Question:
Pourquoi l'utilisateur choisit-il le mot de passe?
PyRulez
2015-04-14 00:54:56 UTC
view on stackexchange narkive permalink

Presque tous les services Web que j'imagine demandent à l'utilisateur de choisir le mot de passe. Pourquoi est-ce? Le système n'a-t-il pas pu choisir un meilleur mot de passe? Il n'est pas nécessaire que ce soit un désordre compliqué; voir cette réponse. Les utilisateurs trouvent-ils simplement leurs propres choix plus pratiques? Lors de la sélection du mot de passe de l'utilisateur, vous connaissez l'entropie, au lieu de placer certaines restrictions qui peuvent l'empêcher d'utiliser un schéma d'entropie faible.

Pourquoi laissons-nous l'utilisateur choisir le mot de passe?

Bien qu'il ne s'agisse pas d'une relation individuelle, les sociétés de cartes de crédit au Canada choisissent depuis longtemps les NIP (cartes à puce) pour les utilisateurs.
Si vous me rappelez votre mot de passe, j'oublierai votre service.
Peu importe le niveau de sécurité d'un mot de passe que vous obligez l'utilisateur à utiliser s'il l'écrit ou le met sur pastebin parce qu'il ne s'en souvient pas.
@Vality - ce n'est pas tout à fait vrai. Si je choisis un mot de passe faible sur un service Web, n'importe qui dans le monde peut essayer de le deviner. Si j'utilise un mot de passe fort et que je l'écris sur un post-it sur mon moniteur au travail, un très petit nombre de personnes en qui je dois généralement faire confiance y ont de toute façon accès. Si je l'écris dans une application de gestion de mots de passe protégée par un mot de passe que je n'écris pas, il est encore plus difficile pour quiconque d'y accéder.
Un exemple concret: ma banque en ligne a généré un mot de passe pour mon compte, qui ne comporte que 5 caractères et ne peut pas être modifié. Ce n'est pas un sentiment heureux ...
@LarsEbert Ne dites à personne votre banque.
@PyRulez Pas de soucis. Je n'aurais pas posté ce commentaire si j'étais toujours avec cette banque!
Si vous choisissez un mot de passe pour moi, vous allez en choisir un qui est plus faible que ce que j'aurais choisi moi-même. Une fraction importante des sites où je suis autorisé à choisir un mot de passe finissent par rejeter celui que j'ai choisi parce qu'ils ont, pour une raison obscure, décidé de mettre une limite supérieure sur la longueur du mot de passe. Si vous deviez en choisir un pour moi, je suis sûr qu'il serait encore plus faible que ne le permettent ces limites de longueur arbitraires.
@kasperd garde à l'esprit le public typique de Security.SE n'a rien à voir en termes de comportement de sécurité avec celui d'êtres humains profanes ... :-)
@SteveDL Ce que je veux dire, c'est qu'en imposant une force de mot de passe spécifique, vous êtes assuré de perdre certains utilisateurs ou de réduire la sécurité de certains autres utilisateurs.
L'entropie du mot de passe pour les services Web est surfaite. Limiter les tentatives de connexion à une par seconde et / ou exiger un CAPTCHA après quelques tentatives infructueuses est beaucoup plus facile à appliquer que les mots de passe à haute entropie et offre à peu près le même niveau de sécurité.
@Dennis Apparemment, les mots de passe sont utilisés pour protéger les données en utilisant le cryptage. Aucun schéma de cryptage connu n'intègre la technologie CAPTCHA (et bonne chance pour la conception.)
Eh bien, c'est une question entièrement différente. Pour le cryptage, le mot de passe d'entropie 44 bits de la bande dessinée XKCD ne suffit pas.
@Dennis je l'ai noté dans le post.
Offrez-moi l'authentification unique et je n'entrerai aucun mot de passe. :)
J'utilise un mot de passe long et sécurisé qui a une signification particulière pour moi et que j'ai tapé un million de fois, donc ce n'est pas un problème. Avoir un mot de passe généré aléatoirement, même lisible, ne serait pas aussi facile à retenir ou aussi rapide à taper qu'un mot qui a une signification particulière ET une entropie élevée. Au lieu de générer des mots de passe, forcez les utilisateurs à créer des mots de passe à haute entropie.
@Dennis Limiter le taux à une tentative de mot de passe par seconde n'aidera pas les 40% des utilisateurs qui ont généralement choisi l'un des 10 meilleurs mots de passe courants. Ce qui les aiderait, c'est de leur faire utiliser un mot de passe différent (et ici, vous pouvez discuter de COMBIEN d'entropie dont vous avez réellement besoin, mais cela revient toujours à l'entropie.)
@RenéG c'est super, vous avez un mot de passe super fort ... que vous êtes ensuite allé partager sur quelques dizaines de sites différents. À ce stade, peu importe le niveau d'entropie, l'un des autres sites connaît votre mot de passe. http://xkcd.com/792/
@avid Non, j'ai partagé un hachage de mon mot de passe
@RenéG il vous manque un point clé sur la réalité des services informatiques: la plupart des développeurs ne savent pas comment implémenter correctement l'authentification. De nombreux sites que vous utilisez seront compromis à l'avenir, et probablement la moitié d'entre eux utilisera un hachage faible qui peut être inversé. Certains peuvent même être compromis dans la mesure où les attaquants peuvent enregistrer activement les nouveaux mots de passe saisis, ce qui entrave encore plus votre sécurité. Avoir un mot de passe unique signifie accepter le compromis total pour tous vos services - soyez stratégique et gardez un mot de passe unique ** pour vos comptes importants **.
@SteveDL ou même plus, peut-être que ces développeurs sont eux-mêmes malveillants envers d'autres sites .... http://xkcd.com/792/
AilijjexvaCMT unimaginable :D
@Eric vous en êtes sûr. J'ai choisi mon propre code PIN pour ma carte au Canada.
@Fogest Oui, il a été envoyé par la poste avec ma MasterCard.
@Eric qui doit être spécifique à MasterCard. Pour mon visa, j'ai choisi le mien
Une question similaire: "Pourquoi l'utilisateur choisit-il le nom d'utilisateur?"Il serait facile d'éliminer les deux en suivant un schéma d'authentification différent.
Onze réponses:
#1
+72
AviD
2015-04-14 01:31:51 UTC
view on stackexchange narkive permalink

