it-swarm.com.de

Wie kann ein Gleichgewicht zwischen Sicherheitspolitik und praktischen Herausforderungen bei der Umsetzung hergestellt werden?

In unserer Organisation stießen wir auf einige häufige Vorfälle wie:

  1. Gemeldete erfolgreiche Angriffe zum Erraten von Passwörtern

  2. Häufige Beschwerden zum Zurücksetzen des Passworts

Wir haben eine Untersuchung eingeleitet, um die Ursachen und Mängel in unserer Praxis zu ermitteln. Die Kennwortrichtlinie lautet wie folgt

Passwörter müssen aus mindestens 8 Zeichen mit einer Mischung aus alphanumerischen Zeichen und Sonderzeichen und einem Ablaufdatum von 60 Tagen bestehen. Keine sich wiederholenden Passwörter für 3 aufeinanderfolgende Änderungen.

Die meisten Benutzerfeedbacks zu unserer Passwortrichtlinie waren negativ und die Beschwerde lautete, dass sie Schwierigkeiten haben, sich das Passwort zu merken, und häufig ein einfaches verwenden, um die Richtlinie zu erfüllen.

Wir haben eine interne (persönliche) Umfrage durchgeführt, um festzustellen, wie stark die verwendeten Passwörter sind. Das Ergebnis zeigt, dass mehrere gebräuchliche Wörter in verschiedenen Kombinationen verwendet wurden, da Benutzer ihre Passwörter alle 60 Tage ändern müssen.

Zum Beispiel Passwörter, die wiederholte Wörter wie name, home, office usw. enthalten. Ich glaube, dass die meisten Organisationen diese Richtlinien haben und die meisten Standards diese empfehlen (PCI- DSS usw.), aber keiner von ihnen schafft wirklich das Gleichgewicht zwischen den Kontrollen und der praktischen Anwendbarkeit.

Daher erreicht das tatsächliche Ergebnis solcher Richtlinien/Kontrollen nicht das gewünschte Ergebnis.

Das Hauptanliegen ist, wie wir das Gleichgewicht zwischen diesen Richtlinien (in diesem Fall der Kennwortrichtlinie) und den praktischen Herausforderungen bei der Implementierung herstellen können.

27
Sayan

Da es sich bei dieser Frage nicht um eine technische Frage handelt, sondern eher um menschliches Verhalten, erhalten Sie keine Antwort . Was Sie beschreiben, ist jedoch sehr typisch und ich habe die gleiche Erfahrung gemacht.

Komplexe Passwortregeln führen normalerweise nicht zu sichereren Passwörtern. Wirklich wichtig ist nur eine Mindestlänge und eine Überprüfung anhand einer Liste der am häufigsten verwendeten Passwörter. Menschen können sich nicht an unzählige sichere Passwörter erinnern, und solche Regeln können sogar gute Passwortschemata beeinträchtigen. Menschen können sehr erfinderisch werden, um solche Regeln zu umgehen, z. durch die Verwendung schwacher Passwörter wie "Password-2018", das die meisten Regeln erfüllt. Oft haben Sie schwächere Passwörter als stärkere.

Gleiches gilt für die Regel zur Kennwortänderung. Es ist sehr üblich, dem Kennwort eine zunehmende Anzahl oder den aktuellen Monat hinzuzufügen.

Kürzlich veröffentlichte NIST ein offizielles Papier (siehe Kapitel 10.2.1), das von solchen Regeln und von seinen früheren Empfehlungen abrät.

