¿Por qué el usuario elige la contraseña?

¿Por qué, efectivamente?

Permítame ignorar esa pregunta por un momento, y responda a su pregunta implícita: ¿Deberíamos? Es decir, ¿deberíamos seguir haciendo que los usuarios creen su propia contraseña, que a menudo es débil, en lugar de que el sistema genere una contraseña segura para ellos?

Bueno, soy de la opinión controvertida de que hay una compensación bastante fuerte aquí: tener una contraseña segura y SABER qué tan segura es (como señala), por un lado, y por otro lado es el sentimiento de seguridad del usuario. "Usabilidad", hasta cierto punto.

Creo que hay varios aspectos de esta sensación de seguridad: algunos usuarios querrán asegurarse de que tengan una contraseña segura (por ejemplo, a través de un administrador de contraseñas o software de dados); algunos usuarios querrían seleccionar una contraseña fácil; y algunos usuarios quieren usar la misma contraseña en todas partes. Y sí, muchos usuarios simplemente esperan para poder establecer su contraseña, por el motivo que sea, por lo que, además de cualquier causa específica, todavía tendrá que luchar en la batalla de reeducación, que no es nada fácil. .

Además, no olvide que una vez que obtenga una contraseña sólida y segura para el usuario, el usuario (a menudo no técnico) todavía debe averiguar qué hacer con ella, incluso las frases de contraseña se vuelven difíciles de recordar después de las primeras doce. o así, o si solo lo usa cada 6 meses ... Lo más probable es que el usuario no técnico lo guarde en un documento de Word en su escritorio o en su correo electrónico. (Y, por supuesto, escriba la contraseña del sistema operativo en una nota adhesiva adjunta a la pantalla).

Ahora, no menosprecie estas razones, o estas causas para usar contraseñas débiles: nosotros, la industria de la seguridad, hemos creado este escenario para la gente simple durante años. Pero realmente se reduce a: qué tan seguro necesita que sea su sitio. ¿Cuánto riesgo puede decidir el usuario tomar sobre sí mismo, y qué parte de eso es un riesgo del sistema que debe tomarse de las manos del usuario?

Conclusión: sí, creo que la mayoría de los sitios que tienen requisitos de seguridad no despreciables deberían ofrecer la generación de contraseñas / contraseñas. Dependiendo del perfil y la arquitectura, podría ofrecer 3 opciones cuando registre una cuenta (o cambie la contraseña, etc.). Solo asegúrese de mostrar la contraseña después de advertir al usuario contra la navegación:

• Generar frase de contraseña: con un número configurado o flexible de palabras (predeterminado)
• Genere contraseñas fuertes y fuertes con una entropía ridícula, por ejemplo, para guardar en el administrador de contraseñas
• Crea el tuyo.

De hecho, esto es lo que he estado recomendando desde hace algún tiempo (las variantes dependen de los requisitos específicos ...).

Volviendo a su pregunta original, ¿por qué no se hace lo anterior?
Supongo que una combinación de sistemas heredados y malos hábitos; educación errónea (la gran mayoría de los sitios aún tienen políticas y recomendaciones de contraseñas MALAS); y tal vez solo una falta de conciencia de una mejor solución.

Sí, esto es porque las contraseñas suck . :-)

Obtención de la contraseña para el usuario

Las únicas veces que he visto sistemas que configuran la contraseña para el usuario, se envía al usuario por correo electrónico (obviamente en texto plano), lo que obviamente es una mala idea [*] (y SMS, Mail, etc. no son que mucho mejor).

Así que eso dejaría de mostrar la contraseña al crear la cuenta (lo que también podría ser una mala idea debido a la navegación por los hombros). Asumiría que esto llevaría a muchos usuarios que ignorarían esto o no se darían cuenta de que es importante. Los usuarios están acostumbrados a recordar / escribir / almacenar contraseñas cuando las crean ellos mismos, pero no están acostumbrados a leer alguna página después de crear una cuenta; muchos probablemente lo ignorarían.

_{[*] porque cualquier persona que obtenga acceso a la cuenta de correo de los usuarios (fuerza bruta, usuario que olvidó cerrar sesión, etc.) no tendrá acceso. Si un atacante usa un restablecimiento de contraseña para obtener acceso, un usuario al menos notaría esto.}

Lograr que el usuario recuerde la contraseña

Los usuarios necesitan saber sus contraseñas. Por lo general, tienen un par de opciones para esto (memoria, escribirlo o almacenarlo en un archivo o administrador de contraseñas). Uno de los principales (memoria) no sería práctico con su enfoque [*], que asumiría es la razón principal por la que los sitios web no generan contraseñas para los usuarios.

_{[*] incluso con contraseñas generadas fáciles de recordar, a los usuarios todavía les resultará más difícil recordar eso que las contraseñas que ellos mismos eligieron.}

Experiencia de usuario

La seguridad no es el negocio principal de la mayoría de los servicios web. A menudo es más importante que los usuarios estén contentos, y muchos usuarios no estarán tan contentos si no pueden elegir sus propias contraseñas (porque no quieren recordar las contraseñas generadas, y no quieren escribirlas, y también lo hacen). No quiero usar un administrador de contraseñas). Los usuarios solo quieren usar un servicio, y cualquier cosa que complique eso puede llevar a un porcentaje de personas que utilizan un servicio de la competencia.