Pourquoi, en effet?

Permettez-moi d'ignorer cette question pendant un moment et de répondre à votre question implicite: Devrions-nous?
En d'autres termes, devrions-nous continuer à demander aux utilisateurs de créer leur propre mot de passe, qui est souvent faible, au lieu de simplement avoir le système pour générer un mot de passe fort pour eux?

Eh bien, je suis d'avis controversé qu'il y a un compromis assez fort ici - avoir un mot de passe sécurisé et SAVOIR à quel point il est sécurisé (comme vous le faites remarquer), d'une part, et de l'autre, le sentiment de sécurité de l'utilisateur. "Convivialité", dans une certaine mesure.

Je pense qu'il y a plusieurs aspects à ce sentiment de sécurité: certains utilisateurs voudraient s'assurer qu'ils ont eux-mêmes un mot de passe fort (par exemple via un gestionnaire de mots de passe ou un logiciel de dé); certains utilisateurs souhaiteraient sélectionner un mot de passe simple; et certains utilisateurs veulent utiliser le même mot de passe partout. Et oui, de nombreux utilisateurs s'attendent simplement à pouvoir définir leur mot de passe, quelle qu'en soit la raison - donc, en plus de toute cause spécifique, vous devrez toujours mener la bataille de la rééducation, ce qui est loin d'être facile. .

De plus, n'oubliez pas qu'une fois que vous avez obtenu un bon mot de passe fort pour l'utilisateur, l'utilisateur (souvent non technique) doit encore déterminer quoi en faire - même les phrases de passe deviennent difficiles à retenir après la première douzaine environ, ou si vous ne l'utilisez que tous les 6 mois ... L'utilisateur non technique l'enregistrerait très probablement dans un document Word sur son bureau, ou dans son courrier électronique. (Et bien sûr, écrivez le mot de passe du système d'exploitation sur une note autocollante attachée à l'écran).

Maintenant, ne minimisez pas ces raisons, ou ces causes d'utilisation de mots de passe faibles - nous, l'industrie de la sécurité, avons créé ce scénario pour les simples au fil des années. Mais cela se résume vraiment à: dans quelle mesure votre site doit-il être sécurisé? Combien de risques l'utilisateur peut-il décider de prendre sur lui-même, et quelle part de ce risque représente un risque système qui devrait être retiré des mains de l'utilisateur.

Bref, oui, je pense que la plupart des sites qui ont des exigences de sécurité non négligeables devraient proposer la génération de mots de passe / phrase de passe. Selon le profil et l'architecture, vous pouvez proposer 3 options lors de l'enregistrement d'un compte (ou de la modification du mot de passe, etc ...) - assurez-vous simplement de n'afficher le mot de passe qu'après avoir averti l'utilisateur contre le surf sur l'épaule:

  • Générer une phrase de passe - avec un nombre de mots configuré ou flexible (par défaut)
  • Générer un mot de passe fou avec une entropie ridicule, par exemple pour enregistrer dans le gestionnaire de mots de passe
  • Créez le vôtre.

