web-dev-qa-db-fra.com

Comment guider les mineurs pour créer des mots de passe forts

Je conçois une application web pour les 10-13 ans qui sera utilisée dans les écoles. Lorsque les enfants créeront leur compte, il leur sera demandé de créer un mot de passe.

J'ai du mal à trouver un moyen de guider les enfants dans la création d'un bon mot de passe. Autrement dit, je veux un processus interactif étape par étape qui rend plus probable qu'ils choisiront quelque chose de bien. Par "bon", je veux dire qu'il est fort contre la devinette des mots de passe (plusieurs mots de passe possibles) ET qu'il est mémorable. Nous supposons un mot de passe fort s'il est conforme à certaines règles.

J'ai pensé à ce qui suit, mais je pense qu'ils vont simplement l'ignorer:

Print "Grab a book you like" 
Print "choose random chapter"
Print "Take the first four words and replace all I's with 1, all e's with 3 and all s with $ and type in what you get"
User types it in 
Print "Remember what you typed in, you will be asked for it in the future"

L'avis de remplacement sera généré de manière aléatoire et ne sera pas stocké.

Peut-être pourrions-nous gamifier la création de mot de passe? Mais comment?

Remarque: Le compte lui-même n'est pas très important et le nombre de mots de passe, qu'un attaquant peut entrer est limité à 3/seconde. Cependant, deux enseignants, que nous avons consultés, pensent qu'un tel processus est une opportunité d'apprentissage précieuse, car des mots de passe textuels seront disponibles dans un avenir prévisible.

Nous sommes coincés avec des mots de passe de texte à cause d'un système hérité (réseau Windows) avec lequel nous devons être compatibles.

9
icehawk

Au lieu d'un mot de passe, que diriez-vous d'une phrase secrète? Un peu comme avoir besoin de connaître la phrase secrète pour entrer dans le club house.

Les phrases secrètes ont tendance à être moins piratables par la nature de sa longueur.

http://xkcd.com/936/

http://xkcd.com/936/

10
nightning

Je pense que vous devriez d'abord afficher un champ de mot de passe habituel.

Les utilisateurs qui proposent un mot de passe suffisamment sécurisé (selon vos règles) ne devraient pas être gênés par une lecture supplémentaire ou même un assistant de choix de mot de passe.

Vous pouvez afficher un vérificateur de force de mot de passe. Les utilisateurs qui ont initialement décidé d'utiliser un mot de passe qui n'est pas suffisamment sécurisé peuvent reconsidérer lorsqu'ils voient le dynamomètre et le changent.

Après ils ont fini ¹ d'entrer le mot de passe, vous pouvez fournir de l'aide aux utilisateurs qui ont entré un mot de passe qui ne correspond pas à vos besoins.

Avertissements concernant les stratégies de recherche de mots de passe/mots de passe:

  • L'exemple de conseil de votre question n'est pas suffisamment sécurisé. Les mots qui apparaissent dans la même phrase en langage naturel (ou même sur la même page) ne sont probablement pas "assez aléatoires". La stratégie de remplacement de personnage n'aide pas beaucoup car elle est très courante (et dès que vous la suggérez, elle devrait de toute façon être considérée comme publique).

  • Si vous décidez de fournir des conseils pour choisir un mot de passe similaire à ce que http://xkcd.com/936/ suggère, gardez à l'esprit que les mots courants doivent être au hasard choisi! Ce n'est pas assez sûr de demander aux humains de penser à 4 mots sans rapport, parce que les humains sont très mauvais dans ce domaine (faisant toujours certains sorte de connexion).

En général, suggérer des stratégies spécifiques comme "trouver un livre…", "naviguer sur votre site Web préféré…" ou "choisir le caractère 13. sur chacune des 8 premières pages de votre journal…" ne devraient être que des exemples, et vous devriez communiquez clairement que vos utilisateurs ne doivent pas suivre exactement ceux-ci (même si vous en avez plusieurs et n'en affichez qu'un au hasard).

Je pense qu'il serait préférable d'expliquer pourquoi il est important d'utiliser un mot de passe sécurisé (les menaces, comme ce qui pourrait arriver à votre compte, d'autres postent dans votre nom, etc.) et comment les attaquants (autres utilisateurs, ordinateurs qui appliquent la force brute) peuvent essayer de le casser.

Dans le cas d'une bonne explication (et d'un utilisateur qui l'a réellement lu…), il devrait être clair ce que pas à utiliser: un mot de passe qui a du sens (quelque chose sur leur propre vie ce que les autres pourraient peut-être savoir; un mot réel, même s'il est modifié; une séquence de mots qui pourraient éventuellement apparaître dans un livre, ou qui ont un sens pour lui; etc.).

Cette explication à elle seule peut suffire, alors permettez aux utilisateurs de faire un deuxième essai. Et fournissez un générateur de mot de passe à ce stade. Par exemple, générez aléatoirement leur propre correct horse battery staple (votre application est bonne dans ce domaine, étant donné une liste de mots suffisamment grande) et proposez de l'utiliser comme mot de passe. (Si vous voulez augmenter la probabilité qu'ils s'en souviennent, vous pouvez montrer une image correspondante pour chaque mot.)


¹ Soit après que le champ du mot de passe perd le focus (affichage/liaison de l'aide), soit après l'envoi du formulaire (affichage de l'assistant).

2
unor

Je me pencherais sur l'exemple xkcd.com "batterie de cheval correcte". Vous introduirez le concept d'entropie; de temps de calcul et les enfants s'amuseront à relier les mots entre eux:

"chocolate booger factory"; 
"mets rule yankees drool";
"teachers leave those kids alone"; 

et tout ce à quoi les jeunes du collège peuvent penser.

1
Mayo

Je ne peux penser qu'à une seule façon: générer un mot de passe pour eux et les faire noter quelque part. Juste cette option par défaut.

Doit paraître humain, donc une phrase ou une combinaison d'images est essentielle ...

0
Alex Debkaliuk