Punir les utilisateurs pour les mots de passe non sécurisés [fermé]

13

Je pense à limiter les droits des utilisateurs qui choisissent des mots de passe non sécurisés (l'insécurité d'un mot de passe étant déterminée par la longueur, le nombre de types de caractères (majuscules / minuscules, chiffres, symboles, etc.) utilisés, et s'il peut être situé dans une table arc-en-ciel) pour limiter les dommages que leur compte peut causer en cas de compromission.

Je n'ai pas encore d'application pour cette idée, mais disons que j'écris un forum ou quelque chose comme ça: les utilisateurs qui utilisent 1234 comme mot de passe devront peut-être remplir un captcha avant de poster, ou être soumis à des mesures anti-spam rigoureuses telles que comme des délais d'attente ou des filtres bayésiens rejetant leur contenu. Si ce forum est très hiérarchisé, permettant une "promotion" aux modérateurs ou quoi que ce soit par quelque moyen que ce soit, cela les empêcherait d'obtenir des privilèges ou leur dirait qu'ils ont des privilèges, mais ne les laisserait pas les exercer sans passer à un système plus sécurisé. mot de passe.

Bien sûr, cela ne pouvait pas être la seule mesure de sécurité, mais cela pourrait bien aller à côté de bonnes pratiques de sécurité sinon.

Qu'est-ce que tu penses? Est-ce juste en faire trop, en dérobant l'attention aux pratiques de sécurité plus importantes, ou est-ce un bon moyen de limiter les risques et d'encourager les utilisateurs à utiliser des mots de passe plus sûrs (et, espérons-le, à convaincre les gens que vous utilisez de bonnes pratiques de sécurité)?

security passwords authorization risk permissions Carson Myers
la source
24
Quel est l'avantage de cela lorsque vous pouvez déjà empêcher les utilisateurs avec des mots de passe incorrects d'accéder à votre système?
Pete
12
La plupart des gens continueront probablement à utiliser "letmein" indépendamment des restrictions que vous leur imposez. Soit appliquer les règles de mot de passe lors de la création / modification d'un mot de passe ou pas.
John Straka
3
@Carson Myers: Pas si vous le façonnez avec du câble Cat6, ce n'est pas le cas: D
Piskvor a quitté le bâtiment le
13
Tout d'abord, les utilisateurs de quoi? Je suis fatigué des sites Web qui nécessitent une connexion pour voir une image publiée sur un forum, puis exigent que le mot de passe soit composé de 10 caractères à casse mixte avec des chiffres et des caractères spéciaux et SANS soulignement et le nombre 1. Rendez les exigences de mot de passe proportionnelles à la valeur des données protégées.
SF.
6
En Floride, les personnes qui payaient tard leurs factures de télévision par câble se limitaient parfois à une seule chaîne. CSPAN. Cela a fonctionné pour eux. <shrug>
Mike Sherrill 'Cat Recall'

Réponses:

35

YAGNI , KISS , DRY , la règle des 10 secondes et le fait que "[les] utilisateurs ne se soucient pas de VOUS" devraient probablement le réduire à une seule solution: Ne le faites pas.

  • C'est plus de travail de développement qui nécessiterait beaucoup de tests pour être fiable et sécurisé.
  • Cela réduit probablement la sécurité du site de quelque façon que ce soit. La probabilité qu'un bogue entraîne une élévation de privilèges avec un mot de passe terrible est tout simplement trop grande.
  • Il augmente la complexité pour le développeur, le testeur, le mainteneur, le DBA, l'administrateur système et l'utilisateur.
  • Plus il y a de complexité, plus il est difficile d'éviter de se répéter d'une manière ou d'une autre.
  • Les utilisateurs n'ont pas la capacité d'attention pour lire vos informations et les suivre. Ils sont habitués à peaufiner le formulaire d'inscription jusqu'à ce qu'il accepte l'entrée, pas jusqu'à ce qu'ils atteignent un niveau idéal.
  • Les utilisateurs s'en moquent.
l0b0
la source
points forts, tous, sauf peut-être SEC. Pourquoi SEC? En outre, il ne doit pas être que compliquée, toute « promotion de MOD » etc était que quelques exemples supplémentaires. Étant donné que la plupart des sites Web détectent déjà des mots de passe non sécurisés et que de nombreuses plates-formes courantes (Wordpress me vient à l'esprit) vous permettent déjà de vous inscrire avec des mots de passe non sécurisés, l'ajout de captchas pour ces utilisateurs soulève-t-il toutes ces préoccupations? Cela peut être ennuyeux, mais les autres alternatives sont de refuser complètement les utilisateurs ou de les laisser entrer et de risquer plus de spam. Par exemple.
Carson Myers
3
+1 Pour que le lien l'utilise. Un bon site est bon. Ironiquement laid pour un site UI / UX.
StuperUser
4
+1 Pour les utilisateurs ne se soucient pas de vous. Si c'est un site de blog / Q & A idiot et que je dois me souvenir d'un combo complexe nom d'utilisateur / pwd, je ne l'utiliserai tout simplement pas.
ElGringoGrande
@ElGringoGrande Je ne le propose pas nécessairement pour quelque chose de stupide, plutôt comme un compromis entre "autoriser tous les mots de passe" et "rejeter tous les mauvais mots de passe", où il existe de nombreux sites utilisant chaque méthode. Mais ça ne va pas bien, haha
Carson Myers
13