Ein Versuch, die bearbeitete Frage zu beantworten:

  1. Wir können versuchen, die Authentifizierung zu delegieren, entweder mit Single Sign-On oder mit OAuth2 . Auf diese Weise können wir die Passwörter reduzieren Ein Benutzer muss sich merken (dasselbe Passwort für mehrere Dienste).
  2. Man könnte einen Passwort-Manager empfehlen . Ein Link auf der Anmeldeseite zu einem guten Tool schadet nicht.
  3. Wir könnten Passwortphrasen verwenden. Warum nicht ein lustiges Beispiel auf die Anmeldeseite setzen: "Ich schlafe gerne, bis es zu spät ist, um aufzustehen". Dies erhöht das Bewusstsein und zeigt dem Benutzer, wie viel einfacher (und mobilfreundlicher) Passphrasen sein können. Stellen Sie einfach sicher, dass Sie genau dieses Beispiel ablehnen.
42
martinstoeckli

Die beste Lösung besteht darin, Ihre Benutzerbasis für die Verwendung von Passphrasen zu schulen.

Passphrasen sind leichter zu merken, leichter zu tippen - und schwerer zu knacken. Und die von @martinstoeckli erwähnten NIST-Regeln sind passphrasenfreundlich gestaltet.

Fünf zufällige Wörter, die aus einem Wörterbuch mit mindestens 20.000 Wörtern stammen, wären ein guter Mittelweg.

Training wird der Schlüssel sein, mit Materialien wie Stanford's .

Sie können sogar eine Möglichkeit erstellen, Passphrasen zu generieren und ihnen vorzuschlagen. Es wäre relativ einfach, eine vereinfachte, private Instanz von ae7.st/g oder rempe.us/diceware zu erstellen, die Ihre Benutzerbasis als Ausgangspunkt verwenden kann. Diese werden vollständig auf der Clientseite ausgeführt, sodass die Kennwörter nicht remote erfasst werden können.

[Bearbeiten: Ja, ich bin auch ein großer Fan von Passwort-Managern. Die ursprüngliche Frage konzentriert sich jedoch auf Helpdesk-Anrufe zum Zurücksetzen von Passwörtern im Unternehmen, was mit ziemlicher Sicherheit AD-Passwörter bedeutet - eines dieser "Front-End" -Kennwörter, die normalerweise gespeichert werden müssen.]

14
Royce Williams

Helfen Sie allen in Ihrem Unternehmen, einen guten Passwort-Manager zu verwenden. (Ich sollte offenlegen, dass ich für die Hersteller eines sehr guten Passwort-Managers arbeite.)

Im Ernst, Sie haben ein Problem mit der Kennwortverwaltung, und die Verwendung eines Kennwortmanagers in Ihrem Unternehmen ist der beste Weg, um dieses Problem zu beheben. Dies ist, wofür Passwort-Manager entwickelt wurden.

Kommentare adressieren

Es gab eine Reihe von ausgezeichneten Kommentaren, die ich eher spontan beantwortet habe. Es sieht also so aus, als müsste ich mich hier wirklich anstrengen.

Es gibt zwei Fragen zu diskutieren.

Passwort des Passwort-Managers vergessen

Ein Passwort-Manager beseitigt nicht die Notwendigkeit, sich alle Passwörter zu merken, hilft aber auf jeden Fall. Mir war nicht ganz klar, ob sich die ursprüngliche Frage speziell auf das Workstation/AD/LDAP-Benutzerkennwort für die Organisation oder auch auf andere Kennwörter konzentrierte.

Eine Sache bei der Verwendung des Passwort-Managers ist, dass Sie das Passwort normalerweise mehrmals täglich eingeben müssen. Nach kurzer Zeit lernen die Leute es also gut.

Wenn wir speziell von 1Password sprechen, haben wir Dinge so eingerichtet, dass wir die Geheimnisse von niemandem kennenlernen können, aber es ist möglich, dass bestimmte Personen innerhalb einer Organisation befugt sind, eine Wiederherstellung durchzuführen. In unserer Dokumentation erfahren Sie, wie dies für einen Administrator aussieht, oder in unserem Sicherheitsweißbuch, wie alles hinter den Kulissen funktioniert.

