ユーザーが自分のパスワードを平文で書き留めて保管してはならないことを明記したパスワードポリシーがあります。電子メール、スクリプト、ドキュメント、またはファイルにパスワードを書き込んで、彼らがそうしていないことをどのように確認できますか?
パスワードポリシーには次のいずれかが必要ですか?
もしそうなら、あなたは積極的に人々にパスワードを書き留めるように動機づけています。古くなったパスワードポリシーを削除してください。そうすれば、ユーザーは一緒にプレイする可能性がはるかに高くなります。
新しいNISTガイドラインに基づく推奨事項。いい要約があります ここ 。
ユーザーが自分のパスワードを書き留めていないことを確認する方法はありません。あなたが彼らのコンピュータへの完全なアクセス権を持っていたとしても、彼らが彼らの電話でそれを書き留めたとしたらどうでしょう?それとも紙に?
そして、もしあなたがallのデバイスにアクセスできたとしても、システム管理者として、あなたがパスワードを書き留めていないことを確認することができるだけです。あなた自身がパスワードを知っています。 すべきではない!パスワードは常にハッシュ化する必要があり、プレーンテキストまたは次のことを可能にする形式で保存しないでください。元のパスワードを取得します。
パスワードマネージャについてはどうですか?ユーザーはoneパスフレーズを覚えるだけでよく、推測しやすいパスワードを使用する可能性が低くなるため、セキュリティが大幅に向上することが知られていますあなたのシステム。
これは社会的な問題であり、平文で書かれたパスワードを残すことの危険性についてユーザー/従業員を教育することによってのみ解決できます。
机の後ろにカメラを設置します。すべての角度をカバーする複数のカメラを使用して、誰かに見てもらいます。
あなたはこれが非倫理的であることに悩まされるかもしれませんが心配しないでください、それはあなたがやりたいことを達成する他の方法ほぼより悪くはありません。
それについてほぼ:
ユーザーがプレーンテキストで適切に表現できない「パスワード」を使用します。指紋スキャン、キーカード/ドングル、2要素認証、網膜スキャンなど、どれでも必要な機能を実行できます。
あなたはしません。
ユーザーがパスワードを書き留めることを禁止することで、ユーザーが2番目に優れたパスワードマネージャーを使用することを禁止します。人々は一般的に財布の中身を保護することに長けています。彼らの運転免許証と彼らのクレジットカードの間に保存された紙に書かれた複雑なパスワードのリストは、あなたが合理的に期待できるほど安全です。
「これを行わない」ルールを作成する代わりに、ユーザーにどのようにガイドラインを提供するかすべきパスワードを保護する「パスワードマネージャーX、パスワードマネージャーY、ウォレットの紙片」のリストがある場合、それらをすべて列挙しようとするよりも、パスワードを安全に保存する可能性が高くなります。 すべきではないパスワードを保存し、懲罰的な方法でそれを強制する。
あなたの脅威モデルは何ですか?
私はここでほとんどすべてに対してその反問をするのを知っていますが、セキュリティに関するほとんどの質問は、彼らが実際に保護しようとしているものを決して述べません。
権限のない人が定期的にあなたの環境にいて、書き留められているパスワードを見つけることができますか?もしそうなら、ユーザーの意識をこの特定の簡単に理解できる脅威に改善することができ、それは(いくつかの、限られた)効果をもたらします。
脅威モデルが内部関係者である場合、認識ははるかに、はるかに効果が低くなる傾向があります。制裁の脅威を伴うパスワードの書き留めを公式に禁止すると、コンプライアンスの数パーセントを獲得できますが、重要な程度まで効果的であることはめったにありません。
プリインストールされているパスワードマネージャーなど、パスワードを安全に保存するための認可された方法を人々に提供することも、ある程度のコンプライアンスを提供し、おそらく問題を解決するための最もユーザーフレンドリーな方法です。