En fait c'est ce que je recommande depuis un certain temps maintenant (variantes dépendant des besoins spécifiques ...).


Pour revenir à votre question initiale, pourquoi ce qui précède n'est-il pas fait?
Je suppose qu'une combinaison d'anciens systèmes et de mauvaises habitudes; mauvaise éducation (l'écrasante majorité des sites ont encore de mauvaises politiques et recommandations de mots de passe); et peut-être juste un manque de conscience d'une meilleure solution.

Oui, c'est pourquoi les mots de passe sont nuls. :-)

Et en tant qu'utilisateur, je souhaite * choisir * mon niveau de sécurité. Je réutilise assez souvent un certain mot de passe (facile). C'est ce que j'utilise pour les comptes d'ordures, ou des choses qui autrement n'ont pas besoin de protection dans mon cas.
@Paul Draper Password reuse = 0 entropy (peut-être un peu ou deux de plus si vous avez une liste de mots de passe que vous sélectionnez au hasard.)
De plus, à propos de cette recommandation, avez-vous des ressources à ce sujet (études de cas, articles, sites Web)?
@PyRulez,, vous voudrez peut-être montrer vos calculs.
@PaulDraper Si votre "algorithme" est "utilisez toujours * ce * mot de passe", alors -log2 (100%) = 0.
@PyRulez, c'est un mauvais calcul. Si mon "algorithme" est "utilisez toujours * ce * mot de passe" sur example.com, alors -log2 (100%) = 0.
@PaulDraper Même si vous utilisez un peu certains mots de passe, cela ne représente que 2 ^ 2 = 4, ce qui signifie 2 bits d'entropie.
@PyRulez la réalité est un peu plus nuancée. Peu de professionnels non spécialisés dans la sécurité ont plus d'une poignée de mots de passe, dont ils créent des variantes. Il n'y a pas de mesures de force des mots de passe qui tiennent pleinement compte de ce phénomène, car la communauté de la sécurité n'a toujours pas développé les outils pour étudier les effets de la réutilisation des mots de passe, et les modèles à brancher sur ces outils pour estimer les risques des différentes stratégies de réutilisation. Lisez les articles de Cormac sur les portefeuilles de mots de passe et regardez attentivement notre groupe (http://sec.cs.ucl.ac.uk/) si vous voulez en savoir plus. Nous avons une équipe qui travaille précisément là-dessus.
@SteveDL si le mot de passe est réutilisé tel quel (sans transformations de formule), et réutilisé sur n'importe quel site - alors l'entropie n'est pas pertinente et inutile à calculer. Puisque vous êtes déjà allé exposer votre mot de passe à quiconque le demande, la force brute est devenue inutile (en général). S'il y a une «formule», elle est généralement assez triviale et transparente, et l'entropie * supplémentaire * serait un calcul similaire à la première case du xkcd - peut-être le nom du site, peut-être les initiales, etc. - 3 bits au plus pour cela, puis un autre couple pour l'emplacement - avant / après / milieu ...
Une question importante est de savoir si le mot de passe protège l'utilisateur ou si le mot de passe protège l'accès de l'utilisateur à la formation de quelqu'un d'autre (par exemple, un compte d'entreprise).
@CodesInChaos est tout à fait d'accord, c'est ce à quoi je faisais allusion (probablement trop subtile) avec: "Combien de risques l'utilisateur peut-il décider de prendre sur lui-même / elle-même, et quelle part est le risque système qui devrait être retiré des mains de l'utilisateur . "
@AviD c'est pourquoi je dis que ce qui compte, c'est quels mots de passe sont réutilisés où. Les transformations peuvent également être relativement simples à trouver, surtout si vous avez déjà plusieurs mots de passe de la victime.
Y a-t-il un problème avec le stockage des mots de passe dans un document Word sur votre bureau?
Stocker des mots de passe sur votre bureau sans aucun type de cryptographie est assez mauvais, car un attaquant qui ne peut avoir qu'un accès en lecture seule à votre boîte pourrait les obtenir. Vous préférez utiliser un KeyPass ou autre pour atténuer ce risque. En ce qui concerne le "mot de passe sur un pense-bête", je pense honnêtement que ce n'est pas si grave, la sécurité physique est loin d'être la principale préoccupation dans la plupart des attaques, et si l'attaquant peut lire votre pense-bête, il peut très probablement avoir un accès physique sur la plupart de vos box, c'est déjà game over.
"Générer un mot de passe fou avec une entropie ridicule, par exemple pour enregistrer dans le gestionnaire de mots de passe" - Je serais intéressé de savoir si quelqu'un prend réellement cette option, car les gestionnaires de mots de passe peuvent générer des mots de passe incroyablement forts pour eux-mêmes. Ne fait aucun mal, mais cela ressemble un peu à offrir un service d'aboiement aux propriétaires de chiens ;-)
@Dillinur Je pense qu'il plaisantait (avec un peu de chance.)
@PyRulez - en fait, je n'étais pas. Tous mes mots de passe sont dans un document Word sur mon bureau. Êtes-vous maintenant en mesure de voler mon identité en ligne?
Cela rend la phase de post-exploitation beaucoup plus facile. Toute vulnérabilité qui donne un accès en lecture à votre système de fichiers aura énormément plus d'impact.
@paj28 Pas moi, mais chaque programme sur votre ordinateur le peut.
@Dillinur - J'étais enclin à être d'accord avec vos réflexions sur les post-it. Cependant, aujourd'hui, j'ai vu [ceci] (http://www.theregister.co.uk/2015/05/01/london_rail_station_exposes_signal_system_passwords/)
Je dirais que c'est un risque plus évitable (et moins susceptible de se produire). Vous êtes plus susceptible d'être forcé que enregistré à mon avis, mais votre kilométrage peut varier.
#2
+30
tim
2015-04-14 01:11:12 UTC
view on stackexchange narkive permalink