Conclusión

Las contraseñas siempre son una compensación entre usabilidad y seguridad, y no permitir que los usuarios elijan las contraseñas reduce la usabilidad de un servicio demasiado para la mayoría de ellas (y debido a los problemas de obtener la contraseña generada para el usuario, es posible que no sea así). incluso agregar toda esa seguridad).

Las organizaciones quieren que los usuarios sean responsables.

Si el usuario eligió la contraseña, se les puede culpar por elegir una incorrecta.

Desafortunadamente, en el mundo real, es posible que las organizaciones tengan que preocuparse más por parecer que asumen parte de la responsabilidad de las intrusiones que por asegurar que no puedan suceder.

Los usuarios desean elegir algo que puedan recordar

Muchos usuarios no escribirán sus contraseñas (dejando de lado si es una buena idea o no). Prefieren elegir algo que creen que pueden recordar. (Esto es especialmente importante para los miles de sitios que no deberían necesitar una contraseña pero obligan a los usuarios a elegir una).

Un encuestado tocó la respuesta correcta, pero no la amplió lo suficiente, así que lo haré.

Está haciendo la pregunta desde una perspectiva centrada en la computadora o la TI. ¿Pero por qué existe eso? Para atender al cliente. Permítame repetir esto: el cliente no está para atenderlo, usted está allí para hacer lo que necesita que haga.

Teniendo eso en cuenta, volvamos a la pregunta: ¿por qué seguimos permitiendo que los clientes elijan sus propias contraseñas? ¿Por qué no establecemos contraseñas para los clientes?

Porque si forzamos contraseñas a los clientes, ¿qué suponen que van a hacer? Les impusimos algo inmemorable que necesitan saber más tarde. Yo garantizo que van a agarrar un Post-It y escribir esa contraseña.

Has fallado. Las contraseñas escritas en papel son una falla de seguridad. Nunca quieres que eso suceda . Y antes de culpar al cliente en este caso, usted es quien los obligó a usar una contraseña que no tuvieron mano para crear. No tuvieron oportunidad de hacerlo memorable. Les dijiste "Memoriza 'F82 $ fVq9' y no lo escribas". Como cliente mi primera reacción sería "Fuck you". Las empresas no llegan a decirles a los clientes qué hacer. Los clientes encontrarán formas de rebelarse, incluso escribiendo sus contraseñas aleatorias. No luches contra la naturaleza humana. Tú. Será. Perder.

Es por esto que permitimos que los clientes elijan las contraseñas. Si su sitio vale la pena, haga como lo hace la mayoría de los sitios de hoy, comprueba la fortaleza de la contraseña elegida. Asegura que la contraseña tenga 8 caracteres, dos dígitos, un carácter en mayúscula y un símbolo.

Y aún no has logrado tu objetivo original porque las computadoras de hoy pueden usar contraseñas de 8 caracteres de fuerza bruta en segundos. Sólo digo'.

¿Desea una seguridad de contraseña real que el cliente elija y en la que también esté satisfecho con la fortaleza? Aquí tienes: enlace

Piénsalo de esta manera, si eliges la contraseña del usuario, la olvidarán y tendrán que usar sistemas de restablecimiento de contraseña.

El "olvidé mi contraseña" generalmente es menos seguro que la contraseña, por lo que hacer que la contraseña sea más segura, pero al hacer más restablecimientos de contraseñas, todo el sistema es menos seguro ya que sería más difícil detectar intentos fraudulentos de "olvidé mi contraseña".

Edit: Supongo que no trabajas para un banco o silo de armas nucleares. Si lo haces, por favor ignora mi consejo.

No escojo mis propias contraseñas. Yo uso un administrador de contraseñas que genera contraseñas aleatorias para mí.

Sin embargo, la mayoría de los sitios web se basan en la idea de que los usuarios memorizarán sus contraseñas. Es mucho más fácil para un usuario memorizar una contraseña que eligieron ellos mismos, en lugar de una asignada a ellos. También en la práctica, los usuarios suelen utilizar la misma contraseña en muchos sitios, y aunque la letra pequeña les indica que no lo hagan, el proceso de registro no puede detenerlos.

Creo firmemente que el modelo de "memorizar tus contraseñas" es defectuoso, y un administrador de contraseñas es una mejor opción para casi todos. Pero esta no es la realidad; No tengo cifras, pero incluso entre mis amigos expertos en tecnología, usar un administrador de contraseñas para todo es raro.

En muchas situaciones, se espera que el usuario sea su propio guardián de seguridad porque el usuario del sistema no es la amenaza para el sistema. Las amenazas para el sistema son los administradores y los operadores de categoría de empleados que, en virtud de su posición, tienen una exposición y permisos / derechos elevados dentro del sistema.

