¿Cómo puedo hacer cumplir una política de contraseña segura con una base de usuarios no técnicos?

8

He estado usando zxcvbn para hacer cumplir contraseñas seguras para un servicio donde los robos podrían causar problemas considerables. Sin embargo, el servicio solo es viable si muchos usuarios se registran. Descubrimos que los usuarios tienden a alejarse frustrados cuando zxcvbn rechaza una contraseña tras otra (en función de las métricas del sitio web y los eventos en persona). Comenzamos con la fuerza de zxcvbn en 4 y desde entonces la hemos reducido a 2, pero el problema persiste.

Se ha vuelto dolorosamente claro que su promedio de Jane está acostumbrado a crear contraseñas malas y no tiene interés en volver a capacitarse. No tenemos el presupuesto para asumir la responsabilidad de ese tipo de cambio social, y los poderes que están presionando para volver a algo como "8 caracteres, al menos un número, etc." Es comprensible desde la perspectiva del negocio: pasamos más tiempo entrenando a los usuarios a través del proceso de creación de contraseñas que hablando de nuestro servicio.

Entonces, ¿cuál es la mejor manera de aplicar una política de contraseña que no nos deje con una gran cantidad de cuentas de usuario fácilmente pirateadas y, al mismo tiempo, no alienar a una base de usuarios no técnicos?

Editar: los inicios de sesión se producen a través de la interfaz web, así como en otros, como IMAP, lo que hace que cualquier otro inicio que no sea el inicio de sesión con contraseña sea poco probable.

    
pregunta myday 17.03.2016 - 18:16
fuente

2 respuestas

4

¿Tiene la opción de agregar la autenticación de 2 factores a su sitio? Este es el primer artículo que apareció cuando busqué en Google " usando el autentificador de google en su sitio ".

Si se trata de una red corporativa y sus usuarios son sus empleados, entonces tiene la opción de usar tokens físicos como las tarjetas inteligentes conectadas a sus escritorios o tarjetas de cuadrícula .

Desde una perspectiva de ingeniería social / diseño, ¿puede encontrar una manera de utilizar un enfoque de zanahoria en lugar de un enfoque de látigo? Con eso me refiero a otorgar beneficios a los usuarios que tienen contraseñas seguras (de una manera que no es visible para otros usuarios, de lo contrario es equivalente a la vergüenza pública de contraseñas débiles, que en realidad es peor). Tal vez un pequeño descuento en las cuotas o compras de membresía, o beneficios en el servicio como pequeñas características de tocador, más almacenamiento, prioridad en la cola, wtv. Sé que los MMO han usado esto con gran eficacia para ayudar a fomentar la adopción de claves de 2 factores y contraseñas seguras.

    
respondido por el Mike Ounsworth 17.03.2016 - 18:26
fuente
1

Supongo que este es un servicio basado en web. (No estoy familiarizado con zxcvbn).

Una opción sería eliminar las contraseñas visibles por el usuario por completo. Si puede hacer que los usuarios se registren utilizando su dirección de correo electrónico, les enviará un enlace con una identificación única. Cuando hacen clic en ese enlace, se establece una cookie fuerte en su navegador.

'Los restablecimientos de contraseña' consisten en enviarles un nuevo enlace por correo electrónico.

    
respondido por el Alex Holst 17.03.2016 - 18:53
fuente

Lea otras preguntas en las etiquetas