Soit forcer un mot de passe sécurisé lors du changement d'inscription, soit utiliser un OpenId (Jeff Atwood's 2c: http://www.codinghorror.com/blog/2010/11/your-internet-drivers-license.html ). Concentrez-vous ensuite sur des fonctionnalités plus intéressantes.

D'une part, les utilisateurs ont l'habitude d'être obligés de créer des mots de passe sécurisés ou d'utiliser leur OpenId, c'est donc simple pour eux.

StuperUser
la source
Je suis d'accord que OpenId est idéal pour ce genre de chose, mais je pense que vous pouvez être partisan de penser que la plupart des utilisateurs sont habitués à l'une ou l'autre de ces choses. La plupart des gens que je connais n'ont jamais entendu parler d'OpenId, et encore plus utilisent des mots de passe non sécurisés
Carson Myers
1
Bon point. Je n'ai pas utilisé OpenId avant SE, mais j'avais eu des mots de passe rejetés en raison d'un manque de complexité. Si c'est entre garder quelque chose de simple et sécurisé, la sécurité passe avant tout, même si la responsabilité d'éduquer vos utilisateurs vous appartient. Il faudrait déployer des efforts pour les éduquer quant à leurs responsabilités en fonction de la complexité de leur mot de passe, il semble préférable de l'utiliser pour les éduquer à la sécurité / promouvoir une connexion commune.
StuperUser
une connexion commune est idéale, mais si l'application n'est pas de nature technique, une bonne partie des utilisateurs choisiront simplement d'utiliser leur même mot de passe (ou partiront si ce n'est pas disponible). Dans mon exemple, je me demande si cela devrait se résumer à refuser les utilisateurs (en rejetant leur mot de passe), ou à leur donner une expérience visuelle (nous ne pouvons pas vous laisser faire cela parce que nous ne savons pas si votre mauvais mot de passe a obtenu votre compte compromis) pour leur montrer les problèmes créés par de mauvais mots de passe
Carson Myers
La plupart des utilisateurs auront un compte Facebook ou Hotmail ou Gmail (un compte de messagerie est nécessaire pour la récupération des informations d'identification sur de nombreux sites), il peut être utile de préciser comment les utiliser pour l'inscription / la connexion.
StuperUser
Je suppose que j'ai oublié la connexion à Facebook, etc.
Carson Myers
12

Pourquoi autoriser les mots de passe que vous jugez mauvais en premier lieu? L'arrêt du problème à la source vous fera gagner beaucoup de temps lors de la conception pour essayer de déterminer quelles classes de mots de passe correspondent à quels rôles. Puisqu'un administrateur, par définition, aurait tous les droits, vous auriez déjà besoin de fonctionnalités pour vous assurer qu'il n'entre pas un mot de passe qui le restreindrait.

Ma réponse se résume vraiment à KISS .

unholysampler
la source
1
Ce n'est pas une solution, car cela tend à pousser l'utilisateur à adopter des contre-mesures qui ont encore plus brisé votre politique de sécurité.
deadalnix
@deadalnix comment ça? Je pense qu'il dit simplement de renoncer à l'idée et de rejeter les mauvais mots de passe, tout en fournissant un exemple des raisons pour lesquelles mon idée pourrait causer plus d'irritation que nécessaire
Carson Myers
@deadalnix que voulez-vous dire? Quelles contre-mesures contre un mot de passe sécurisé un utilisateur adopterait-il?
StuperUser
7
@StuperUser: Ceci, plus particulièrement: passer d'une vulnérabilité à une autre.
Piskvor a quitté le bâtiment le
1
@StupidUser: Si un utilisateur réutilise le même mot de passe pour chaque site, et qu'on lui dit que "mypassword" n'est pas acceptable car il ne contient aucun chiffre, il y a de fortes chances qu'ils mettent simplement "mypassword1"
elwyn
7

En tant qu'utilisateur, cela me convaincrait probablement de ne pas utiliser votre site. Je veux dire, sérieusement, ma banque me dit qu'un code à 6 chiffres est parfaitement sûr pour les services bancaires en ligne, mais quand je veux écrire un commentaire sur un blog moins connu, je suis censé me souvenir d'un mot de passe unique contenant au moins 8 majuscules - et des minuscules, un chiffre, un caractère spécial et un symbole grec ou cyrillique qui ne peuvent être saisis que si vous connaissez par cœur la séquence unicode. Et changez-le régulièrement.