Workstation-Login

Natürlich können Sie Ihren Passwort-Manager nicht auf einem System ausführen, bei dem Sie sich nicht anmelden können. Abhängig von den Richtlinien Ihres Unternehmens kann der Kennwortmanager jedoch auch auf dem Telefon eines Benutzers ausgeführt werden.

Ich verstehe, dass es einige Einwände dagegen geben wird, aber bedenken Sie, dass es im Interesse der Organisationen liegt, dass das Anmeldekennwort von Personen nicht nur für HTTP verwendet wird MyKittyPictures.org, das auf einer Version von Wordpress] basiert, die seit einem Jahrzehnt nicht mehr aktualisiert wurde. Sie möchten also, dass Ihre Mitarbeiter sowohl zu Hause als auch bei der Arbeit einen Passwort-Manager verwenden.

Auch hier ermöglicht 1Password (und einige unserer Mitbewerber) die Verwaltung separater Konten, sodass Sie keine Geheimnisse am Arbeitsplatz finden, die an Orte gelangen, die Sie nicht möchten. Ich wollte dies nicht wirklich in ein Verkaufsgespräch verwandeln, aber es gibt Möglichkeiten, Dinge einzurichten, die den Sicherheitsanforderungen verschiedener Organisationen entsprechen.

Mit eindeutigen Passwörtern verringert sich der Bedarf an erzwungener Rotation

(Dies ist relevant, da erzwungene Passwortrotation dazu führt, dass Benutzer Passwörter vergessen oder beschissene verwenden.)

Erzwungene Passwortrotationen schaden im Allgemeinen mehr als sie nützen. Einige der "guten" Dinge, die sie tun, sind, weil die Leute dazu neigen, dasselbe Passwort bei mehreren Diensten wiederzuverwenden. Sobald einer kompromittiert wird, ist alles, was dasselbe Passwort verwendet, anfällig.

Wenn Sie Benutzer dazu bringen, einen Kennwortmanager zu verwenden, können Sie die Benutzer von der Wiederverwendung von Kennwörtern abhalten.

Bei generierten Passwörtern werden Komplexitätsregeln nicht benötigt.

Regeln für die Komplexität von Passwörtern können auch mehr schaden als nützen, und sie führen mit Sicherheit zu Passwörtern, die schwer zu merken sind. 1Password bringt die Leute zu sehr starken, aber verwendbaren Master-Passwörtern.

Auch hier versuche ich nicht, daraus ein Verkaufsgespräch zu machen. Schauen Sie sich an, was wir anbieten (sprechen Sie mit uns über die Bedürfnisse Ihrer spezifischen Organisation), aber schauen Sie sich auch andere an. Meiner nicht so bescheidenen Meinung nach sind wir die Besten, aber insgesamt ist mein Punkt, dass viele Ihrer Passwortprobleme mithilfe eines Passwort-Managers behoben werden können. Und es wird Ihre Leute dazu bringen, sich auf sicherere Gewohnheiten einzulassen. Ein Passwort-Manager genießt den glücklichen Punkt, sowohl die Sicherheit zu erhöhen als auch den Benutzern das Leben zu erleichtern.

11

... das tatsächliche Ergebnis solcher Richtlinien/Kontrollen nicht das gewünschte Ergebnis erzielt.

Genau. Sie haben das gut identifiziert.

1. Überprüfen Sie Ihre Kennwortrichtlinie. Überlegen Sie, was genau Sie schützen und welche Konsequenzen dies hätte, wenn ein Angreifer ein Kennwort herausfindet. Wenn das Passwort nur einen Zugang zu Ihrem Parkplatz bietet, ist es nicht so schädlich, ein ziemlich einfaches Passwort ist ausreichend. Abhängig von den Konsequenzen kann die Richtlinie schwerwiegender sein, in einigen Fällen reicht das Kennwort möglicherweise nicht aus und Sie benötigen möglicherweise Hardwarelösungen wie Smartcards oder USB-Kennwortmanager.