Obtenir le mot de passe à l'utilisateur

Les seules fois où j'ai vu des systèmes qui définissent le mot de passe pour l'utilisateur, il est envoyé à l'utilisateur par e-mail (évidemment en texte clair ), ce qui est évidemment une mauvaise idée [*] (et les SMS, Mail, etc. ne sont pas beaucoup mieux).

Cela laisserait donc afficher le mot de passe lors de la création du compte (ce qui pourrait aussi être un mauvais idée à cause du surf à l'épaule). Je suppose que cela conduirait de nombreux utilisateurs à oublier cela ou à ne pas se rendre compte que c'est important. Les utilisateurs ont l'habitude de se souvenir / d'écrire / de stocker les mots de passe lorsqu'ils les créent eux-mêmes, mais ils ne sont pas habitués à lire certaines pages après avoir créé un compte; beaucoup l'ignoreraient probablement.

[*] parce que quiconque accède au compte de messagerie de l'utilisateur (force brute, l'utilisateur a oublié de se déconnecter, etc.) n'y aura pas accès. Si un attaquant utilise la réinitialisation du mot de passe pour y accéder, un utilisateur le remarquerait au moins.

Faire en sorte que l'utilisateur se souvienne du mot de passe

Les utilisateurs doivent connaître leurs mots de passe. En règle générale, ils ont quelques options pour cela (mémoire, écriture ou stockage dans un gestionnaire de fichiers ou de mots de passe). L'un des principaux (mémoire) ne serait pas pratique avec votre approche [*], ce qui, je suppose, est la principale raison pour laquelle les sites Web ne génèrent pas de mots de passe pour les utilisateurs.

[*] même avec des mots de passe générés faciles à retenir, les utilisateurs auront encore plus de mal à s'en souvenir que les mots de passe qu'ils ont eux-mêmes choisis.

Expérience utilisateur

La sécurité n'est pas l'activité principale de la plupart des services Web. Il est souvent plus important que les utilisateurs soient satisfaits, et de nombreux utilisateurs ne seront pas si heureux s'ils ne peuvent pas choisir leurs propres mots de passe (car ils ne veulent pas se souvenir des mots de passe générés, et ils ne veulent pas les écrire, et ils le font aussi ne souhaite pas utiliser de gestionnaire de mots de passe). Les utilisateurs veulent simplement utiliser un service, et tout ce qui complique la tâche peut conduire à un pourcentage de personnes utilisant un service concurrent.

Conclusion

Les mots de passe sont toujours un compromis entre la convivialité et la sécurité, et ne pas laisser les utilisateurs choisir des mots de passe réduit trop la convivialité d'un service pour la plupart d'entre eux (et en raison des problèmes d'obtention du mot de passe généré à l'utilisateur, il se peut que cela n'ajoute pas tout autant de sécurité).