最善の方法は、パスワードを廃止することです。実際に比較的簡単にできるSSOがある場合。必要なのは、SSOへのパスワードなしの認証であり、そこからアクセスできます。ハードウェアトークンからスマートフォンアプリまで、スマートフォン自体をトークンとして使用することまで、市場にはすでに多くのソリューションがあります。一つを選ぶ。ユーザーが書き留めないことが保証されている唯一のパスワードは、ユーザーが知らないパスワードであるためです。
まず、私はこれがさまざまな理由で悪い考えであると言う答えに同意します。
次に、人間の問題を解決するためにテクノロジーを使用しようとしているように見えます。それがうまく終了することは非常にまれです。
カメラ、貼り付け不可能なパスワードフィールドなど、パスワードを書き留めないようにする技術的対策に焦点を当てる代わりに、ユーザーがパスワードを書き留めようとする原因となる(認識された、または実際の)問題に焦点を当てる必要があります。 (または安全でないものを使用するか、問題が何であれ)最初の場所で。
これを行う1つの方法は、「何らかの方法で仕事関連のパスワードを書き留めたり、共有したり、再利用したりする場合は、その方法と理由を知りたい」という通知をすべての従業員に送信することですそして完全に匿名で回答する方法を提供します。 (後者は重要です。通常、人々は正直であるためにトラブルに巻き込まれることを心配する必要がないとき、不完全なセキュリティ関連の選択についてより正直であるためです。)たとえば、人々が破片を落とすことができる物理的な箱を設定できます。紙の答えと、目に見えない方法で入るのは明らかに簡単ではありません。 (改ざん防止する必要はありません、改ざん明白です。)次に、得られた答えを確認します。
回答の大部分が「毎月新しい複雑なパスワードを覚えるのはとても難しい」などの場合、修正する。最近のNISTガイドラインは実際には悪くありません。長いパスワードを要求し、パスフレーズの使用を奨励し、他の複雑さや更新要件を設定しないことは、長い道のりです。
回答の大部分が「Webページの読み取り中に2分後にコンピューターが自動的にロックされた後、コンピューターのロックを解除するのは非常に不便なので、短いパスワードを使用します」のような場合、それを修正します。
回答の大部分が「適切なパスワードを考えることができない」のようなものである場合、適切なパスワードを選択する方法に関するガイダンスを提供します。 Diceware ( xkcd 936 の後に「xkcd passwords」と呼ばれることもあります)から始めるのが良いでしょう。これには、システムが長いパスワードをサポートしていることが必要です。
等々。
パスワードを安全に書き留めない人は人間であり、技術的ではなく人間の理由でほぼ間違いなくそれを行っています。人間の問題は、技術的なものではなく、人間の手段によって解決されるべきです。
みんなが言ったように、あなたはしません。
パスワード(単一要素認証)がニーズに適しているかどうかを検討する必要があります。すべてのユーザーがパスワードのガイドラインに従っている場合でも、ショルダーサーファーやキーロガーなどの他のリスクがあります。より優れたソリューションは、2要素認証です。購入できるドングルはさまざまですが、スマートフォンにインストールできる無料のオープンなGoogle認証システムもあります。ユーザーはパスワードをかなりシンプルで覚えやすいものにすることができ、パスワードを変更する必要はありません。30秒ごとに変わる6桁の数字もあり、それがないとパスワードは役に立ちません。
追加する必要があるかもしれませんが、ショルダーサーファーは建物にいる必要はありません。私の学生時代には、誰かが望遠鏡を購入し、1 kmほど離れた高層ホテルの窓から見えるものをみんなに見せました。誰も14階のカーテンを引くことを気にしませんでした!今日、彼らはおそらく夜はホテルにいるでしょうが、日中はオフィスにいますか?
パーティーに遅刻しているのに気づいたけど…….
