Los usuarios nunca recuerdan sus contraseñas o respuestas de seguridad. ¿Cómo puedo hacer que recuerden, pero siguen buenas prácticas de seguridad?

Navega tus respuestas
7

Trabajo en una biblioteca donde imparto clases de alfabetización informática, especialmente para personas mayores. Entre otras cosas, tenemos clases donde las personas configuran el correo electrónico u otras cuentas en línea. Para muchos de ellos, esta es su primera exposición a las contraseñas. Aproximadamente una vez al mes, tendré una conversación como esta:

  

Patrón: ¿Me puede mostrar cómo hacer el correo electrónico nuevamente?

     

Yo: Claro. Primero, vaya al sitio web del proveedor de correo electrónico. Bueno. Ahora escriba su dirección de correo electrónico y contraseña.

     

Patrón: No recuerdo mi contraseña. No pensé que tendría que recordarlo.

     

Yo: Tu contraseña es importante. Le permite al proveedor de correo electrónico saber que usted es quien dice ser y no otra persona. Afortunadamente, podemos intentar restablecerlo. Haga clic en ese enlace allí. Es hacer preguntas de seguridad que solo usted sabría. Parece que está preguntando cuál es tu libro favorito.

     

Patrón: No tengo idea.

     

Yo: Bueno, vamos a hacer algunas conjeturas.

     

Patrón: Ninguno de estos está funcionando. ¿Podemos llamar a Google y pedirles ayuda?

He tenido varios clientes bloqueados de sus cuentas permanentemente debido a esto. He intentado que escriban sus contraseñas. No son buenas prácticas de seguridad y, con frecuencia, las pierden (o, lo que es peor, no pueden leer lo que escribieron). Han intentado que me recuerden sus contraseñas, pero como bibliotecario no sería apropiado para mí (y eso tiene todos los problemas de pidiendo a los miembros de la familia que guarden sus contraseñas ). Sin embargo, nada parece ayudar a que ellos recuerden su contraseña.

En cuanto a las preguntas de seguridad, les he pedido que elijan preguntas de seguridad que no cambien. Así que no elijas "¿cuál es tu comida favorita?" pero en su lugar, elija "¿dónde conoció a su cónyuge?" Hace unos meses, ¡en realidad tuve a alguien que también lo olvidó! No podían recordar si pusieron la ciudad, el nombre del restaurante o lo que fuera, y nunca lo descubrieron.

Tuve un usuario que decidió de forma independiente poner su contraseña de correo electrónico en una nota de post-it en su computadora. Sentí ganas de gritar por dentro porque es un grave problema de seguridad, pero al mismo tiempo me alegré mucho de que ya no lo olvidaran. No sabía si debía decir algo al respecto.

Entonces, para los usuarios que olvidan sus contraseñas y respuestas de seguridad de forma crónica, ¿qué puedo hacer para ayudarles a recordar y seguir las buenas prácticas de seguridad?

    
pregunta Thunderforge 27.09.2016 - 05:42
fuente

6 respuestas

4

Para un usuario promedio que probablemente no será objeto de un ataque dirigido, los principales riesgos a considerar son los que plantean los ataques automatizados y las filtraciones masivas de detalles de cuentas y hashes de contraseñas cuando varios sitios web están inevitablemente comprometidos.

Las mitigaciones clave para estos son

a) contraseñas de complejidad suficiente (generalmente de al menos 8 caracteres, no una palabra simple y no se basa en información pública disponible sobre usted)

b) las contraseñas no se reutilizan en sitios diferentes.

Para la mayoría de las personas con muchas cuentas, las dos anteriores excluyen en gran medida la memorización de todo menos las contraseñas de una o dos cuentas, y el resto se almacena en algún lugar. Un administrador de contraseñas encriptadas es una buena opción, pero anotarse es igualmente efectivo para los riesgos anteriores, siempre que puedan almacenarlo en un lugar donde el acceso se limite a una confianza razonable.

Para muchos usuarios domésticos, un simple cuaderno con todas sus contraseñas escritas y almacenadas como hogar es fácil de entender y eficaz para mitigar los principales riesgos que enfrentan.

    
respondido por el Anthony the Engineer 27.09.2016 - 22:34
fuente
3

A falta de utilizar administradores de contraseñas, la solución más razonable que equilibra la seguridad y la facilidad de uso involucra la simple memorización.

Dígales que inicien sesión en esas cuentas un par de veces (o más) al día. Después de unas semanas, probablemente recordarán la contraseña.

Además, esto puede ayudar a los ancianos a reforzar su memoria a largo y corto plazo, lo cual es muy útil, no solo por motivos de seguridad.

    
respondido por el A. Darwin 27.09.2016 - 09:17
fuente
2

Tal vez la mayoría de sus clientes no necesitan realmente el nivel de seguridad que está asumiendo para ellos. La seguridad tiene que ver con el riesgo y el impacto, por lo que debe configurarlo en el nivel correcto.