2. Verwenden Sie den Passwort-Manager. Benutzer müssen sich dann nur ein einziges Passwort merken. Für die Systemanmeldung (Windows, Linux, ...) können Sie auf diesem System natürlich keinen Kennwortmanager verwenden, aber Sie können den PW-Manager auf Ihrem Smartphone verwenden (von Ihrem Unternehmen bereitgestellt und konfiguriert und konform mit Ihre Sicherheitsrichtlinien).

. Verwenden Sie die 2-Faktor-Authentifizierung. Zum Beispiel Passwort plus SMS. Pro: Passwörter können einfacher sein. Contra: Benutzer können sich beschweren, weil sie gezwungen sind, dauerhaft Code von SMS in den Anmeldedialog einzugeben. Sie können es trotzdem einfach machen, wenn Sie die 1-Faktor-Authentifizierung in Ihrem Intranet oder in Ihrem verwenden Büro und 2-Faktor nur für den Fernzugriff oder wenn sich der Benutzer nicht von seinem PC aus anmeldet.

4. Automatisches Zurücksetzen von Passwörtern. Geben Sie Ihren Benutzern die Möglichkeit, ihre Passwörter automatisch zurückzusetzen, z. per E-Mail oder SMS.

9
mentallurg

Die wichtigsten Punkte wurden in anderen Beiträgen gemacht. Ich möchte nur hervorheben

  1. Benutzer ein gutes Passwort auswählen und behalten zu lassen, ist in den meisten Situationen das bessere Sicherheitsabkommen, als sie zu zwingen, ihr Passwort regelmäßig zu ändern.

  2. Eine einfache Berechnung zeigt, dass aufwendige Komplexitätsanforderungen gegen ein oder zwei weitere Zeichen eingetauscht werden können, d. H. Anstatt die "üblichen" Buchstaben/Ziffern/Sonderzeichen und die Mindestlänge 8 zu verlangen, müssen Sie nur 10 Zeichen anfordern.

  3. Anforderungen wie Sonderzeichen tatsächlich schwächen Passwörter, da so gut wie kein Benutzer ein zufälliges solches Zeichen an einer zufälligen Position auswählt - schauen Sie sich einfach die Rockyou-Passwortliste an und sehen Sie sich die Anzahl der Passwörter an, die auf "enden!" "" oder ".". Das ist also ziemlich vorhersehbar. Die Argumentation, dass Komplexität die Sicherheit verbessert (genauer: Entropie), basiert auf der Annahme, dass Benutzer Kennwörter wie 1D>u&b8H Oder 6mp{:2tL Anstelle von Kennwörtern wie g0tch4!! Oder #1Hottie.

  4. Wenn Sie Komplexität wünschen, machen Sie es richtig: Fragen Sie nach n von m nterschiedlich Zeichen (z. B. mindestens 8 von 12 oder mehr) und lehnen Sie Muster wie 123456 Oder ab qwerty usw. Dies ist nicht perfekt, aber es wird die schlimmste Art von Müll sofort aussortieren.

  5. Ermutigen Sie Ihre Benutzer noch besser, Passphrasen zu verwenden.

  6. Ich habe auch Passwortvorschläge gesehen, die auf Randall Munroes Idee basieren, vier (oder mehr) zufällige Wörter auszuwählen.

Wenn die Sicherheit wirklich ein solches Problem darstellt, sind Kennwörter möglicherweise nicht die richtige Wahl für die Authentifizierung. 2FA- oder Public-Key-basierte Authentifizierung könnte die (zugegebenermaßen teurere) adäquate Lösung sein. Wenn das Management jedoch darauf besteht, dass die Richtlinie so ist, wie sie ist, muss es einfach mit den Ergebnissen leben.

