¿Cómo puedo convencer a otros de la importancia de la administración de contraseñas?

Navega tus respuestas
7

Me acabo de casar y mi esposa y yo estamos combinando finanzas, etc.

Creamos una cuenta bancaria conjunta y lo primero que hago durante la fase de configuración de la cuenta es generar una contraseña de 16 caracteres con LastPass.

  

No, no hagas eso! ¿Cómo puedo acceder si utilizo LastPass? ¡Simplemente haz que sea algo fácil de recordar!

Nos comprometimos con eso: generé una contraseña que ambos acordamos que es razonablemente larga con una mezcla de caracteres, y aún así es algo que ella puede recordar de la cabeza. (No importa que con LastPass pueda compartir las contraseñas de varias cuentas, ¡sin que ninguna de las dos personas sepa siquiera la contraseña!)

Mi esposa encaja definitivamente en la categoría de "usuario promedio" en lugar de la categoría de "usuario avanzado". He podido convencerla de que active la autenticación de dos factores siempre que sea posible, pero en general no está dispuesta a cambiar la conveniencia por la seguridad.

Obviamente, no es necesario que sea así. Uso LastPass religiosamente, y ella ve que lo uso regularmente para generar y usar contraseñas. Estoy en su oído con bastante regularidad sobre la importancia de la seguridad de las contraseñas (vea cómo varias entidades se piratean, lo que realmente no creo que sea algo sofisticado, solo una infraestructura de TI deficiente debido a que la administración piensa que la TI no es un "valor agregado") Ella (y muchos de mis otros amigos) están muy contentos con tener las 4 contraseñas estándar para todos sus sitios web. Realmente no ven cuál es el punto de tener contraseñas más difíciles. Para mi esposa, es "Configuraré LastPass en otro momento, no es realmente tan importante de todos modos". Creo que todos en esta SE pensarían que realmente es tan importante.

Realmente no entiendo de qué se trata el problema con el uso de un administrador de contraseñas, pero nuevamente es tan obvio para mí por qué nadie debería irse de casa sin uno. ¿Cómo podemos educar / convencer / etc a las personas con conocimientos de informática a los que no son expertos en informática que nos importa tomar en serio su propia seguridad?

    
pregunta Dang Khoa 28.04.2015 - 06:15
fuente

3 respuestas

6

Su esposa no usa LastPass porque tiene mejores cosas que hacer, no porque no sea capaz de darse cuenta de su utilidad.

Usted pensaría que una vez que las personas entienden correctamente los riesgos a los que están expuestos (lo que requiere una gran cantidad de educación), automáticamente comenzarían a cumplir con cualquier consejo de seguridad que se les presente. Bueno, esta suposición ha demostrado ser errónea varias veces. Consulte 'Hasta ahora, no, gracias por las externalidades' , que tiene un par de ejemplos de seguridad inútil y Beautement y el 'Presupuesto de cumplimiento' de Sasse para una teoría general de cómo se comportan los humanos con respecto a la seguridad.

En economía de la seguridad de la información, hay varios ejemplos de personas que se arriesgan voluntariamente porque les ahorra el tiempo que necesitan para otras tareas o porque perciben efectos secundarios potencialmente negativos al cumplir (como ser bloqueado, o avergonzado frente a otra persona).

Por lo tanto, en lugar de insistir en que su esposa haga lo que cree que es bueno para ella, identifique sus necesidades, sus prioridades, sus preocupaciones y sus problemas reales. Luego, implemente una herramienta que funcione para ella (si hay alguna) y trabaja con ella para asegurarse de que sepa cómo usarla y perciba su utilidad y sus limitaciones correctamente.

Por ejemplo, no uso los administradores de contraseñas porque uso algunas de mis cuentas en tantos dispositivos que tengo para conocer las contraseñas, porque tengo algunas contraseñas que debo cumplir. Las políticas tontas se cambian cada dos días (y odio tener que volver a sincronizar mis contraseñas en cada dispositivo), no confío en que las tiendas de contraseñas en línea sean las menos en el mundo, y porque algunos de mis dispositivos están dirigidos con la suficiente frecuencia como para no hacerlo. No quiero que guarden muchas contraseñas. La mayoría de estos problemas que tengo son probablemente de una forma u otra, pero no quiero perder un día de trabajo estableciendo procesos que van en contra de mis hábitos. Y sin embargo, soy un ingeniero de seguridad. En conclusión, la mayoría de los usuarios preferirán lo apropiado y el valor a la seguridad en la mayoría de las situaciones de toma de decisiones.

    
respondido por el Steve DL 28.04.2015 - 10:25
fuente
0

Tu problema es más una cuestión de conciencia y práctica. El hecho de que, como especialistas en seguridad, nos tomamos muy en serio nuestro trabajo (que es lo correcto) y "esperamos" que otros también se tomen en serio la seguridad. Ya que está más cerca del mundo del "mal ciberespacio", es consciente de los controles que deben mantenerse para evitarlos. Por otra parte, su mejor mitad no es tan consciente de los efectos que tienen las malas prácticas de seguridad. Tengo las siguientes sugerencias para usted:

  • Ya que ambos han acordado una contraseña, déjenlos. Asegúrate de cambiarlo cada 90 días. Puede rotar algunos caracteres / palabras / números / especiales aquí y allá y mantener el esquema básico igual. Estoy seguro de que cualquier persona razonable estará de acuerdo. : D
  • Creo que la seguridad de la información tiene más control sobre el "usuario" que en los "mecanismos".
  • El uso de los administradores de contraseñas es, como bien has dicho, más de un "usuario avanzado". El "usuario promedio" lo considera incómodo y más molesto que "algo para mantenerlo seguro". Respeta ese hecho. Estoy seguro de que en tus largos y felices años de matrimonio, ella también se convertirá en una "usuaria de energía". :)

Espero que ayude. Y felicidades. :)

    
respondido por el user2339071 28.04.2015 - 09:58
fuente
0

Fear

Sí, suena horrible, pero en realidad es lo mismo que te hace elegir contraseñas seguras. Miedo de que alguien le robe su dinero de su banco, miedo de que alguien acceda a sus correos electrónicos privados, etc. No es realmente una locura querer educarla sobre su falta de visión (sin intención de ofender, pero llamémosla como es).

Probablemente deberías mencionar lo fáciles que son las contraseñas adivinables. Los artículos de las personas con las que se puede relacionar (por ejemplo: esposas casadas de clase media, no en cualquier cosa oscura) que pierden información sensible / sus vidas, fotos / ahorros, etc. probablemente la ayudarán a replantearse un poco su postura.

    
respondido por el WhyNotHugo 28.04.2015 - 10:16
fuente

Lea otras preguntas en las etiquetas

Generando códigos de respaldo para una implementación 2FA ¿Es posible la lista blanca de USB en Linux?