+1 pour le premier point, le cerveau humain moyen reste toujours le stockage le plus sécurisé de données sensibles brutes. (d'un point de vue architectural bien sûr);)
Je trouve le premier point assez douteux, avec l'accès au compte de messagerie de l'utilisateur, vous pouvez déjà réinitialiser son mot de passe pour pratiquement n'importe quel site Web.
@Dillinur oui, je l'ai mentionné. Mais la réinitialisation est différente de la connaissance du mot de passe car l'utilisateur le remarque et peut alors prendre des mesures (comme changer les mots de passe, etc.). De plus, je pourrais imaginer que les utilisateurs réutiliseraient les mots de passe qui sont générés pour eux sur des sites Web qui leur permettent de choisir leur propre mot de passe (afin qu'ils doivent se souvenir de moins de mots de passe).
+1 Pour l'expérience utilisateur. Je n'ai pas utilisé de services car ils ont trop limité mon choix de mot de passe. Si je n'avais même pas la possibilité de choisir le mien, j'abandonnerais tout de suite et donnerais à l'écran le majeur. Règle numéro un, ne faites pas chier les utilisateurs, laissez-les faire ce qu'ils veulent.
#3
+17
MGOwen
2015-04-14 09:03:03 UTC
view on stackexchange narkive permalink

Les organisations veulent que les utilisateurs soient responsables.

Si l'utilisateur choisit le mot de passe, on peut lui reprocher d'en avoir choisi un mauvais.

Malheureusement, dans le monde réel, les organisations peuvent devoir se préoccuper davantage de sembler assumer une partie de la responsabilité des intrusions que de s'assurer qu'elles ne peuvent pas se produire.

Les utilisateurs veulent choisir quelque chose dont ils se souviennent

De nombreux utilisateurs n'écriront pas leurs mots de passe (en laissant de côté si c'est une bonne idée ou non). Ils préfèrent choisir quelque chose dont ils pensent se souvenir. (Ceci est particulièrement important pour les milliers de sites qui ne devraient pas avoir besoin d'un mot de passe mais obliger les utilisateurs à en choisir un).

Votre point sur le blâme est juste. La plupart des sites Web vous disent de choisir un mot de passe unique et de ne jamais l'écrire. Personne ne pourra réellement faire cela pour tous ses comptes en ligne. Mais maintenant c'est leur faute, plutôt que les sites Web! La solution? Gestionnaires de mots de passe!
#4
+11
Kurt Tappe
2015-04-15 10:26:51 UTC
view on stackexchange narkive permalink

Un répondant a abordé la bonne réponse, mais ne l'a pas suffisamment développée, donc je le ferai.

Vous posez la question d'un point de vue informatique ou informatique. Mais pourquoi cela existe-t-il? Pour servir le client. Permettez-moi de répéter ceci: le client n'est pas là pour vous servir, vous êtes là pour faire ce qu'il a besoin de vous.

Donc, avec cela à l'esprit , revisitons la question: pourquoi autorisons-nous encore les clients à choisir leurs propres mots de passe? Pourquoi ne définissons-nous pas de mots de passe pour les clients?

Parce que si nous imposons des mots de passe aux clients, que pensez-vous qu'ils vont faire? Nous leur avons imposé quelque chose d'immémorable qu'ils doivent savoir plus tard. Je garantis qu'ils vont saisir un Post-It et noter ce mot de passe.

Vous avez échoué. Les mots de passe écrits sur papier sont un échec de sécurité. Vous ne voulez jamais que cela se produise . Et avant de blâmer le client dans ce cas, c'est vous qui l'avez forcé à utiliser un mot de passe qu'il n'avait pas participé à la création. Ils n'avaient aucune chance de le rendre mémorable. Vous leur avez dit "Mémorisez 'F82 $ fVq9' et ne l'écrivez pas." En tant que client, ma première réaction serait "F *** you". Les entreprises n'ont pas la possibilité de dire aux clients quoi faire. Les clients trouveront des moyens de se rebeller, notamment en écrivant vos mots de passe aléatoires. Ne combattez pas la nature humaine. Tu. Volonté. Perdez.

C'est pourquoi nous laissons les clients choisir leurs mots de passe. Si votre site vaut du sel, il fait comme la plupart des sites aujourd'hui, il vérifie la force du mot de passe choisi. Cela garantit que le mot de passe comporte 8 caractères, deux chiffres, un caractère majuscule et un symbole.

Et vous avez toujours échoué à votre objectif initial car les ordinateurs d'aujourd'hui peuvent forcer brutalement les mots de passe à 8 caractères en quelques secondes . Dites simplement.