電子メール、スクリプト、ドキュメント、またはファイルにパスワードを書き込んで、彼らがそうしていないことを確認するにはどうすればよいですか
パスワードは、単一層の認証メカニズムです。 「書き込み」または記録されるパスワードを気にする場合は、次のことを行う必要があります。
リスク要因を定量化し、これらのリスクタイプを軽減します。他の誰かがパスワードを読み取る場合のリスクは何ですか?それが仲間の従業員である場合、一般のメンバーですか?これらのリスクを軽減するためにセキュリティ層を追加します(ログイン時に追加情報を要求するなど)
ユーザーベースのキーログの追跡、ユーザーベースの物理的な動きの追跡、ユーザーベースに関するあらゆるもののリアルタイムでの追跡など、パスワードがプレーンテキスト化されていないことを確認する場合、実際にはreallyが必要です。ゲームをアップし、古いフォードコルチナを吸い上げるのに何千もの時間を費やす代わりに、日産のスカイラインとgiveユーザーベースのハードウェアトークン認証と 2FA認証情報 に投資します。
ユーザーの行動を改善する。記憶されるパスワードは覚えやすいであり、この性質によりweak-したがって、参考のために、より多くの人々が書き留める複雑なパスワード、またはマシンがブルートフォースや他の方法で妥協することが指数関数的に簡単な単純なパスワードから選択できます。そのため、大きなプレッシャーをかけ、ユーザーベースにPassword Managerを使用するように勧めます。覚えなくても複雑なパスワードを使用できるように[〜#〜] or [〜#〜]それらを書き留めます。
繰り返します。あなたが気にするならこれくらいユーザーが自分のパスワードを書き留めないことについて必須提供するここでのさまざまな回答で詳しく説明されているように、有効で信頼できる代替手段。
これを実施する一般的な方法は、クリーンデスクポリシーを使用することです。しかし、私はあなたの質問が好きです。解決策はとんでもない極端なものにできると思います:)
小文字、大文字などの文字グループを強制するのが一般的です。
適切な最小長を設定できる場合は、非常に低いロックアウトしきい値を設定してから、文字グループ「円」[o、O、0]の包含を強制し、文字グループ「行」[I、l]の使用を強制します。 、1、| ]その後、理論的には書き留めたパスワードのユーティリティ値を非常に低くすることができます。
ユーザーがバイリンガルの場合は、さらに多くのオプションがあります。例えば[c CсС]など.
わかりました、上記は境界線の冗談であり、「ユーザーが[何かをしない]ことを確認する」ことがいかに無駄であるかを示しているはずです。しかし、ニンジンとスティックはありませんか?
NIST 800-6 を読んだ場合、ユーザーが自分のパスワードを自由に選択できるようにし、パスワードが危険にさらされていると思われる理由がない限り強制的にローテーションさせないようにする新しいアドバイスが見つかります。ウィットするには:
検証者は、記憶されたシークレットに他の構成ルール(たとえば、異なる文字タイプの混合を要求する、または連続して繰り返される文字を禁止する)を課すべきではありません(SHOULD NOT)。 検証者は、記憶された秘密を任意に(たとえば、定期的に)変更することを要求してはなりません。しかしながら、認証者の妥協の証拠があるならば、検証者は変更を強制するべきです(SHALL)。
ユーザーがパスワードを覚えるのが難しくない場合は、パスワードが書き留められるのを防ぐのに長い道のりでしょうか。
パスワードをテキスト以外のものにしてください。彼らは画像のランダムなセットから選ぶことができるように。書き留めるのは簡単なことではありません。 Wikipediaが今日持っているものは次のとおりです。
「グラフィカルパスワードやマウス移動ベースのパスワードなどの非テキストベースのパスワード。[70]グラフィカルパスワードは、従来のパスワードの代わりに使用することを目的としたログインの代替認証手段です。画像、グラフィック、または文字、数字、特殊文字の代わりに色を使用します。1つのシステムでは、人間の脳の顔を簡単に呼び出す機能を利用して、一連の顔をパスワードとして選択する必要があります。アクセスを取得するために画像を正しい順序で並べます。[72]別のグラフィカルパスワードソリューションは、ランダムに生成された画像のグリッドを使用してワンタイムパスワードを作成します。ユーザーは認証を要求されるたびに、事前に一致する画像を探しますカテゴリを選択し、画像に表示されるランダムに生成された英数字を入力して、ワンタイムパスワードを形成します。[73] [74]これまでのところ、グラフィカルパスワードは有望ですが、広くは使用されていません。 ctは、実世界でのユーザビリティを判断するために作成されました。グラフィカルなパスワードは解読が難しいと考える人もいますが、一般的なパスワードを選ぶのと同じくらい一般的な画像やシーケンスを選ぶ可能性が高いという人もいます。」
ウィキペディアの貢献者。 "パスワード。"ウィキペディア、フリー百科事典。 Wikipedia、The Free Encyclopedia、2019年6月25日。Web。 2019年7月5日。
たとえば、facesメソッドを使用した場合、人のランダムなストック画像を使用できます。そのため、彼らはSteve from sales
だけを書き留めることはできません。画像が非常に似ていて、単純なポートレートを表示している場合。また、the woman with the red scarf
やthe guy with big ben in the background
などを書き留めることもできません。