclado para mirar. Para este tipo de situación, me gusta mostrarles patrones de teclado:
zaq1@WSXfacebook [el patrón se vuelve obvio cuando lo escribes]
Cada contraseña generada es única, satisface los requisitos de complejidad y longitud, y me parece que las personas naturalmente toman el enfoque de "no pensar ni recordar". También es fácil "cazar y picotear" en el teclado para aquellos que nunca fueron buenos mecanógrafos o tienen problemas de visión. Incluso físicamente he hecho muescas en las teclas para que alguien con poca visión pueda hacerlo solo tocando.
Después de algunos argumentos largos sobre frases de contraseña, encontré una idea para resolver esto.
Quizás es mi incapacidad para explicar completamente las ventajas / motivos que más me han frustrado. Uno de los contra-argumentos que encontré siendo rechazado fue:
No parecen como contraseñas
He configurado las contraseñas de mis familiares para que sean las mismas que las de su placa de auto. En el Reino Unido, las matrículas siguen uno de estos patrones:
AB12 CDE
A123 BCD
Esto es algo que mis familiares pueden recordar fácilmente (si lo olvidan, pueden abrir la puerta principal y verificar) y cumple con la mayoría de los requisitos de "contraseña segura". El espacio entre los grupos de dígitos se puede intercambiar por cualquier carácter especial.
Asegure contraseñas memorables para usuarios mayores
No estoy seguro de que haya una respuesta. Si una contraseña es memorable, es simple, contiene un patrón o tiene conexiones con otros recuerdos, lo que la hace menos fuerte. La mayoría de las sugerencias que he visto utilizan uno o más de estos métodos.
Usted está preguntando específicamente por contraseñas memorables, pero ¿por qué no usar un administrador de contraseñas? ¿O un token de acceso físico?
Podría ser tan simple como usar su teléfono inteligente para la autenticación, aunque entonces el teléfono inteligente debe estar protegido (y las personas mayores pueden no tener / querer un teléfono inteligente). Si resulta que tienen uno que tiene un lector de huellas dactilares, podría ser una buena opción. Sin embargo, darles un dispositivo separado es más parecido a una clave física y podrían cuidarlo mejor con seguridad.
Y si todo lo demás falla, un administrador de contraseñas en su computadora podría ser mucho más seguro de lo que pueda y recordará, incluso si ese tiene un código de acceso simple.
Losfamiliares [...] odian la idea de las contraseñas
Los familiares pueden ser ligeramente diferentes (generalicé hasta ahora). ¿Hacen un trabajo importante, o son conserjes en alguna parte? ¿Tienen una computadora portátil separada y una computadora personal? ¿Qué tipo de servicios utilizan?
Todas esas preguntas cambian las cosas. Si tienen alguna función de administrador y no tienen una computadora portátil personal separada, podría ser una buena idea aumentar su seguridad y pagar ese dólar extra para obtener un Yubikey o algo así. Los servicios que usan también son importantes entonces: no todo es compatible con 2FA (o lo que buscamos en este caso: 1FA después de eliminar la contraseña, o después de hacerla bastante débil). Es posible que tenga que cambiar de servicio o usar un administrador de contraseñas (o adicionalmente, o usar el token de acceso para su administrador de contraseñas, o ...).
Hay muchas opciones, pero vería cosas que las personas no necesariamente tienen que recordar. Después de todo, buscamos autenticar a las personas físicas, no llenar sus cerebros con algo tan difícil como sea posible.
Lea otras preguntas en las etiquetas password-policy user-education