Vous voulez une véritable sécurité par mot de passe que le client choisit et où vous êtes également satisfait de la force? Voilà: https://xkcd.com/936/

Je pense que vous avez manqué le point de la question, même si vous la lisez complètement. L'OP fait spécifiquement référence aux phrases de passe de style xkcd (même liées à celle-ci), et mentionne explicitement comment votre "Mémoriser 'F82 $ fVq9'" est cassé, et généralement ce que les utilisateurs font de toute façon - * ce que l'OP essaie de réparer * . Toute cette exigence de mot de passe est quelque chose que * IT * a mis au point et applique, ce n'est certainement pas quelque chose pour servir le client.
Je suis généralement d'accord avec cette réponse, mais je ne pense pas que les mots de passe écrits soient aussi mauvais que suggéré. En prolongeant cette réponse, nous pouvons dire que certains de nos utilisateurs sont des clients et certains sont des employés. Dans certaines circonstances, il peut être judicieux de générer des mots de passe pour nos employés utilisateurs.
@AviD - Ce que vous pouvez mémoriser / utiliser facilement est catégoriquement * PAS * ce que je peux mémoriser / utiliser facilement; * PERSONNE * peut générer une phrase secrète facilement mémorisable pour une autre personne (sans ensuite habituer l'utilisateur en le faisant sauter fréquemment dans ce cercle particulier sur une période prolongée). Tout ce que vous générez pour moi peut aussi bien avoir été «F82 $ fVq9»; il nécessite juste plus de frappes par caractère, pour ainsi dire.
@StanRogers, c'est en fait un bon point ici - les listes de mots génériques sont génériques et ne prennent pas en compte des éléments tels que les différences culturelles, les barrières linguistiques et les problèmes de mondialisation en général. Sans parler des idiosyncrasies personnelles ... C'est pourquoi j'ai recommandé de * proposer * les mots de passe générés, et de ne jamais les * appliquer *. Ce serait donc mieux dans le cas général, et revenir au statu quo dans les exceptions.
Je pense que cette réponse souligne certains points très bons / importants. En informatique, nous mettons souvent nos besoins avant ceux des utilisateurs. Il est de loin préférable de laisser l'utilisateur choisir un mot de passe avec lequel il est à l'aise et qui répond à ses exigences de sécurité. L'autre point à considérer est la difficulté de créer un système qui génère des mots de passe `` aléatoires '' qui sont conviviaux (c'est-à-dire mémorisables) ET qui ne présentent pas de biais / modèle qui pourrait entraîner une sécurité globale plus faible si quelqu'un devine le modèle.
#5
+6
Scott
2015-04-14 03:21:27 UTC
view on stackexchange narkive permalink

Pensez-y de cette façon, si vous choisissez le mot de passe de l'utilisateur pour lui, il l'oubliera et devra utiliser des systèmes de réinitialisation de mot de passe.

Le 'mot de passe oublié' est généralement moins sécurisé que le mot de passe, donc rendre le mot de passe plus sécurisé, mais provoquer plus de réinitialisations de mot de passe rend l'ensemble du système moins sécurisé car il serait plus difficile de détecter les tentatives frauduleuses d''oubli de mon mot de passe '.

Edit: Je suppose que vous ne le faites pas' t travailler pour une banque ou un silo d'armes nucléaires. Si vous le faites, veuillez ne pas tenir compte de mes conseils.

Pourquoi un système ne pourrait-il pas créer un mot de passe mémorable? C'est une tâche simple.
Comptez le nombre de mots de passe que vous avez, je suppose que c'est dans la plage de 50+. Personne ne peut se souvenir de tant de mots de passe, même s'ils sont mémorables.
Eh bien, vous ne les réutilisez certainement pas, n'est-ce pas?
@PyRulez Définissez "mémorable". Votre fournisseur usenet (que vous utilisez principalement via une API exposée et une clé entre utilisée par votre interface logicielle) vous donne la phrase secrète «Blue elephants, mangez seulement 12 navets verts» (ponctuation et chiffres intentionnels). Vous revenez après n'avoir pas utilisé l'interface côté utilisateur pendant 6 mois, car vous souhaitez changer de forfait ou acheter plus de quota de téléchargement. Dangit, quelle était cette phrase secrète? Quelque chose sur les dinosaures roses et les oignons?
@ PyRulez Oui, je réutilise les mots de passe. Si vous trouvez comment publier des photos de chats pour moi sur mon compte reddit, vous pourrez également publier des photos de cupcakes pour moi sur mon instagram. Je vivrai avec l'une ou l'autre de ces conséquences désastreuses.Les services sans importance doivent se concentrer sur le moins possible de mon cerveau, afin que je puisse me concentrer sur la mémorisation des mots de passe à haute entropie pour le travail, le mot de passe est rendu public.
Si vous travaillez dans un silo d'armes nucléaires, le mot de passe est "00000000" (sérieusement!).
#6
+4
paj28
2015-04-14 17:17:59 UTC
view on stackexchange narkive permalink

Je ne choisis pas mes propres mots de passe. J'utilise un gestionnaire de mots de passe qui génère des mots de passe aléatoires pour moi.

