web-dev-qa-db-ja.com

パスワードの複雑さを軽減しますか?

私の新しい役割を始めて以来、ログインセッションの20%がドロップアウトを引き起こしていることがわかりました。

ユーザーの録音を見ると、これはユーザーがパスワードを忘れたことが原因だと思います。ユーザーは自分のメールアドレスと次のもので構成されるパスワードでログインします。

  • 大文字
  • 小文字
  • スペシャルキャラクター

現在、この問題を解決し、この割合を減らす方法を検討しています。ログインページにパスワードの複雑さを表示することに関する質問は以前に見たことがありますが、それはセキュリティの問題です。

将来の登録/パスワードのリセットのためにパスワードの複雑さを減らすことは実行可能なオプションでしょうか?過去に問題があった場合に、より簡単にパスワードをリセットする機会をユーザーに提供するリセットプロンプトをメールで送信できますか?

23
danwood

平均的な人は19のパスワードを持っています

質問した人の3人に1人以上(35%)が強力なパスワードを覚えるのに苦労していると言っています。

https://nakedsecurity.sophos.com/2014/10/17/average-person-has-19-passwords-but-1-in-3-dont-make-them-strong-enough/ =、2014

ユーザーが覚えておく必要のあるパスワードの数を想像してください!ユーザーに5つの要件を要求する

  • 大文字
  • 小文字
  • スペシャルキャラクター

安全性は向上しますが、複雑さが増します。したがって、ドロップアウトの20%は論理的に思えます。

オプション1要件を減らすことは、システムの安全性を低下させない限り、論理的なオプションです。

オプション2ユーザーがx回試行してログインしようとしたときにメールを送信し、パスワードをリセットするようユーザーに依頼するのは、上手。欠点は、複雑なパスワードを作成する必要があることです。

大声で考えるパスワードが次の要件を満たしていることを思い出させるのはどうですか?パスワードが満たす要件がわかっている場合は、パスワードも覚えているでしょう。これは、ユーザーにとってリバースエンジニアリングの一種です。

したがって、最良のオプションはオプション1です。これが進むべき道であることをセキュリティに納得させる必要があります。ユーザーは簡単にログインできるはずですが、セキュリティが損なわれてはならないため、これを途中で解決する方法が必要です。

この記事( https://uxplanet.org/why-complex-passwords-are-bad-design-and-5-ways-to-do-better-affcc4516406 )は大きな助けになるでしょうまた、ユーザーがパスワードをより適切に取得するのに役立つ5つの方法を提供します。

  1. 安全なパスワードが必要な理由を説明する
  2. パスワードの作成を簡単にする
  3. ソーシャルログインを使用する
  4. ログインフォームではメールアドレスのみを使用してください
  5. サインアップ壁を完全に削除します
12
Dimitra Miha

私がこれに対して見た最も一般的な解決策は、ほとんどのユーザーがすでにいずれかのソーシャルサイトにログインしていることを考慮して、FacebookおよびGoogleログインを含めることです。

Buttons for ‘Login with Facebook’ and ‘Sign in with Google+’

28
Ameen Akbar

非常に有名なxkcdコミック パスワードの強度について思い浮かびます。

本当に必要なのは、小文字、大文字、数字、特殊文字の組み合わせではありません。エントロピーの多いパスワードと、ユーザーが不必要に煩わされないようにする必要があります。だから私はあなたがすべきことはルールの任意のセットを取り除き、パスワードのエントロピーに焦点を合わせることだと思いますパスワードを解読するのは難しいですか?十分な長さ ?電話番号が最後にあるユーザーの名前だけではありませんか? l33tの「mypassword」だけでなく、

これを行うには、 zxcvbn ライブラリを使用できます。パスワードとユーザーに関する情報を入力すると、0から4の間の等級が付けられます。次に、x未満の等級のパスワードを拒否できます。グレードが十分に低い場合にパスワードを解読しにくくする方法を示します。セキュリティが確保され、ユーザーは十分に強力なパスワードを使用することができます。

私は、あなたが話している要件が強制され、zxcvbnによってユーザーのパスワードの一部が1から4に格付けされる環境で働いています。これは、非常に頻繁に使用されるパスワードが要件を通過できるためです(たとえば、「Myp @ ssword1」 、「1Azertyuiop ^」または「3.1451592Pi」)。したがって、セキュリティ上の理由から、このライブラリを使用する方が実際には効率的です。

10

同様の質問に対するこの回答のコメントにも同様の議論があります この質問への回答

すべてのユーザーにパスワードを提供するのではなく、電子メールを介してログインさせるのと同様に、パスワードリセットページへのトラフィックを増やすには、厳しいパスワード制限がすばらしいです。

私が定期的に見る1つの提案は、パスワードに制限がないこと、およびユーザーに安全なパスワードを提供するように促すパスワード強度インジケーターを用意することです。しかし、これはすべて、ユーザーが自分のアカウントをハッキングするか、ログインするたびにパスワードリセットフォームを使用する必要があるかを選択できるようにするだけです。

