Как вы применяете надежные пароли?

Question

Существует множество методов для обеспечения надежных паролей на сайте:

• Требование, чтобы пароли проходили регулярное выражение различной сложности
• Установка пароля автономно, чтобы обычные пользователи имели надежный пароль
• Срок действия пароля истекает
• и т.д.

С другой стороны, есть недостатки, потому что все они делают жизнь пользователя менее легкой, а значит меньше регистраций.

Итак, какие техники вы используете? Что обеспечивает наилучшую защиту от неудобства?

Чтобы прояснить ситуацию, я не имею в виду банковские сайты или сайты, на которых хранятся кредитные карты. Думайте больше с точки зрения популярных (или не очень популярных) сайтов, которые все еще требуют регистрации.

Answer 1

Я не думаю, что возможно обеспечить надежные пароли, но есть много вещей, которые вы можете сделать, чтобы поощрить их как можно больше.

• Оцените каждый пароль и оставьте отзыв пользователя в виде счета или графической панели и т. Д.
• Установите минимальную оценку пароля, чтобы отсеять ужасных единиц
• Иметь список распространенных слов, которые либо запрещены, либо зачеркнуть счет пароля

Один отличный трюк, который мне нравится использовать, - привязать дату истечения срока действия пароля к баллу пароля. Поэтому более надежные пароли не нужно менять так часто. Это работает особенно хорошо, если вы можете дать пользователям прямую обратную связь о том, как долго будет жить выбранный им пароль (и динамически обновлять его, чтобы они могли видеть, как добавление символов влияет на дату).

Answer 2

Ничего не применяйте ... если вы не защищаете финансовую информацию или что-то столь же важное, не заставляйте пользователя выбирать надежный пароль.

У меня один и тот же слабый пароль на всех сайтах, для которых требуется регистрация на форумах и т. Д. Мне действительно все равно, если кто-то угадает и может публиковать сообщения от своего имени (и не думаю, что для этого есть большая мотивация) кто-то для этого). Что я не могу сделать, так это запомнить разные надежные пароли для дюжины сайтов и на самом деле не хочу использовать другое программное обеспечение для управления ими для меня.

Лучшим компромиссом было бы показать пользователю какую-то обратную связь о том, насколько надежен пароль (на основе того, является ли оно словарным словом, количеством различных типов символов, длиной и т. Д.).

Answer 3

По моему опыту, это действительно зависит от типа сайта, как вы сказали.

Если вы создаете банковский или финансовый веб-сайт, пользователи обычно понимают, есть ли у вас более надежный пароль, поскольку их личные данные могут подвергаться риску.

Однако для сайтов, которые обычно не содержат много личной информации, подойдет более простой пароль. Они могут быть менее склонны к попыткам взлома и в любом случае не получат ничего стоящего.

Я также обнаружил, что у большинства людей, похоже, есть пара паролей, которые они часто используют. Один сложный, а другой простой. Поэтому требование использования сложного пароля обычно не мешает людям регистрироваться.

Я никогда не находил истекающие пароли для успешной работы. Как я уже говорил, у многих людей уже есть набор паролей, которые они часто используют, поэтому просьба выйти за пределы этого только для вашего сайта может заставить их не захотеть возвращаться.

Answer 4

Почему принудительно это?

Я обнаружил, что «измеритель надежности пароля» (полоса, показывающая надежность пароля при вводе), как правило, является хорошей ненавязчивой мерой. Это заставляет тех, кто заботится о безопасности, испытывать чувство вины из-за слабости пароля, но не расстраивает тех, кому это безразлично.

Кроме того, есть проницательное эссе о , почему политика периодической смены пароля является плохой идеей в современной модели угроз .

Answer 5

Существует инструмент Ajax PasswordStrength, который даст пользователю представление о том, хорош ли его пароль. Мне это нравится, потому что не нужно запрещать создание пароля.

http://www.asp.net/AJAX/AjaxControlToolkit/Samples/PasswordStrength/PasswordStrength.aspx

Answer 6

После истечения срока действия паролей у практики есть две заметные проблемы:

• Пользователям труднее запоминать свои текущие пароли, и поэтому они с большей вероятностью будут делать глупые вещи, такие как запись их на пост, прикрепленный к их монитору.
• Пользователи не генерируют новый, надежный, не связанный пароль при каждой попытке. Большую часть времени они используют какую-то схему для генерации пароля, похожего на старый. Поэтому, если злоумышленник получит старый пароль, ему все равно будет довольно легко вывести новый пароль.

РЕДАКТИРОВАТЬ: Это не значит, что я против всей идеи, но только то, что это необходимо учитывать наряду с другими факторами.

Answer 7

Лучший способ действительно зависит от вашего сайта и того, что вы используете. Но идеальный способ - сделать как можно больше на стороне клиента, прежде чем они отправят его. Использование RegEx - хороший способ. Если вы можете заставить их не отправлять форму снова, это идеально.

Answer 8

Я никогда не видел, чтобы это было сделано, но кажется, что это будет работать замечательно: страница создания пароля может иметь расширяемый список, скажем, 50 самых общих паролей , заставляя пользователя прокрутите немного перед вводом пароля. Это, в сочетании с предложением Шекера, сделало бы многое для предотвращения небрежного выбора.

Однако решение проблемы предотвращения повторного использования пароля ... без понятия.