Cependant, la plupart des sites Web sont basés sur l'idée que les utilisateurs mémoriseront leurs mots de passe. Il est beaucoup plus facile pour un utilisateur de mémoriser un mot de passe qu'il a choisi lui-même, plutôt que celui qui lui a été attribué. Dans la pratique également, les utilisateurs utilisent généralement le même mot de passe sur de nombreux sites, et bien que les petits caractères leur disent de ne pas le faire, le processus d'inscription ne peut pas les arrêter.

Je ressens fortement que "mémoriser votre Le modèle de mots de passe est défectueux et un gestionnaire de mots de passe est un meilleur choix pour à peu près tout le monde. Mais ce n'est pas la réalité; Je n'ai pas de chiffres, mais même parmi mes amis férus de technologie, utiliser un gestionnaire de mots de passe pour tout est rare.

Le problème avec l'approche du gestionnaire de mots de passe est que soit vous ne l'avez que sur votre ordinateur principal, soit vous faites confiance à un tiers avec tous vos mots de passe (au moins, ils ont le bon crypto). Je n'ai pas réussi à surmonter la peur de laisser un service de synchronisation synchroniser mes mots de passe avec _tout_.
@romkyns - vous pouvez utiliser votre propre gestionnaire de mots de passe et synchroniser le fichier crypté via un service cloud ou une clé USB
#7
+2
killermist
2015-04-14 05:04:00 UTC
view on stackexchange narkive permalink

Dans de nombreuses situations, l'utilisateur est censé être son propre chien de garde car l'utilisateur du système n'est pas la menace pour le système. Les menaces pour le système sont les administrateurs et les opérateurs de niveau employé qui, en raison de leur position, ont une exposition et des autorisations / droits élevés au sein du système.

Sans déjà un système gravement défectueux, James Random Person ne pourra pas générer et ajouter à son compte 4 millions de dollars en bits et octets, tout seul. Lui, ou quelqu'un agissant comme lui, ne peut vraiment nuire qu'à son propre compte. La vraie menace vient de ceux qui ont des privilèges / droits élevés, qui sont à l'intérieur. Si James Random Person a un mot de passe "xxxx22" et que son compte est compromis, c'est sur lui, pas sur vous.

Oui, les mots de passe / phrases de passe sécurisés sont une excellente idée. Mais dès que vous commencez à forcer les utilisateurs à les utiliser, les utilisateurs seront contrariés et les utilisateurs partiront.

Dans un monde sans bug, vous avez peut-être raison. Cependant, je ne pense pas que nous soyons encore au point que nous pouvons rejeter l'élévation des privilèges comme sans importance.
#8
+2
Conor Mancone
2018-04-11 17:10:35 UTC
view on stackexchange narkive permalink

Bien que cette question ait déjà un milliard de réponses, des propositions très récentes pour les navigateurs valent la peine de mentionner une autre possibilité. Oui, la solution de mot de passe actuelle est nulle. Cependant, la réponse n'est pas de mieux faire les mots de passe. La réponse est d'abandonner les mots de passe. Une nouvelle proposition est sortie du W3C et de Fido pour pousser le navigateur natif à prendre en charge l'authentification des utilisateurs externes - clés matérielles, biométrie, etc ... Voici quelques articles:

https: // techcrunch .com / 2018/04/10 / fido-alliance-et-w3c-ont-un-plan-de-tuer-le-mot-de-passe / amp / https://fidoalliance.org/fido- alliance-et-w3c-atteindre-les-normes-majeures-jalon-dans-l'effort-mondial-vers-une-authentification-plus simple-plus forte-sur-le-Web /

Il s'agit évidemment d'un long moyen d'être d'usage courant. Il convient également de mentionner qu'il faudra beaucoup de temps (voire jamais) avant que des options de connexion comme celles-ci remplacent complètement les mots de passe. Les mots de passe seront là pendant très, très longtemps. Cependant, si je construisais un système nécessitant une sécurité utilisateur de premier ordre, je ne prendrais pas la peine de fournir une autre option de génération de mot de passe. Je soutiendrais simplement les meilleures pratiques actuelles en matière de mots de passe, et je fournirais un soutien pour des schémas d'authentification alternatifs tels que ceux ci-dessus dès que la technologie sera réalisable.

#9
+1
Justin J. O'Boyle
2015-04-14 04:28:32 UTC
view on stackexchange narkive permalink

D'autres personnes l'ont déjà mentionné, mais je pense que l'on attend d'un utilisateur qu'il contrôle la sécurité de son compte.

