Asegure contraseñas memorables para usuarios mayores

8

Al igual que con muchas personas que trabajan en TI, me he encontrado en la posición de brindar apoyo técnico a parientes mayores. La mayoría de estos familiares no tienen conocimientos técnicos y odian la idea de las contraseñas.

Normalmente me frustro y les doy una variante de [email protected] que obviamente no es tan segura.

¿Cuál es la mejor manera de educarlos sobre cómo generar una contraseña segura que puedan recordar y escribir fácilmente?

    
pregunta Burgi 08.11.2015 - 23:42
fuente

4 respuestas

3

Soy un defensor del enfoque de frase de contraseña. Todos sabemos que las contraseñas más largas son más difíciles para los ataques de hash cracking. Durante varios años he abogado por el uso de una oración corta con mayúsculas y puntuación típicas. Esto produce una longitud y complejidad inherentes, pero podría permitir una fácil adivinación. Para que sea más difícil adivinar, se puede agregar más fuerza con el uso de un número de varios dígitos o una palabra impar, como un apodo o un derivado extranjero.

Las siguientes son contraseñas seguras que son fáciles de recordar y de escribir.

  My home was 7925.
  Bito loves little kids.
  Mum was born in 1918.

Abogo por este enfoque para todos, pero podría ser particularmente útil para las personas mayores. Haga que ellos escoja un hecho de su juventud, que a menudo es más fácil de recordar para las personas mayores que los hechos actuales.

Ventajas:

  • Las oraciones o frases son fáciles de recordar.
  • El lenguaje natural incluye puntuación y espacios que crea La complejidad es fácil de recordar y de escribir.
  • Incluso las oraciones más cortas es una contraseña larga.

Desventajas:

  • El hecho de no incluir una palabra impar o un número de varios dígitos puede hacer que la frase de contraseña sea susceptible de fuerza bruta si el atacante asume una estructura de oración y usa un diccionario.
  • Escribir una contraseña larga sin ver lo que estás escribiendo puede ser una problema para algunos usuarios.
  • Algunos sistemas no permiten el conjunto de caracteres completo, como los espacios o puntuación.
  • Algunos sistemas limitan la longitud de la contraseña.

Suficientes palabras simples en la frase de contraseña lo harán fuerte sin complejidad adicional, por cierto. Considere: Usar un diccionario de inglés muy pequeño que contenga solo 10,000 palabras. Cuatro palabras en un patrón predecible tendrían 10000 ^ 4 = 10 ^ 16 combinaciones, un poco más que una contraseña de 8 caracteres compleja (elegida entre 96 caracteres posibles) y cada palabra adicional agrega más combinaciones de 2 caracteres en una contraseña compleja desde 10000 > 96 ^ 2. Entonces

  Dogs and cats are cute.

es más fuerte que una contraseña compleja de 10 caracteres, incluso si el atacante sabe que la frase de contraseña es una oración simple.

Si toma lo anterior y agrega una palabra impar o un número de varios dígitos, una frase de cuatro palabras es una contraseña muy segura.

La inclusión de puntuación y mayúsculas en la mitad de la oración refuerza significativamente la frase de paso, BTW.

    
respondido por el JaimeCastells 12.11.2015 - 15:47
fuente
3

Debido a que el campo de la contraseña está enmascarado, los usuarios deben poder escribir sin recibir comentarios de la pantalla, por lo que necesitan algo que puedan escribir correctamente solo con el teclado para mirar. Para este tipo de situación, me gusta mostrarles patrones de teclado:

[email protected] [el patrón se vuelve obvio cuando lo escribes]

Cada contraseña generada es única, satisface los requisitos de complejidad y longitud, y me parece que las personas naturalmente toman el enfoque de "no pensar ni recordar". También es fácil "cazar y picotear" en el teclado para aquellos que nunca fueron buenos mecanógrafos o tienen problemas de visión. Incluso físicamente he hecho muescas en las teclas para que alguien con poca visión pueda hacerlo solo tocando.

    
respondido por el schroeder 12.11.2015 - 17:19
fuente
0

Después de algunos argumentos largos sobre frases de contraseña, encontré una idea para resolver esto.

Quizás es mi incapacidad para explicar completamente las ventajas / motivos que más me han frustrado. Uno de los contra-argumentos que encontré siendo rechazado fue:

  

No parecen como contraseñas

He configurado las contraseñas de mis familiares para que sean las mismas que las de su placa de auto. En el Reino Unido, las matrículas siguen uno de estos patrones:

AB12 CDE
A123 BCD

Esto es algo que mis familiares pueden recordar fácilmente (si lo olvidan, pueden abrir la puerta principal y verificar) y cumple con la mayoría de los requisitos de "contraseña segura". El espacio entre los grupos de dígitos se puede intercambiar por cualquier carácter especial.

    
respondido por el Burgi 16.11.2015 - 17:43
fuente
0
  

Asegure contraseñas memorables para usuarios mayores

No estoy seguro de que haya una respuesta. Si una contraseña es memorable, es simple, contiene un patrón o tiene conexiones con otros recuerdos, lo que la hace menos fuerte. La mayoría de las sugerencias que he visto utilizan uno o más de estos métodos.

Usted está preguntando específicamente por contraseñas memorables, pero ¿por qué no usar un administrador de contraseñas? ¿O un token de acceso físico?

Podría ser tan simple como usar su teléfono inteligente para la autenticación, aunque entonces el teléfono inteligente debe estar protegido (y las personas mayores pueden no tener / querer un teléfono inteligente). Si resulta que tienen uno que tiene un lector de huellas dactilares, podría ser una buena opción. Sin embargo, darles un dispositivo separado es más parecido a una clave física y podrían cuidarlo mejor con seguridad.

Y si todo lo demás falla, un administrador de contraseñas en su computadora podría ser mucho más seguro de lo que pueda y recordará, incluso si ese tiene un código de acceso simple.

  Los

familiares [...] odian la idea de las contraseñas

Los familiares pueden ser ligeramente diferentes (generalicé hasta ahora). ¿Hacen un trabajo importante, o son conserjes en alguna parte? ¿Tienen una computadora portátil separada y una computadora personal? ¿Qué tipo de servicios utilizan?

Todas esas preguntas cambian las cosas. Si tienen alguna función de administrador y no tienen una computadora portátil personal separada, podría ser una buena idea aumentar su seguridad y pagar ese dólar extra para obtener un Yubikey o algo así. Los servicios que usan también son importantes entonces: no todo es compatible con 2FA (o lo que buscamos en este caso: 1FA después de eliminar la contraseña, o después de hacerla bastante débil). Es posible que tenga que cambiar de servicio o usar un administrador de contraseñas (o adicionalmente, o usar el token de acceso para su administrador de contraseñas, o ...).

Hay muchas opciones, pero vería cosas que las personas no necesariamente tienen que recordar. Después de todo, buscamos autenticar a las personas físicas, no llenar sus cerebros con algo tan difícil como sea posible.

    
respondido por el Luc 16.11.2015 - 17:50
fuente

Lea otras preguntas en las etiquetas