Tal vez haga que utilicen algo que tienen en ellos, como su tarjeta bancaria, por ejemplo, podrían usar el código de clasificación del banco. O la calle en la que viven o el número de autobús que toman para llegar a la biblioteca, te haces una idea. Si bien esto nunca se consideraría normalmente para una estrategia de contraseña, necesita encontrar algo que funcione en lugar de algo que cumpla con un nivel de seguridad arbitrario.

Alternativamente, obtenga / haga algunas tarjetas del tamaño de una tarjeta de crédito y pídales que escriban sus contraseñas allí y las metan en sus bolsos. Son mucho menos propensos a olvidarlos.

Para preguntas de seguridad, intente usar siempre el mismo patrón. Si las ubicaciones, por ejemplo, siempre consiga que usen City y que todas usen la misma pregunta o tal vez una de un par de preguntas. A continuación, le resultará más fácil devolverles la información.

Simplemente no asuma que la "buena práctica" de seguridad se aplica necesariamente a este subconjunto de personas. Después de todo, me imagino que usted está tratando de animarlos y ayudarlos a disfrutar del uso de las computadoras. Para mejorar la seguridad para ellos, primero debes alentarlos a usar computadoras. Después de eso, puedes trabajar en estrategias para ayudarles a comprender las implicaciones. Simplemente evite que hagan cualquier cosa que requiera altos niveles de seguridad en el correo electrónico.

    
respondido por el Julian Knight 27.09.2016 - 09:15
fuente
1

Si no es el caso, deje que el usuario elija y escriba su propia pregunta de seguridad. En lugar de seleccionar automáticamente uno en una lista prefabricada y escribir una respuesta casi aleatoria, el usuario primero tendrá que pensar en una pregunta que implique concentración. La concentración ayuda a recordar cosas, ya que esto activará la memoria de escritura al escribirla.

    
respondido por el Xavier59 27.09.2016 - 07:38
fuente
0

Esta es una gran pregunta, porque es un problema tan común.

Primero, una de las mejores maneras de ayudarlos es hacer que escriban los sitios y las contraseñas en una hoja de papel con un bolígrafo o lápiz, y que lleven el papel en su bolso o billetera. En realidad, esto es bastante seguro para la mayoría de las personas porque un pirata informático no puede cortar el papel que está doblado dentro de su billetera. Sería bueno recomendar que hagan una copia ocasional del papel para guardar en casa, en caso de pérdida o robo de su billetera, pero en la práctica nadie recordará hacer eso.

A continuación, recomiendo que la gente piense en una frase de cuatro o más palabras, no solo una palabra . Esto ayuda a las personas a seleccionar contraseñas más largas, lo que hace que el trabajo de descifrar las contraseñas sea exponencialmente más difícil. "mygrandbabyricardoiscute" es una contraseña mucho mejor que "grandbaby" o "ricardo", y es igual de fácil de recordar. No es fuerte la "batería de caballo correcta", pero es lo suficientemente eficaz.

Luego, para evitar tener tantas contraseñas, haga que las personas dividan sus ID en categorías no muy importantes, importantes y muy importantes:

No es muy importante: Twitter, Facebook, blogs, chat. Por lo general, está bien elegir una contraseña más corta que pueda recordar para todos esos sitios. Nunca compre nada ni use una tarjeta de crédito con una contraseña no muy importante, y nunca dé su fecha de nacimiento real u otros datos personales a un sitio no muy importante. En su lugar, use algo como 1/1/1940 (o el primer día de la década de su nacimiento). Por supuesto, si el sitio es pirateado o si se pierde la contraseña, deben acordarse de cambiarla en todas partes.

Importante: correo electrónico, compras, pedidos, ID de Apple, SamsungPay, Amazon o cualquier sitio que obtenga su número de tarjeta de crédito. Elija una contraseña única más larga para cada uno de esos sitios y escríbala en el papel que guarda en su billetera.

Muy importante: banca, cuentas de retiro, cuentas de salud. Elija una contraseña larga y única para cada uno de esos sitios, anote esas contraseñas en una hoja de papel por separado y nunca inicie sesión en ningún otro lugar que no sea su hogar. Mantenga el papel en casa también.

Cuando sea posible, use PayPal, Apple Pay, Google Wallet, Amazon u otro sistema de pago de terceros en lugar de ingresar un número de tarjeta de crédito directamente en un sitio web de compras.

    
respondido por el John Deters 28.09.2016 - 19:07
fuente
-1

Como se muestra en este cómic xkcd, enséñeles esta mejor manera de crear contraseñas que sean mucho más fáciles de recordar.

    
respondido por el analog-nico 28.09.2016 - 07:39
fuente

Lea otras preguntas en las etiquetas

¿Sería viable encriptar un JWT firmado para asegurar la carga útil de los reclamos? ¿Cómo, si es que existen, algunos lenguajes de programación son intrínsecamente menos seguros?