6
countermode

In meiner Firma haben wir hauptsächlich 2 Regeln, unternehmensweit:

  • Der Speicher befindet sich entweder "im Speicher" oder in einem bestimmten Passwort-Manager mit einem persönlichen Master-Passwort. (KeePass in diesem Fall)
  • Passwortkomplexität muss mindestens eine Mindestlänge haben und 3 von diesen erfüllen:
    • Zahlenzeichen
    • "Sonderzeichen"
    • Kleinbuchstabe
    • Großbuchstabe

Neue Mitarbeiter sind mit diesen Regeln vertraut und werden bei Bedarf geschult.

Der Schlüssel hier ist die Durchsetzung und Unterstützung des Passwort-Managers. In der Praxis führt dies zu zufälligen, langen und sicher gespeicherten Passwörtern.

Die einzige Ausnahme kann sein, wenn ein Kunde ausdrücklich eine andere Behandlung von Passwörtern für IHRE Systeme verlangt, die vom Projektmanager genehmigt werden muss.

4
nulldev

Ich habe ein paar Vorträge zu diesem Thema gehalten, daher habe ich viele Informationen im Kopf und hoffe, dass ich es auf ein paar wichtige Punkte bringen kann:

  1. Was sind Ihre tatsächlichen Bedrohungen? Die meisten Regeln für die Komplexität von Passwörtern sind uralt, fehlgeleitet und gehen von Brute-Forcing als Hauptbedrohung aus. Wenn Sie ein wenig über das Thema nachdenken, werden Sie mit ziemlicher Sicherheit zu dem Schluss kommen, dass dies nicht der Fall ist. In 90% der Einstellungen ist Ihre Software ist defekt, wenn Brute-Forcing überhaupt möglich ist.

  2. Benutzer interpretieren Ihre Kennwortrichtlinie immer so, wie es für sie am einfachsten ist. Dies hat die unbeabsichtigte Folge, dass ein Angreifer, der Ihre Kennwortrichtlinie kennt, tatsächlich einen dramatisch reduzierten Suchraum hat. Wenn Sie beispielsweise Zahlen benötigen, setzt die überwiegende Mehrheit der Benutzer diese am Ende, eine Minderheit am Anfang, und fast niemand mischt sie innerhalb des Wortes so, wie es Ihre trivialen Komplexitätsschätzungen angenommen haben.

  3. Lassen Sie die Regeln "Sonderzeichen und Zahlen sowie Groß- und Kleinschreibung" fallen. Sie sind völliger Unsinn. Diese Regeln machen tatsächlich eine Reihe von Angriffen einfacher.

  4. Erzwingen Sie lange Passwörter. 8 Zeichen absolutes Minimum, besser 12. Wenn das Passwort ausreichend lang ist, kann es einprägsam sein, es kann ein Wort oder eine Variation oder eine Verwechslung von Wörtern sein. In den meisten Sprachen ist es einfach, unsinnige Wörter zu erstellen. Zum Beispiel "nicht die meisten Worte" aus diesem letzten Satz. Diese sind relativ leicht zu merken und relativ schnell richtig zu tippen. (Das Mischen von Teilen von ungefähr 4 Wörtern ist meine Lieblingsvariante der berühmten xkcd-Antwort auf dieses Thema, die brillant ist, aber zu zu langen Passwörtern führt, die normale Benutzer nicht eingeben - denken Sie daran, dass die meisten Benutzer die Eingabe nicht berühren können )

  5. Überprüfen Sie die von Personen eingegebenen Passwörter anhand einer schwarzen Liste, um sicherzustellen, dass "Passwort" und alles, was in den Top 100 oder so aufgeführt ist, nicht akzeptabel ist. Fügen Sie einige Ihrer eigenen hinzu (z. B. Firmenname oder Firmenname + aktuelles Jahr)

