如何帮助用户根据妥协的风险管理密码组合?
文件密码组合和有限努力用户:可持续管理大量帐户概述了一个用于对密码管理风险和成本进行建模的框架,以及为用户提供一种很好的策略来帮助他们管理他们经常拥有的大量帐户的密码(注意pdf全文已经可用)。它包括在内,例如在
- Snoopy2数学证明就像密码\ Ars一样好
- 微软研究人员:在可能被黑客入侵的网站上重复使用相同的密码
基本上,由于用户不可能记住数十个或数百个不同账户的良好、独特的密码,而且由于一些账户如果被泄露,对用户的风险较低(例如登录到报纸网站阅读故事的密码),他们解释说,“密码重复使用可能是应对策略的一部分”。他们认为,人们可以将高价值+低妥协概率的账户组合在一起,而低价值+高妥协概率的账户可以组合在一起,并在每个组中重用相同的密码。他们的分析涵盖了密码管理器,它在一定程度上也转移了一些风险。关于这个主题,请参见如何评估密码管理器?。我要补充的是,混合策略也是有意义的,例如,对某些帐户组使用密码管理器。
他们指出,需要理解和解释用户在记住密码时如何与密码被泄露的可能性进行权衡。这个网站收集了一些与此相关的智慧:你有什么方法来创建真正可以被记住的好密码呢?
他们还指出,今后的研究需要了解、建模和解释各类账户的折中所造成的损失。因此,我对风险管理专家和那些善于用与用户联系的方式解释问题的人来说,我们如何才能最好地帮助用户了解他们所面临的各种风险,如果不同类型的账户被破坏的话?例如,在线比特币钱包密码的折中可能意味着储存在那里的所有比特币都无法收回损失。但是,在报纸网站上阅读文章的密码泄露可能对用户影响很小或根本没有意义,事实上,一些用户试图与他们的朋友分享这类网站的账户和密码。其他类型的账户有传统银行(有追回被盗资金的希望)、社交媒体、电子邮件、与工作有关的密码、网络服务、无线上网、加密密钥等。有时,用户可能不太清楚损失(例如身份盗窃、声誉损失等)。
回答 1
Security用户
发布于 2014-07-17 16:09:52
事实上,这是一个开放的研究问题。
对于用户来说,处理安全建议有点困难;就像选择强大的密码需要时间一样,对密码重用进行合理化也是如此。你可能知道合规预算和答案不是更多,因为你引用了赫利。
因此,在一般情况下,一个有意识的安全意识项目不太可能有成效,因为它会为用户(如果他们决定关注它)花费更多的精力、时间和认知负担,这是已经多余的了。很难在实验上验证密码策略识别方案是否有效果。您需要证明,时间和精力的投资是由用户在他们的实际环境中自愿进行的(我们这个领域的人很少承认这一点,因为这会使他们的发布速度变慢: ),并且与之相关的成本远远低于它为最终用户简化密码处理所带来的好处。为了有一个可行的最终用户策略,您需要对不同的系统和参与者进行统计分析。
您可以对特定人群进行培训,培训时间可以确认为他们主要职业的一部分。例如,系统管理员和管理人员是高风险人群,他们的雇主为他们明确分配安全培训和安全管理时间是明智的。
对于一般的最终用户来说,最好是在选择密码时列出要保护的资产的价值,而不是坚持使用强而唯一的密码。例如,电子邮件、在线支付和银行账户必须保留唯一的密码。其他站点应该允许更灵活的选项,如联邦ID、一次性密码(基于电子邮件/电话)和弱密码。既然你引用了这个话题的一些世界专家的最新研究,你可能已经知道没有比这更好的了。
https://security.stackexchange.com/questions/63344
复制相似问题
腾讯云开发者
