Майже половина Американців (47%) в минулому році зіткнулася зі зломом облікових записів. Достатні чи заходи вживають розробники і веб-дизайнери що б запобігти таким ситуаціям? Або може бути нам варто переосмислити паролі?
порушення безпеки
Неважливо, що вони роблять, але, коли користувачі створюють зручний пароль - вони ставлять під загрозу його безпеку.
загроза юзабіліті
Щоб зберегти надійність пароля, користувачі повинні створювати паролі, які задовольняють вимогам «надійних» паролів
Такі паролі включають в себе:
- числа
- Маленькі букви
- Великі букви
- знаки пунктуації
- І певна кількість символів
Вони не повинні включати:
- словникові слова
- звичайні паролі
- Або слова, що знаходяться у вашому імені, логіні або назві вашої компанії
Придумування пароля, який би задовольняв всім цим вимогам займає багато часу. Ви ризикуєте втратити потенційного передплатника, якщо це займе дуже багато часу.
Коли ж, нарешті, користувач придумує пароль - він часто настільки нечитабельним, що його майже неможливо запам'ятати. Це збільшує шанс того, що користувач його забуде, і не зможе увійти на сайт. Також досить розчаровує те, коли користувач блокується після кількох невдалих спроб входу.
Введення пароля також непросте завдання, але простіше, ніж їх запам'ятовування. Користувачі схильні допускати помилки, коли їм доводиться затискати Shift, щоб надрукувати велику букву. Безпечний, але неюзабельний пароль, не принесе користувачам ніякої користі.
Чи можуть менеджери паролів вирішити цю проблему?
Рішення для користувачів, а не для сайтів
Якщо ви забули майстер-пароль, то вам не пощастило. Більшість менеджерів паролів не пропонують процес відновлення пароля, як це роблять сайти. Якщо ви забуваєте пароль від конкретного сайту, то ви завжди можете його відновити. Це дає веб-сайту контроль над безпекою користувача.
Менеджери паролів коштують грошей. Розробники не можуть очікувати, що всі їхні користувачі куплять менеджер паролів, перш, ніж стануть використовувати їх сайт. Це було б не практично, і змусило б користувачів від вас відмовитися. Веб-сайти не повинні звалювати відповідальність за безпеку своїх користувачів на третіх осіб, а повинні надавати рішення, яке б збалансував безпеку і юзабіліті.
Багато хто не довіряють або не розуміють менеджери паролів
Хтось довіряє менеджерам паролів, а хтось ні. Дослідження показало, що багато хто відчуває себе некомфортно, використовуючи таке програмне забезпечення, і вони йому не довіряють, тому, що не розуміють.
Користувачам некомфортно передавати контроль комп'ютерній програмі. Навіть коли вони розуміють, що безпека паролів - це проблема, вони вважають, що самі краще з нею впораються. Дизайнери і розробники не можуть покладатися на менеджери паролів, як на рішення. Їхня відповідальність надати користувачам простий і зручний доступ до своїх облікових записів.
Парольні фрази: зміна на краще
Баланс безпеки і юзабіліті важливий, і паролі з цієї балансуванням не справляються. Веб-сайти повинні змінитися на краще, і почати використовувати парольні фрази, замість паролів.
Паролі та парольні фрази служать одній меті. Але паролі зазвичай короткі, складно запам'ятовуються і легко зламувати. Парольні фрази легко запам'ятовувати і вводити, а також, через свою довжини вони вважаються більш безпечними, і їх не потрібно записувати.
Чому парольні фрази більш безпечні
Довжина запобігає підбір пароля, за допомогою перебору
Більшість паролів вимагає введення мінімум 8 символів. А більшість пральних фраз вимагають мінімум 16 символів. Така довга надає кращу безпеку, тому, що злом такого довгого пароля займе набагато більше часу.
Збільшення довжини пароля, збільшує кількість можливих його варіантів. Чим довше пароль, більше часу у програми підбору займе його визначення. Давайте це протестуємо, порівнянням складного пароля, і простий пральний фрази, використовуючи просунутий дослідник паролів.
Складний пароль НЕ буде словниковим словом, буде містити цифри, великі літери і символи. Простою парольний фраза буде містити словникові слова, і буде складатися тільки з маленьких букв. Використовуючи порівняння, ми бачимо, що просту парольний фразу неможливо зламати перебором. А сильний, складний пароль буде зламаний через менш, ніж через 2 роки. Це показує, що саме довжина пароля захищає користувачів від зломів, методом перебору, а не його складність.
Багато слів запобігає словникову атаку
Перебір паролів - це не єдиний метод злому. Хакери також використовують словникову атаку. Але і тут парольні фрази захистять користувачів краще.
Використання словникових слів в паролі - це звичайна тенденція. І це не рекомендується, тому, що такі паролі просто зламувати. Але якби користувачі використовували словникові слова тільки в пральних фразах, то вони б залишалися захищеними так само і від словникових атак.