  6. Kehren Sie zu Ihren Gedanken über Bedrohungen zurück und ergänzen Sie diese generisch Hinweise, die für Ihre Bedrohungen spezifisch sind. Wenn beispielsweise die begründete Gefahr besteht, dass Ihre Passwortdatenbank gestohlen wird, haben Sie das einzige Szenario, in dem Brute-Force tatsächlich eine Rolle spielt, und Sie müssen über den Suchraum nachdenken - nachdem Sie sichergestellt haben, dass Sie gute Hashes verwenden, gut Salz und vielleicht Pfeffer. Vielleicht ist es auch einfacher und effektiver, Ihre Datenbank sicherer zu machen, als zu versuchen, Menschen dazu zu zwingen, etwas zu tun, was Tausende von Menschen seit Jahrzehnten erfolglos versucht haben, sie zu zwingen? - Wenn Sie jedoch das Schulter-Surfen als ernsthafte Bedrohung identifizieren, möchten Sie auf jeden Fall nicht Komplexität bei Passwörtern, da 9 [~ K> '? + D * kg viel langsamer zu tippen sind als "nicht die meisten Wörter", während sie die gleiche Komplexität haben (in der Größenordnung von 10 ^ 22).

Wenn Sie Daten und Nachforschungen benötigen, um andere in Ihrem Unternehmen zu überzeugen, rufen Sie mich an.

2
Tom

Was Ihre Benutzer nervt, ist die strenge Richtlinie, die viele sichere Passwörter verhindert und schwache zulässt

Die Kennwortrichtlinie lautet: „Kennwörter müssen mindestens 8 Zeichen mit einer Mischung aus alphanumerischen Zeichen und Sonderzeichen und einem Ablaufdatum von 60 Tagen enthalten. Keine dreimal wiederholten Passwörter “.

"Passwort-1" hat einen Großbuchstaben, ist 10 Zeichen lang und hat ein Sonderzeichen, und Sie denken, es ist sicher. "Green Horse President Butter" ist nicht erlaubt, aber viel länger und schwerer zu erraten oder brutal zu erzwingen.

Der Ablauf des Passworts ist eine andere Sache, gegen die moderne Passwortrichtlinien empfehlen. Lassen Sie mich nach Ihren Regeln ein anderes Passwort wählen und ich wähle "Passwort-2".

Persönlich würde ich dies lösen, indem ich ein langes Passwort benötige. Wenn Sie mindestens 20 Zeichen benötigen, funktioniert "Password-123" nicht und Sie werden kreativ. Oder starten Sie einen Passwort-Manager. Einfache Brute-Force hat bei so langen Passwörtern keine Chance und Sie haben eine gute Chance, dass selbst ein nicht so gutes Passwort nicht einfach aus einer Wortliste zusammengestellt werden kann.

1
allo

Meine Masterarbeit befasste sich mit Informationssicherheit und wie Menschen das schwächste Glied sind. Ich spüre Ihren Schmerz hier, weil Benutzer, sobald Sie die Passwortregeln zu schwierig machen, ihr Passwort auf eine Notiz schreiben und es an ihren Computer anhängen.

Mein Unternehmen verfügt über mehrere zusätzliche Regeln, um die Komplexität aufrechtzuerhalten:

  1. 70% Ihrer Passphrase müssen unterschiedlich sein: Dies hält die Leute von password1, dann password2, dann password3
  2. Ihr Passwort darf keine Wörter aus dem Wörterbuch enthalten. Dies zwingt die Benutzer dazu, die Rechtschreibung und ähnliche Problemumgehungen zu verwenden
  3. Ihr Passwort kann keine übliche Passphrase sein: Auf diese Weise können Sie die Passphrasen Ihres Systems testen und verhindern, dass mehr als eine Person dasselbe Passwort verwendet.

Da Passwörter nur geringfügig besser sind als die Illusion von Sicherheit, ist es möglicherweise besser, eine andere Art der Authentifizierung hinzuzufügen.

Es gibt drei Arten der Authentifizierung:

  1. Etwas, das Sie wissen (wie ein Passcode oder eine Passphrase)
  2. Etwas, das Sie haben (wie ein Token oder eine Zugangskarte)
  3. Etwas, das Sie sind (wie Fingerabdrücke oder andere biometrische Daten)

Wenn Passwörter in Verbindung mit 2 und 3 verwendet werden, ist die Komplexität des Passcodes weniger wichtig und wird häufig auf eine PIN-Nummer reduziert.