Ne vous méprenez pas, la sécurité est importante. Mais si vous ne devez pas ennuyer vos utilisateurs, à moins que vous n'ayez de bonnes raisons de croire que quelqu'un tentera de déchiffrer leurs mots de passe pour accéder à votre site. Si votre site fournit un accès VPN au réseau du FBI, allez-y, agacez. Mais s'il s'agit d'un forum d'utilisateurs où toute personne possédant une adresse e-mail peut s'inscrire, à quoi ça sert vraiment?

nikie
la source
Eh bien pour commencer, si nous parlons d'un site communautaire, le spam peut être un problème (et a vraiment été dans un projet auquel j'ai participé). OMI, cela ferait fuir plus d'utilisateurs pour rejeter carrément leur mot de passe, et si nous voulons atténuer le spam en utilisant des captchas (ce n'est pas rare), il vaut mieux mettre cette gêne sur les utilisateurs susceptibles de le causer, non?
Carson Myers
En outre, je pense que c'est une idée fausse commune qu'il est rare d'obtenir des tentatives de breakin si vous êtes petit. J'ai été impliqué dans quelques petites et moyennes communautés en ligne, et cela a toujours été un problème. Cette question ServerFault semble soutenir cela .
Carson Myers
5
pourquoi les spammeurs utiliseraient-ils des mots de passe plus courts? Pourquoi essaieraient-ils de casser les mots de passe des autres, s'ils peuvent simplement créer un nouveau compte? Je ne vois pas l'avantage des mots de passe longs ici.
nikie
Je n'en ai aucune idée, je viens de le proposer il y a un petit moment et j'ai décidé de voir comment cela résiste à l'examen :) pas bien, il semble ...
Carson Myers
1
J'aime tellement votre réponse car elle souligne la bêtise de penser même à mettre en œuvre cette idée: créer une sécurité inutile pour le site contenant des données non sécurisées.
Tundey
6

Meilleure solution: visages souriants.

Je suis serieux! La lecture de livres d'économie comportementale comme «Nudge: Improving Decisions About Health, Wealth, and Happiness» m'avait convaincu de plusieurs choses:

  1. Vous ne pouvez pas forcer tout le monde à prendre de sages décisions.
  2. Les gens aiment être libres de choisir, mais ils n'aiment pas beaucoup d'options.
  3. Vous pouvez cependant influencer considérablement leurs choix pour le mieux avec de simples astuces.

Je vois que ces principes s'appliquent à votre situation comme ceci:

  1. Restreindre les utilisateurs sur la base de mots de passe non sécurisés va très probablement les frustrer et les confondre ... en particulier pour la majorité des personnes qui ne lisent pas les explications soigneusement rédigées dans les boîtes de dialogue, et appellent simplement le Helpdesk pour dire: "Il ne travail."
  2. Lors de la création de mots de passe, les utilisateurs n'ont pas besoin de voir une liste de toutes les possibilités de caractères spéciaux et tels qu'ils peuvent utiliser. Mieux vaut leur montrer un petit pop-up suggérant qu'ils ajoutent de la complexité uniquement si leur entrée ne répond pas aux exigences.
  3. Les gens sont fortement influencés par les signaux sociaux - même les petits comme les visages joyeux montrant que nous approuvons leur comportement, ou les visages froncés de sourcils si nous ne le faisons pas. Certains des sites Web les mieux conçus affichent une barre de progression colorée qui passe du rouge pour Pas assez bon :( au vert pour Bon travail! :) lorsque l'utilisateur tape son mot de passe (proposé) et sa confirmation. Cette interface utilisateur leur donne une certaine pression sociale pour répondre aux normes - pour que la barre devienne verte ou pour transformer le froncement de sourcils en un sourire - alors qu'ils découvrent par eux-mêmes comment créer des mots de passe plus sécurisés à l'aide de la rétroaction immédiate du changements de couleur.
ewall
la source
2
Ma pensée initiale était que vous proposiez aux utilisateurs d'utiliser des visages souriants dans leurs mots de passe.
aslum
4
@aslum: En fait, les visages souriants dans les mots de passe ne sont pas une si mauvaise idée. Presque tous sont composés de caractères non alphanumériques, donc simplement lancer un :) à la fin d'un mot de passe autrement faible le rendrait beaucoup plus fort simplement en augmentant l'espace de recherche.
afrazier
@afrazier: à moins que cela ne devienne une pratique courante et qu'ils puissent être ajoutés à la liste des personnages, non?
serv-inc
4

Pas à empiler, mais j'ai pensé à une autre raison de classer cela sous "Bad Idea" que je n'ai pas encore mentionnée - le support client.