Більшість словникових паролів містять одне, або два слова. Словникова атака має великі шанси на успіх через обмежену кількість слів у словнику. Навіть незвичайне словникове слово не зможе її зупинити. Словникова парольний фраза буде містити як мінімум 5 слів. Таким чином майже нескінченну кількість можливих комбінацій зводить шанси словникової атаки до нуля.
Множинні словесні ланцюжки ускладнюють злом
Паролі, які легко розгадати зазвичай складаються з одного слова, що стосується особистої інформації: ім'я користувача, дата народження, улюблений колір, їжа або місце, і т.д. Всі ці словесні ланцюжка задовольняють вимогам надійності і довгі пароля.
Вимоги до довгих слів в пральних фразах запобігає використання особистої інформації. Однією словесної ланцюжка недостатньо, щоб задовольнити вимогам. Це змушує користувача додавати більше словесних ланцюжків, що робить таку парольний фразу важко розгадувати.
Чому парольні фрази більш юзабельни
Парольні фрази простіше запам'ятати, ніж набір з різних символів
Простіше згадати парольний фразу, ніж набір з різних символів. Фрази мають сенс, і з чимось пов'язані. Тому користувачам простіше згадати парольний фразу, ніж пароль.
Коли користувач заповнює форму, йому потрібно задовольнити її політиці. Багато форми не дозволяють користувачам використовувати словникові слова. Щоб захистити їх від злому. В результаті у користувачів не залишається іншого вибору, як додавати випадкові символи.
Але проблема в тому, що випадкове, чи не словникове слово запам'ятати найскладніше. Багато вважатимуть за краще використовувати слово, додавши в нього кілька випадкових символів. Але навіть такий пароль складно запам'ятати, тому, що ці символи можна розмістити в різних місцях.
Додавати складність в парольні фрази простіше, тому, що випадкові символи можна розміщувати між слів. Це дозволяє їх легше запам'ятовувати.
Парольні фрази не потребують використання високого рівня випадкових символів. Всього трохи складності впорається з усіма проблемами через ту безпеки, яку надають парольні фрази. Деякі використовують перші букви кожного слова в якості пароля. Це добре запам'ятовується, але не так надійно, як парольні фрази.
Наприклад, фразу «I lived in Germany for two years», можна перетворити в «iliGf2yrs». Навіть з тим урахуванням, що в другому варіанті ми використовували цифру, велику букву і випадковий набір символів, вона все одно вразлива для перебору.
Те ж пропозицію, написане, як парольний фраза, «ilivedinGermanyfor2yrs», буде неможливо зламати. Різниця в кількості символів дуже сильно впливає на безпеку.
слова дозволені
Придумування пароля, який би не включав в себе словникові слова - це найскладніше для користувача умова. Дані досліджень показують, що «створення пароля значно ускладнюється, при використанні політик, що обмежують його варіанти, особливо таких, які включають в себе словникову перевірку.»
Досить складно придумати і запам'ятати випадкове, чи не словникове слово. Парольні фрази не потребують суворих словникових перевірках. Слова можна використовувати до тих пір, поки ви не перевищите ліміт символів.
Компроміс з юзабіліті, на шкоду безпеці надто поширений, щоб його ігнорувати. Політика пральних фраз балансує і те, і інше мінімізуючи випадки припинення заповнення форм.
Що повинні робити сайти
Замініть «слово», «фразою»
Насамперед потрібно прибрати з пароля «слово». Термін «пароль», говорить користувачам що сайт хоче, щоб вони використовували слово. Але слово небезпечно.
Змініть розуміння користувача, використовуючи слово «фраза». Це скаже їм, що ви очікуєте від них фразу, а не слово. Якщо ви чітко дасте це зрозуміти, то користувач буде знати, що фраза, безпечніше, ніж слово.
Перегляньте політику
Наступний крок - політику пароля на політику парольної фрази. Це включає в себе підвищення мінімально допустимої кількості символів до 16. Також потрібно вимагати введення однієї великої літери або цифри. Можете запропонувати додати більше однієї великої літери або цифри для посилення безпеки, але це не обов'язково.
Чітко позначте політику
Безліч користувачів звикли до політики паролів. Поясніть їм, що політика пральних фраз відрізняється при реєстрації. Створіть підказку над полем введення.
Не змушуйте користувача відраховувати 16 символів, при створенні парольної фрази. Зробіть це за них, створивши підказку. Коли фраза задовольнить вимогам політики - повинна з'явитися зелена галочка.
висновок
Гарна новина полягає в тому, що вони не вимагають технічних змін. Це просто представлення нової концепції, з підвищенням мінімально допустимої кількості символів. Найскладніша проблема - це зрозуміти і прийняти, що рішення світової проблеми з паролями настільки просте.