Sin un sistema seriamente defectuoso, James Random Person no podrá generar y agregar a su cuenta $ 4 millones de bits y bytes, todo por sí mismo. Él, o alguien que actúa como él, solo puede dañar su propia cuenta. La amenaza real es de aquellos con privilegios / derechos elevados, que están en el interior. Si James Random Person tiene una contraseña de "xxxx22", y su cuenta se ve comprometida, eso está en él, no en ti.

Sí, las contraseñas seguras / frases de contraseña son una gran idea. Pero tan pronto como empieces a obligar a los usuarios a usarlos, los usuarios se molestarán y los usuarios se irán.

A pesar de que esta pregunta ya tiene mil millones de respuestas, las propuestas muy recientes para los navegadores hacen que valga la pena mencionar otra posibilidad. Sí, la solución de contraseña actual apesta. Sin embargo, la respuesta no es hacer contraseñas mejor. La respuesta es deshacerse de las contraseñas. W3C y Fido han presentado una nueva propuesta para impulsar la compatibilidad nativa del navegador con la autenticación de usuarios externos: claves de hardware, datos biométricos, etc. Aquí hay un par de artículos:

enlace "ahref=" https://fidoalliance.org/fido-alliance-and-w3c-achieve-major-standards-milestone-in-global-effort-towards-simpler-stronger-authentication-on-the-web/ " > enlace

Obviamente, esto está muy lejos de ser de uso común. También vale la pena mencionar que pasará mucho tiempo (si es que lo hace) antes de que las opciones de inicio de sesión como estas reemplacen completamente las contraseñas. Las contraseñas estarán alrededor por mucho, mucho tiempo. Sin embargo, si estuviera creando un sistema que necesitara seguridad de usuario de primera clase, no me molestaría en proporcionar una opción alternativa de generación de contraseña. Simplemente admitiría las mejores prácticas de contraseñas actuales y brindaría asistencia para esquemas de autenticación alternativos como los anteriores tan pronto como la tecnología sea factible.

Otras personas lo han mencionado antes, pero creo que se espera que un usuario tenga control sobre la seguridad de su cuenta.

Dicho esto, estoy de acuerdo en que muchas contraseñas no son muy sólidas y, por lo tanto, deben ser verificadas por un cliente (por lo tanto, no estamos enviando contraseñas sin procesar a través del red) para comprobar la complejidad, y si la contraseña no tiene una puntuación lo suficientemente alta, requerimos que el usuario cree una contraseña más segura.

Incluso si la contraseña tiene un cambio requerido el usuario todavía está creando el cambio , y como siempre has escuchado en la escuela, "si lo escribes, no lo olvidarás , "y creo que lo mismo es cierto en esta circunstancia con la creación de contraseñas.

Fuera del tema, pero recomiendo encarecidamente 1Password para usuarios que tengan problemas para recordar contraseñas.

  

Al seleccionar la contraseña para el usuario, usted conoce la entropía, como   A diferencia de poner algunas restricciones que pueden impedirles usar   un esquema de baja entropía

Para obtener lo mejor de ambos mundos, también puede calcular la entropía (o cualquier mecanismo que considere apropiado) mientras escriben la contraseña elegida. Este es el mecanismo utilizado en muchas páginas de registro:

Hay varias ventajas de este método (el usuario elige su contraseña, es consciente de que se trata de uno "bueno" o "malo", ...).

Solo asegúrese de que su filosofía de lo que constituye una contraseña buena y mala tenga sentido y que su implementación sea amigable con los administradores de contraseñas (simplemente odio estos sitios que rompen Lastpass en nombre de Dios sabe qué)

Ok las contraseñas chupan. En realidad, he encontrado más pruebas de fallos tempranos de contraseñas que sistemas de contraseñas bien diseñados cuando veo las contraseñas como un método de control de acceso antes de las computadoras. Desafortunadamente, hay tres métodos que he visto para "abordar" el problema.

1. análisis de riesgo de costos: decida que el riesgo es pequeño y el costo es grande, no haga nada (hay muchas respuestas que argumentan desde este punto de vista sobre esta pregunta).

2. mejores contraseñas: en el núcleo, tu pregunta está buscando la manera de hacerlo. Desafortunadamente, esto es difícil y costoso (costo de oportunidad como mínimo). Por ejemplo, hice un esfuerzo en mi tiempo libre durante un período de meses para configurar un generador de contraseña integrado en la contraseña de inicio de sesión de mi computadora usando pam. No he realizado ningún progreso significativo y los componentes básicos se han eliminado de mi distribución elegida para errores.

3. algo más que contraseñas: he hecho un esfuerzo para configurar el inicio de sesión con tarjeta inteligente en mi computadora antes de recomendarlo a mi jefe. No he encontrado a nadie que me venda uno para probar. Es de esperar que esto haya cambiado en el último año, pero la última vez que verifiqué que estaban menos disponibles que en los Estados Unidos.

Me parece deprimente.