Si c'est un produit qui aura des représentants du support client derrière lui, ils n'aimeront pas beaucoup ça. L'une des hypothèses sous-jacentes du support est qu'ils comprennent et peuvent prédire l'expérience utilisateur - s'ils aident un utilisateur régulier, alors la page 1 doit avoir des liens vers les pages 2, 3 et 4, où ils peuvent faire X, Y, Z , etc.

Maintenant, vous leur donnez une autre variable dont ils doivent garder la trace. Si l'utilisateur ne voit pas le lien vers la page 4, est-ce parce qu'il a fait quelque chose de stupide? Ou est-ce parce que leur mot de passe est nul et que votre système les punit en leur refusant l'accès à la page 4? Attends ... merde, refuse l'accès à l'une des sanctions pour un mauvais mot de passe, ou est-ce que je pense à la page 5? Permettez-moi de vérifier cela, juste un instant ... d'accord, cela dit que pour un mot de passe qui ne mélange pas les lettres majuscules et minuscules, l'accès aux pages paires est autorisé mais limité en lecture seule ... d'accord, Monsieur, votre mot de passe, est-il composé de toutes les lettres majuscules ou minuscules? Cas. Lorsque vous tapez simplement la lettre, c'est en minuscules; lorsque vous utilisez shift, c'est à ce moment-là qu'il est en majuscules. Avez-vous mélangé les cas dans votre mot de passe? Le mot de passe que vous avez utilisé pour vous connecter au système. Celui que vous venez d'utiliser. D'accord, allez dans Modifier, puis sélectionnez Préférences, puis Sécurité. Sélectionnez "Mots de passe enregistrés" ... non, monsieur, je ne vois pas vos mots de passe d'ici ....

Ouais. Ne fais pas ça.

BlairHippo
la source
2

Limitez les mots de passe ou informez les utilisateurs des risques de mots de passe faibles. Je suppose que si un utilisateur ne se soucie pas de ses données, vous voudrez peut-être restreindre l'accès aux autres. Peut-être que les utilisateurs se sentent plus en confiance si ceux qui suivent des pratiques de mot de passe négligentes sont éliminés. Quel est l'intérêt d'exiger un mot de passe plus fort s'il va se retrouver sur une note collante sous le clavier ou collé sur l'ordinateur portable (je ne peux pas inventer ce truc; je l'ai vu arriver).

JeffO
la source
Une partie de ma question était de limiter l'influence des utilisateurs les uns sur les autres lorsqu'ils utilisaient de mauvais mots de passe, donc vous ne les renvoyez pas carrément, mais vous vous assurez de ne pas transformer leur mauvaise pratique en souffrance pour les autres. Après cette longue discussion, cela ne semble pas en valoir la peine. Pourtant, je pense que c'est amusant.
Carson Myers
2

et s'il peut être situé dans une table arc-en-ciel

Je suppose que vous voulez dire dictionnaire et non table arc-en-ciel. L'attaque par dictionnaire fonctionne simplement en testant tous les mots du dictionnaire s'ils correspondent au mot de passe. Cette attaque peut être corrigée par 5 tentatives et bloquée pendant x minutes ...

Une table arc-en-ciel ne sera utilisée que si vous hachez le mot de passe et que l'attaquant connaît le hachage. Alors il pourrait être en mesure de trouver le hachage dans la table arc-en-ciel si c'était juste "12345" ou quelque chose de similaire.

Juste pour terminer l'aller-retour: Pour rendre une table arc-en-ciel inutile, vous devez saler les mots de passe. Et utilisez un sel unqiue pour chaque mot de passe et pas seulement un pour tous. Si vous faites cela, l'attaquant doit créer une table arc-en-ciel avec le sel unique pour chaque compte auquel il souhaite accéder. Astucieux à vos côtés, vous pouvez pimenter le hachage avec l'algorithme de hachage multiple de concaténation afin qu'une génération puisse prendre une demi-seconde. Si vous avez fait cela, l'accès à un compte sur votre site Web doit valoir des jours, probablement un mois de génération de hachages pour trouver une correspondance avec ce compte ... Je ne peux pas penser à un attaquant qui essaiera d'obtenir tous les mots de passe quand il le fera prenez aussi longtemps.

Pour le temps de hachage: pensez au temps d'attente de 500 ms pour un mécanisme de connexion. Je pense que c'est acceptable ... (rappel: près d'une seconde prend la main pour SSL)

WarrenFaith
la source
Oui, je voulais dire un dictionnaire, merci. Et vous avez certainement raison que d'autres formes de sécurité sont nécessaires
Carson Myers