Cela étant dit, je suis d'accord avec le fait que de nombreux mots de passe ne sont pas très forts et devraient certainement être vérifiés par un côté client (donc nous n'envoyons pas de mots de passe bruts via le réseau) vérificateur de complexité, et si le mot de passe ne marque pas assez élevé, nous demandons à l'utilisateur de créer un mot de passe plus fort.

Même si le mot de passe a une modification requise l'utilisateur est toujours en train de proposer la modification , et comme vous toujours entendu à l'école, "si vous l'écrivez, vous ne l'oublierez pas", et je pense que la même chose est vraie dans ce cas avec la création de mots de passe.

Hors sujet, mais je recommande vivement 1Password pour les utilisateurs ayant des difficultés à se souvenir des mots de passe.

#10
  0
WoJ
2015-04-15 18:08:59 UTC
view on stackexchange narkive permalink

Lors de la sélection du mot de passe de l'utilisateur, vous connaissez l'entropie, au lieu de placer certaines restrictions qui peuvent les empêcher d'utiliser un schéma à faible entropie

Afin d'avoir le meilleur des deux mondes, vous pouvez également calculer l'entropie (ou tout autre mécanisme que vous jugez approprié) pendant qu'ils tapent le mot de passe choisi. C'est le mécanisme utilisé sur de nombreuses pages d'inscription:

enter image description here

enter image description here

Il y a plusieurs avantages de cette méthode (l'utilisateur choisit son mot de passe, il est conscient qu'il s'agit d'un "bon" ou "mauvais", ...).

Assurez-vous simplement que votre philosophie de ce qui constitue un bon et un mauvais mot de passe a du sens et que votre la mise en œuvre est conviviale pour les gestionnaires de mots de passe (je déteste simplement ces sites qui cassent Lastpass au nom de Dieu sait quoi)

L'entropie du mot de passe est une fonction de la méthode de génération. En supposant que vous l'ayez généré de la manière évidente, piepiepiepiepiepie n'est pas un bon mot de passe et il n'y a intrinsèquement aucun moyen de déterminer l'entropie à partir du mot de passe.
@PyRulez: l'entropie du mot de passe est une [fonction mathématique] (https://en.wikipedia.org/wiki/Password_strength#Entropy_as_a_measure_of_password_strength) et peut être calculée à la volée. C'est une terrible indication de la force du mot de passe et votre exemple est très bon: l'entropie est de 84 bits (bien!) Mais si l'attaqué sait comment ce mot de passe particulier est construit (le même mot répété plusieurs fois) alors il devient un Un mauvais. Si la règle appliquée est qu'elle est composée de 6 mots, en minuscules - c'est très bien, etc.
C'est une fonction mathématique du processus, pas du mot de passe. (-somme (p log p)). En supposant que je reçoive une tarte au hasard dans la liste Randalls, c'est un peu plus de 11 bits (le nombre de fois que je l'ai répété est quelque peu aléatoire.) Tout l'attaquant doit faire une simple attaque par dictionnaire, sauf qu'il essaie de répéter le mot plusieurs fois.
#11
  0
hildred
2015-04-17 11:10:22 UTC
view on stackexchange narkive permalink

Ok les mots de passe sont nulles. En fait, j'ai trouvé plus de preuves d'échec précoce de mot de passe que de systèmes de mot de passe bien conçus lorsque je considère les mots de passe comme méthode de contrôle d'accès avant les ordinateurs. Il existe malheureusement trois méthodes que j'ai vues pour «résoudre» le problème.

  1. analyse des risques de coût: Décidez que le risque est petit et le coût est élevé, alors ne faites rien (il y a un beaucoup de réponses qui argumentent de ce point de vue sur cette question).

  2. de meilleurs mots de passe: au cœur de votre question cherche un moyen de le faire. Malheureusement, cela est difficile et coûteux (coût d'opportunité au minimum). Par exemple, j'ai fait un effort pendant mon temps libre pendant plusieurs mois pour configurer un générateur de mot de passe intégré à l'expiration du mot de passe de connexion de mon ordinateur à l'aide de pam. Je n'ai fait aucun progrès significatif et les composants de base ont été supprimés de ma distribution choisie pour les bogues.

  3. autre chose que des mots de passe: j'ai fait un effort pour configurer une connexion basée sur une carte à puce sur mon ordinateur avant de le recommander à mon patron. Je n'ai trouvé personne pour m'en vendre un à tester. J'espère que cela a changé l'année dernière, mais la dernière fois que j'ai vérifié, ils étaient moins disponibles qu'auparavant aux États-Unis.

Je trouve cela déprimant.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...