web-dev-qa-db-ja.com

すべてのパスワードを覚えておく必要がありますか?

今日、膨大な量のアプリケーションで使用しているすべてのパスワードを本当に覚えているか、書き留めておく必要があるのか​​と思います。ユーザーがログインするたびにパスワードを忘れただけをクリックできないのはなぜですか?このソリューションは、ユーザーがパスワードを求められることなくログインしたいときにいつでもOTPを取得するモバイルアプリに存在します。

システムで生成されたパスワードは、ランダムに生成されたユーザーよりも安全です。ただし、次のようないくつかの欠点があります。a)ランダムなキーを生成せず、ユーザーにパスワードのリセットを強制するアプリケーションはほとんどありません。 b)反映にかなりの時間がかかるか、銀行に直接行く必要があるため(特にインド)、銀行のサイトではパスワードのリセットは複雑で時間がかかります。

私はこの習慣をかなり頻繁に行っていますが、他の誰かが同じパターンに従っているかどうか知りたいのですが。または、これまでにこのトピックに関する調査はありますか?何かご意見は?

編集1:追加情報

  1. 誰かがユーザーテストやケーススタディを行ったかどうか知りたいですか?

  2. コミュニティの考えを探しています。この質問を読んだ後、パスワードを保存するのではなく、パスワードリンクを忘れてしまったのでしょうか。

  3. 何人がこのオプションを使用していますか?

編集2:パスワードマネージャーを提案するコメント投稿者はほとんどいませんが、個人にとってはコストがかかり、セキュリティの問題は常に存在すると思います。

7
Hemchandra

安全保障

1つの問題はセキュリティです。あなたがパスワードであることを覚えていない場合は、アプリケーションは、それが電子メールであれSMSであれ、新しいパスワードを与える必要があります。

メール- メールは本質的に安全ではありません 。強力なパスワードを生成し、それを1回限りのパスワードとしてユーザーにメールで送信すると、攻撃者がそのパスワードにアクセスしてアカウントを侵害できるため、あらゆるメールが傍受される可能性があります。ハッシュトークンのリセットリンクがすぐに期限切れになっても、ユーザーはそれを傍受してアカウントにアクセスできます。

Sms-いいえ、ここではより良い解決策はありません SMSも安全ではありません 。したがって、電子メールで述べたように、ユーザーに自分の身元を確認する方法を送信する試みは、自分の身元を偽装するために使用される可能性があります。

もちろん、これらの手法を使用するOTPアプリはありますが、ほとんどの場合、ユーザーは問題ありませんが、セキュリティが重要な場合、これらの手法は強力なパスワードを持つ(そしてそれを覚えている)

代替案ですか?もちろん、OTPアプリケーションをより安全にすることができますが、ユーザーが新しいパスワードを安全に取得する方法を見つける必要があります。ここで、OTPトークンジェネレータ このような が機能します。これにより、ユーザーはサーバーと安全に通信する独自​​のトークンを生成して、安全でないパスワードが送信されることなくサインインできるようになります。

ただし、さらに難しいのは、各ユーザーにハードウェア認証デバイスを購入するか、パスワードを記憶するように指示することです

1
DasBeasto

1passwordやLastPassなどのパスワードマネージャーをチェックアウトしましたか?これらはこの問題のために特別に作成されたソリューションです。

忘れたパスワードを中心に独自の製品ログインを構築することを考えている場合、それは非常に興味深いと思います。これに関するプロトタイプをいくつか見たいです。

主な質問は、ユーザーがパスワードなしで自分自身をどのように確認するかです。たぶん2要素認証は調べてみる価値があるかもしれません。たとえば、Authyはこの分野で興味深いことをしています。

1
Satu

(この質問はおそらく、あまりにも意見主導型で、StackExchangyではないということから始めます。最適なUXを提供するポリシーよりも、人々の意見を求めているように感じます。)

パスワードに関連する問題の大部分は、Angela Sasseが The Great Authentication Fatigue と説明しています。パスワードの問題は次のとおりです:(a)システムに非常に頻繁にログインする労力(例:1日20回)、(b)頻繁に使用されない、忘れられたパスワード、(c)パスワード作成要件、パスワードの作成と再呼び出しが困難になる(d)パスワードの期限切れ。これは、ユーザーが過去に適切なパスワードを作成しようとしていたことを無駄にします。

そこでは調査されていませんが、他の調査では、ユーザーはパスワードを多く持っているため、1つのパスワードを思い出すときにメモリの干渉につながります。 Florêncioet al。 Password Portfolios and the Finite-Effort User パスワードの再利用と弱いパスワードがユーザーに役立つ理由を示しています。パスワードが多すぎて覚えられないため、すべてのユーザーが強力で一意であるとは言えません。

この問題の最も具体的な解決策はpassword managersfederated authentication schemesです。 。

パスワードマネージャーは、パスワードを保存することで、覚えておく必要のあるパスワードの数を減らしますが、メンテナンスコストがかかり、オンラインサービスやパスワードを保存する特定のデバイスへの信頼性が高まります。

フェデレーテッド認証スキームは、Google、OpenID、Facebookなどの認証プロバイダーを利用して、秘密の認証要素を管理する必要なくユーザーを認証します。サービスプロバイダーが認証イベントを使用してあなたを追跡する可能性があるため、プライバシーリスクが発生します。また、知らないうちにアカウントにアクセスできるため、これらのプロバイダーに信頼ボンドを配置します。

この問題に対する具体的な解決策は他にありません。絶対になしパスワードの代替案の評価は、これらの代替スキームが大規模に適用されたときにパスワードと同じ問題に悩まされないという信頼できる証拠を提供します。実際のスケールを考慮してパスワードを置き換えるために開発されている唯一の取り組みは Pico であり、これはまだ開発および評価されています。

1

Mediumがログインプロセスを処理する方法がとても気に入っています。すべてのソーシャルネットワーキングメソッドを使用してログインするだけでなく、ログインするためにクリックしてメールに送信されるログインリンクをリクエストすることもできます。パスワードなどを覚えておく必要はありません。これは、頻繁にログインするものに迷惑をかける可能性があります。一日を通してバンキングなど、非常にデリケートなものがあると、おそらくセキュリティ上の大きな懸念もあるでしょう。

その点については、TouchIDのようなものが普及しているため、「手動」でログインする必要がある場合、多くの人々は実際のパスワードを忘れてしまいます。

0
Zahid Ali

私がシステムデベロッパーであるユーザーが、自分のシステムに登録されているアカウントの正当なアカウント所有者であることを証明するためにメールアカウントへのアクセスを利用している場合、ユーザーがパスワードを登録する必要はありません。私たちは皆、ユーザー(Google、OpenID、Facebookなど)を認証するために、立派なインターネットプレーヤーに依存することができ、プライバシーや何も侵害する必要はありません。 [email protected]が本当に彼であるかどうか、この当局に尋ねれば十分でしょう。ジョンが本当の自分であるかどうかを当局に尋ねるようなものです。これは、セキュリティを犠牲にすることなくシステムにアクセスする労力を軽減するため、優れたUXだと思います。

0
user2198816