Усталость паролей - Password fatigue
Усталость паролей это чувство, которое испытывают многие люди, которым требуется запомнить чрезмерное количество пароли как часть их повседневной жизни, например, вход в систему к компьютеру на работе, отмените велосипедный замок или проводить банковские операции из банкомат (Банкомат). Эта концепция также известна как хаос паролей или в более широком смысле как хаос идентичности.[1]
Причины
Растущее значение информационные технологии и Интернет в сфере занятости, финансы, отдых и другие аспекты жизни людей, и последующее введение безопасная транзакция технологии, привела к тому, что люди накапливают множество учетных записей и паролей.
Согласно опросу, проведенному в 2002 году британским консультантом по онлайн-безопасности NTA Monitor, типичный интенсивный пользователь компьютера имеет 21 учетную запись, для которой требуется пароль.[2]
Вот некоторые факторы, вызывающие утомление пароля:
- неожиданные требования, чтобы пользователь создал новый пароль
- неожиданные требования, чтобы пользователь создал новый пароль, который использует определенный набор букв, цифр и специальных символов
- требовать, чтобы пользователь дважды вводил новый пароль
- частые и неожиданные запросы пользователя на повторный ввод пароля в течение дня при переходе в разные части интрасети
- слепой набор как при ответе на запрос пароля, так и при установке нового пароля.
Связанные вопросы
Помимо вклада в стресс, усталость паролей может побудить людей усвоить привычки, снижающие безопасность их защищенной информации. Например, владелец учетной записи может использовать один и тот же пароль для нескольких разных учетных записей, сознательно выбирая простые для запоминания пароли, которые слишком уязвимы для треск, или полагайтесь на письменные записи своих паролей.
Многие сайты, пытаясь помешать пользователям выбирать пароли, которые легко угадать, добавляют ограничения на длину или состав пароля, что способствует утомлению пароля. Во многих случаях ограничения, накладываемые на пароли, на самом деле служат для снижения безопасности учетной записи (либо путем предотвращения использования надежных паролей, либо из-за того, что пароль становится настолько сложным, что пользователь в конечном итоге хранит его небезопасно, например, в заметке). Некоторые сайты также блокируют не-ASCII или не буквенно-цифровые символы.
Усталость паролей обычно влияет на пользователей, но это также может повлиять на технические отделы, которые управляют учетными записями пользователей, поскольку они постоянно повторно инициализируют пароли; эта ситуация приводит к снижению морального духа в обоих случаях. Во многих случаях пользователи вводят свои пароли в открытый текст в текстовые файлы чтобы не запоминать их или даже не записывать на стикерах, которые потом втыкают в ящик стола.
Решения
Некоторые компании хорошо организованы в этом отношении и внедрили альтернативные методы аутентификации.[3] или внедрили технологии, позволяющие вводить учетные данные пользователя автоматически. Однако другие могут не сосредотачиваться на простота использования, или даже ухудшить ситуацию, постоянно внедряя новые приложения с собственной системой аутентификации.
- Единая точка входа программного обеспечения (SSO) может помочь смягчить эту проблему, требуя от пользователей запоминания только одного пароля к приложению, которое, в свою очередь, автоматически предоставит доступ к нескольким другим учетным записям, с или без необходимости агент программное обеспечение на компьютере пользователя. Потенциальным недостатком является то, что потеря одного пароля предотвратит доступ ко всем службам, использующим систему единого входа, и, более того, кража или неправильное использование такого пароля представляет преступнику или злоумышленнику множество целей.
- Интегрированное программное обеспечение для управления паролями - Много операционные системы предоставить механизм для хранения и получения паролей, используя пароль для входа пользователя, чтобы разблокировать зашифрованный база паролей. Майкрософт Виндоус предоставляет диспетчер учетных данных для хранения имен пользователей и паролей, используемых для входа на веб-сайты или другие компьютеры в сети, Mac OS X имеет Брелок функция, которая обеспечивает эту функциональность, и аналогичная функциональность присутствует в ГНОМ и KDE рабочие столы с открытым исходным кодом. Кроме того, веб-браузер разработчики добавили аналогичные функции во все основные браузеры. Хотя, если система пользователя повреждена, украдена или взломана, он также может потерять доступ к сайтам, где они полагаются на хранилище паролей или функции восстановления, чтобы запомнить свои данные для входа.
- ПО для управления паролями Такие как KeePass, Сейф с паролем и NordPass может помочь смягчить проблему усталости паролей, сохраняя пароли в базе данных, зашифрованной с помощью одного пароля. Однако это создает проблемы, аналогичные проблеме единого входа, поскольку потеря единого пароля предотвращает доступ ко всем другим паролям, в то время как кто-то другой, получивший его, будет иметь к ним доступ.
- Восстановление пароля - Большинство защищенных паролем веб-сервисов предоставляют восстановление пароля функция, которая позволит пользователям восстанавливать свои пароли через Адрес электронной почты (или другая информация), привязанная к этой учетной записи. Однако сама эта система стала целью социальная инженерия нападения преступников. Эти преступники получают достаточно информации о цели, чтобы выдать себя за нее и запросить электронное письмо для сброса, которое затем перенаправляется другими способами на учетную запись, находящуюся под контролем злоумышленника, что позволяет злоумышленнику захватить учетную запись.
Смотрите также
- BugMeNot
- Усталость от решений
- Управление идентификацией
- Менеджер паролей
- Надежность Пароля
- Контрольный вопрос
- Удобство использования систем веб-аутентификации
Примечания
- ^ "Хаос паролей" в TheFreeDictionary
- ^ Хейдей, Грэм. Кошмар безопасности: как вы поддерживаете 21 другой пароль? В архиве 2009-12-06 в Wayback Machine, Silicon.com, 11 декабря 2002 г.
- ^ Такие как цифровые сертификаты, OTP токены, аутентификация по отпечатку пальца или подсказки пароля.
внешняя ссылка
- Ногучи, Юки. В доступе отказано, Вашингтон Пост, 23 сентября 2006 г.
- Катон, Джош. Плохая форма: 61% используют один и тот же пароль для всего, 17 января 2008 г.
- identitychaos.com, Блог MIIS и ILM