Leider besteht die einzige Möglichkeit für das System, wirklich zufällige Kennwörter zu erzwingen, darin, dass das System sie für einen Benutzer generiert. Dann können Sie jedoch fast garantieren, dass sie notiert werden.

0
Jeff Elliott

Philosophisch gesehen gibt es zwei Hauptkräfte, an die sich die Menschen unterschiedlich halten. Die erste Kategorie ist Freiheit: Überzeugung über Zwang, Wahl über Verpflichtung, Moral über Durchsetzung. Die zweite Kategorie ist Macht, die das Gegenteil von Freiheit ist. Diese grundlegenden Unterschiede lassen sich in der Politik am besten in Fragen staatlicher Bewegungen (Sozialismus, Nationalismus) und freiheitsfreier Bewegungen (Libertarismus) erkennen.

Nun hat die Geschichte deutlich gezeigt, dass der Einsatz von Gewalt, Zwang und Kontrolle in jeder Hinsicht zu schlechteren Ergebnissen führte, wobei Kommunismus und Faschismus an der Spitze der Manifestation standen. Auf der anderen Seite hat der Kapitalismus (von dem wir derzeit ~ 50% haben) möglicherweise eine Ungleichheit des Wohlstands verursacht, aber auf positive Weise, was dazu führte, dass jeder reicher wurde (indem er den Lebensstandard erhöhte), und diejenigen, die den größten Wert bieten, um unglaublich reich zu werden. Das heißt: Auch die Armen (est) profitieren davon. Wenn Sie dagegen die Gleichstellung des gesamten Wohlstands erzwingen, werden alle arm und viele Menschen können verhungern (aber natürlich nicht diejenigen, die das verursacht haben).

Um auf dieses Thema zurückzukommen: Wenn Sie ein positives Ziel haben (besserer Passwortschutz), versuchen Sie, sich gewaltsam mit der Freiheit der Menschen zu messen (indem Sie bestimmte Passwortregeln erzwingen), können Sie einen Rückgang Ihrer Ziele beobachten - bis zu dem Punkt das Gegenteil zu erreichen.

Ich denke, ein praktikabler Weg wäre, einen besseren Passwortschutz zu befürworten und sie vor der Fragilität ihrer Passwörter zu warnen. Zeigen Sie ihnen vielleicht eine geschätzte Dauer, die benötigt wird, um es zu knacken. Sagen Sie ihnen, sie sollen mehrere Wörter verwenden (was die beste Methode zu sein scheint). Aber wenn sie ein Passwort wollen, das in 2 Sekunden geknackt werden kann, ist es ihre Wahl.

Das Bereitstellen von Informationen (und Warnungen) ist meiner Meinung nach besser als das einfache Erzwingen von Kennwortregeln. Denn genau das wird passieren, wie Sie beschrieben haben. Die Leute werden sich ärgern und versuchen, den einfachsten Weg zu finden, um das Problem zu lösen. Das Erzwingen von 9 Buchstaben führt zu vielen 9-Buchstaben-Passwörtern. Wenn Sie ihnen jedoch mitteilen, dass ein bestimmtes Passwort in 2 Sekunden geknackt werden kann, werden sie möglicherweise dazu motiviert, etwas Besseres als das Minimum zu verwenden, zu dem Sie sie sonst zwingen würden, insbesondere wenn es sich um etwas von hoher Bedeutung handelt .

Außerdem machen viele Sonderregeln (die oft nicht einmal viel Sinn machen, wie Großbuchstaben 1+ und Sonderzeichen 1+) das Erinnern an Passwörter viel schwieriger, wenn sie diese noch nicht hatten. Es geht also nicht nur um die "Dummheit" der Benutzer, sondern auch um den Versuch der Kontrolle durch "Gewalt".

0
Battle