security - 覚えやすいパスワードを安全に提案する方法は?

Question

パスワードを登録または変更するユーザーに、自動生成されたパスワードを提案したい。これにアプローチする方法は？

まず第一に、生成されたパスワードを提供する理由は、ユーザーが弱いパスワードを使用しないようにするためです (例: monkey)。パスワードに特定の制限を適用することもできます (そして、今後も行う予定です)。パスワードには、小文字と大文字の両方、数字、および句読点を含める必要があり、十分な長さでなければなりません。この種のルールを適用しても、元の脆弱なパスワードに必要な文字を単に追加するなど、不適切なパターンにつながります (例: Monkey3!)。他の一般的なパターンも存在します (例: m0nk3y)。

完全にランダムなパスワード (I1ZkFdt5OOX35Rpまたは などB13v}lo90m%~zrY) は覚えにくいものです。それらは通常、一枚の紙に書かれます。選択肢が与えられた場合、ユーザーは、このような怪物に直面したときに自分の弱いパスワードに戻るでしょう.

ただし、単純なパスワードは、十分な長さであれば強力です (はい、関連する xkcd )。次のようなパスワードを生成して、強力でありながら覚えやすいようにしたいと思います。

MooseCoolSuggestionDude
RegisterAmericaFoolDinner

この単語のリストがどこかに保存されていると仮定すると、そのストレージが危険にさらされる可能性があります。リストを入手した人は誰でも、パスワードとして使用するためにユーザーに提供するすべての可能な組み合わせを生成できます。したがって、これは潜在的なセキュリティ リスクです。

追加のランダム化について考えました。生成されたパスワードに乱数と句読点を追加するとどうなりますか。

Moose5CoolSuggestion-Dude
Register.America31FoolDinner

これは、覚えやすい自動生成パスワードを提供する安全な方法として機能しますか? 他のアイデアはありますか？

Answer 1

私の意見では、パスワード生成専用のサイトを作成しない限り、これは行き止まりです。要するに、これは開発の問題というよりは人の問題です。

セキュリティの観点から、これは好きではありません。なぜなら、あなたは私のパスワードの平文バージョンを持っているからです。あなたがそれをハッシュするかどうかは気にしません。私が選択した場合、平文バージョンがあり、ハッシュしないことを選択できることを知っているだけです. これは本当に常に問題であることは知っていますが、それについてさらに不安を感じるでしょう. あなたが私のために選んだこのパスワードがどれほど「ランダム」なのか、私にはわかりません。たぶん、誰もが同じリストを取得しますか？使用しているサイトでパスワードを生成したいのは、アカウントからロックアウトされた場合に一時的なパスワードを使用する場合だけです。

さらに、このパスワードを私と共有するには、私の画面にテキストを表示する必要があります。これは、ユーザー エクスペリエンスの観点から良いことである場合とそうでない場合があります。これを行うことにした場合は、自分のパスワードを公開したくない場合があることに注意してください。また、一部のユーザーは無意識のうちに自分のパスワードを傍観者に公開する可能性があります。デフォルトで非表示にします。

これらのいくつかを含むソリューションを選択します。

• ユーザーにパスワードの非常識な要件を与えないでください。優れたパスワードにはなりませんし、ユーザーの観点からはイライラします。

• 適切なパスワードの例をいくつか示します (例のパスワードを使用させないでください)。

• 多要素認証を設定する

• パスワードの強度を何らかの方法で示します (以下の最初の UX リンクを参照)。

関連リンク

• https://security.stackexchange.com/questions/12287/how-can-i-promote-good-password-practices-in-an-organization-that-doesnt-curren

• https://ux.stackexchange.com/questions/16433/what-is-the-best-way-to-inspire-users-to-choose-strong-password

• https://ux.stackexchange.com/questions/35304/telling-users-passwords-dont-match-and-arent-strong-enough

Answer 2

@Gray の優れた回答に加えて、私は Web サイトのパスワードは覚えにくいものであるべきだと固く信じています。 -cant.html

Answer 3

私は、あなたが探している機能を備えたhttps://passwordcreator.org/の作成者です。このサイトは、複数の単語を含む XKCD スタイルのパスワードに加えて、「偽の単語」と従来のランダムな数字と文字の文字列も生成します。

をウェブサイトに埋め込んiframeで、アカウント作成ページでユーザーにパスワードの提案を与えることができます。スクリーンショットは次のとおりです。

そのためのコードは次のとおりです。

<h3>Suggested Passwords:</h3>
<iframe src="//passwordcreator.org/suggest.html#securitylevel=good"
style="width:355px;height:193px;"></iframe>

はiframe100x100 ピクセルまで小さくサイズ変更できます。幅が狭い場合は、乱数と文字で構成される短いパスワードのみが生成されます。背が高いほど、より多くのパスワードが表示されます。パスワードの強度レベルは、「悪い」、「標準以下」、「良い」、「素晴らしい」、「驚くべき」の 5 段階です。

パスワードは、最新のブラウザーの安全な乱数ジェネレーター機能を使用して JavaScript によって生成されます。パスワードは、ネットワーク上を移動したり、パスワードを生成したユーザーのクライアント コンピューター以外のコンピューターに表示されたりすることはありません。このサイトは、セキュリティを強化するために HTTPS をサポートしています。

Answer 4

これは単なるアイデアであり、その上に (PHP で) 構築できます。

<?php

function newRandPass() {
    $wordList = array('Moose','Cool','Suggestion',
                      'Dude','Register','America',
                      'Fool','Dinner','Hello');
    $passWords = array();
    for ($i = 0; $i < 3; $i++) {
        $passWords[] = $wordList[mt_rand(0, sizeof($wordList))];
    }
    return implode(mt_rand(1,999), $passWords);
}

echo newRandPass();

?>

出力:

Dinner455Hello455Moose
Suggestion495Register495Hello
Fool590Dude590Cool
Dude956Register956Hello