これまでのところ、私が見つけた最良の解決策は、Google/Facebook/Twitterを介したログインを許可することですが、これの有効性についての最近の証拠はまだありません。 2012年に戻って 確かに十分に採用されていなかった ですが、それがユーザーに関連しているかどうかをユーザーに確認することは価値があるかもしれません。

3
Joel Tebbett

ユーザーがより直感的なパスワードを思い付くようにします。一連の要件に出会うと、次のようなことを言うのは大変です。

  • 秘密のパスワードを考え出す必要があります。
  • NUMBERSが必要です(アメリカ人は数学が嫌いです)。
  • これは少なくともこの期間でなければなりません。
  • これはほとんどこの期間でなければなりません。 (編集:なぜ?!
  • これは次のようにする必要があります:@#$ 346%^&*(D

上記のようなナンセンスのブロックではなく、この日もまだ公開アプリを設計している場合は、ユーザーに次のように伝えます。

  • 「誰かがあなたに本当に幸せにした最初に言ったことは何ですか?」ビジネスケースに関連する他のいくつかのプロンプト/提案を追加しますが、ここと現在のみに関連するプロンプト、または非常に一般的であるプロンプト(お気に入りの歌の歌詞など)は避けてください。
  • 大文字にし、適切な英語として句読点を付けます。
  • 先頭または末尾に番号を追加します。

これで、すべてのパスワードの複雑さの要件を満たし、すべてのユーザーのパスワードにtonのエントロピーを導入し、パスワードの複雑さの怖いと過大評価された側面を軽減し、それを覚えるのが難しい場合は、彼らは、パスワードに適切な英語で書かれた全文を使用し、その推奨されるコンテキストが何であるかを示す、その奇妙なサイトにいます。

2
Ivan

他の回答に追加して、ユーザーが自分のパスワードを覚えやすくする別の方法は、ユーザーが最初にアカウントを設定するときに設定できるリマインダーの画像やテキストを提供することです。覚えやすいようにパスワードを入力する必要がある場合は、その写真またはテキストを表示します。

たとえば、パスワードに「piZza2014!meLike」を設定できます。 2014年のイタリアでの休暇中に食べたピザの写真と、「meLike」の部分を思い出させるために「facebook」という言葉を載せたいと思います。

人間は言葉よりはるかに簡単に視覚的な手がかりを覚えています。

1
snaplemouton

パスワードは最低です。これまで何度も言ってきましたが、今後も何度も話します。彼らはアラデンと彼の洞窟の時代から壊れており、その後悪化しているだけです。間違ったパスワードで人々の頭を切り落とすことは、ブルートフォースを防止するための優れた方法ですが、インターネット上での実装は簡単ではありません。パスワードを置き換えるためのさまざまな方法を見てきました。ケルベロスからssl証明書まですべて。ワンタイムパスワード、ハードウェアモジュール、バイオメトリクスで遊んだことがあります。彼ら全員に共通することの1つは、私が制御できない場所では機能しないことです。銀行やメールのチェックには使えません。クレジットカードの検証(ほとんど改善されていませんが)または配管部品の注文には使用されません。私は自分の誓いのサーバーを実行することさえ見ましたが、誰もそれに対して認証する気はありませんでした。そのため、私はパスワードマネージャーを使用し、セキュリティの名のもとに誰かがパスワードマネージャーを使用することを困難にすると、大声で罵倒します。

私の生活を楽にするために何ができますか?

1つ:複数の認証形式を許可します。 Googleを使用したい場合は問題ありません。私がGoogleを信頼していない場合、問題ありません。 Googleがダウンした場合は、他に選択肢があります。

2:実験的な認証形式を許可します。 (ただし、唯一の方法ではありません)時間ベースのワンタイムパスワードで遊んでみましょう。彼らは吸うかもしれませんが、吸わないかもしれません。クライアント側の証明書またはハードウェアセキュリティモジュールを試してみましょう。これらはどれも私たちが探している解決策ではないかもしれませんが、試してみないとわかりませんが、パスワードが悪かったことはわかっていますが、すでに試しました。

1
hildred

米国連邦取引委員会の最高技術責任者 によると、必須のパスワードの複雑さが厄介であるだけでなく、頻繁に強制されるパスワードの変更も同様です。この気持ちを最初に読んだとき、誰かがようやくそれをゲットしたことを覚えています!

0
A.fm.

複雑さの要件は削除しますが、柔軟性は低下します。その意味は次のとおりです。

ユーザーに伝える代わりに

「これらのルールに従うパスワードを選択してください。うまくいけば、非常に複雑で、誰もそれを解読することはできませんが、それほど複雑ではないので、覚えにくいパスワードを選択してください」

それはそのようになります

「ここにパスワードがあります。覚えてください。」

セキュリティのため、このパスワードはランダムに生成する必要があります。覚えやすくするために、ランダムな文字/数字/記号の組み合わせの代わりに、XKCDの提案に従い、 ランダムな単語 を使用できます。

0
jkdev