Учетная запись на веб-сайте — это как дом. Пароль — это ключ, а залогинивание, это как вхождение в парадную дверь. Когда пользователь не может вспомнить свой пароль, это как будто он теряет ключ. А взлом учетной записи можно сравнить с ограблением дома.

Почти половина Американцев (47%) в прошлом году столкнулась со взломом учетных записей. Достаточные ли меры принимают разработчики и веб-дизайнеры что бы предотвратить такие ситуации? Или может быть нам стоит переосмыслить пароли?

 

Нарушение безопасности

На большинстве веб сайтов, для того, чтобы иметь доступ к всем функциям, нужно зарегистрироваться. Пользователи на протяжении жизни создают множество паролей, но вот их запоминание — непростая задача. Можно использовать один и тот же пароль для всех аккаунтов, но это подвергает их большей опасности, если взломают один из них. Можно использовать легко запоминающийся пароль, но такие пароли легко ломать простым перебором.

Нарушение безопасности

Они могут записать все свои пароли, на случай, если они их забудут, но если кто-то найдет эту бумажку или файл, то все их аккаунты окажутся под угрозой. Также неудобно постоянно доставать файл, и выискивать там нужный пароль каждый раз, когда вы куда-то хотите залогиниться.

Неважно, что они делают, но, когда пользователи создают удобный пароль — они ставят под угрозу его безопасность.

 

Угроза юзабилити

Чтобы сохранить надежность пароля, пользователи должны создавать пароли, которые удовлетворяют требованиям «надежных» паролей

Такие пароли включают в себя:

  • Числа
  • Маленькие буквы
  • Большие буквы
  • Знаки пунктуации
  • И определенное количество символов

 

Они не должны включать:

  • Словарные слова
  • Обычные пароли
  • Или слова, находящиеся в вашем имени, логине или названии вашей компании

Угроза юзабилити

Придумывание пароля, который бы удовлетворял всем этим требованиям занимает много времени. Вы рискуете потерять потенциального подписчика, если это займет слишком много времени.

Когда же, наконец, пользователь придумывает пароль — он зачастую настолько нечитабельный, что его почти невозможно запомнить. Это увеличивает шанс того, что пользователь его забудет, и не сможет войти на сайт. Также довольно разочаровывает то, когда пользователь блокируется после нескольких неудачных попыток входа.

Ввод пароля также непростая задача, но проще, чем их запоминание. Пользователи склонны допускать ошибки, когда им приходится зажимать Shift, чтобы напечатать большую букву. Безопасный, но неюзабельный пароль, не принесет пользователям никакой пользы.

 

Могут ли менеджеры паролей решить эту проблему?

Некоторые пользователи предпочитают использовать менеджеры паролей, чтобы сохранять баланс безопасности и юзабилити. Менеджеры паролей — это программы, которые хранят ваши пароли в базе данных, защищенной мастер-паролем. Вместо того, чтобы запоминать пароли к каждому аккаунту, вам нужно запомнить только один пароль.

 

Решение для пользователей, а не для сайтов

Если вы забыли мастер-пароль, то вам не повезло. Большинство менеджеров паролей не предоставляют процесс восстановления пароля, как это делают сайты. Если вы забываете пароль от конкретного сайта, то вы всегда можете его восстановить. Это дает веб-сайту контроль над безопасностью пользователя.

Менеджеры паролей стоят денег. Разработчики не могут ожидать, что все их пользователи купят менеджер паролей, прежде, чем станут использовать их сайт. Это было бы не практично, и заставило бы пользователей от вас отказаться. Веб-сайты не должны взваливать ответственность за безопасность своих пользователей на третьих лиц, а должны предоставлять решение, которое бы сбалансировало безопасность и юзабилити.

 

Многие не доверяют или не понимают менеджеры паролей

Кто-то доверяет менеджерам паролей, а кто-то нет. Исследование показало, что многие чувствуют себя некомфортно, используя такое программное обеспечение, и они ему не доверяют, потому, что не понимают.

Пользователям некомфортно передавать контроль компьютерной программе. Даже когда они понимают, что безопасность паролей — это проблема, они считают, что сами лучше с ней справятся. Дизайнеры и разработчики не могут полагаться на менеджеры паролей, как на решение. Их ответственность предоставить пользователям простой и удобный доступ к своим учетным записям.

 

Парольные фразы: перемена к лучшему

Баланс безопасности и юзабилити важен, и пароли с этой балансировкой не справляются. Веб-сайты должны измениться к лучшему, и начать использовать парольные фразы, вместо паролей.

Пароли и парольные фразы служат одной цели. Но пароли обычно короткие, сложно запоминающиеся и легко взламываемые. Парольные фразы легко запоминать и вводить, а также, из-за своей длинны они считаются более безопасными, и их не нужно записывать.

 

Почему парольные фразы более безопасны

Длинна предотвращает подбор пароля, при помощи перебора

Большинство паролей требует ввода минимум 8 символов. А большинство парольных фраз требуют минимум 16 символов. Такая длинна предоставляет лучшую безопасность, потому, что взлом такого длинного пароля займет намного больше времени.

Увеличение длинны пароля, увеличивает количество возможных его вариантов. Чем длиннее пароль, больше времени у программы подбора займет его определение. Давайте это протестируем, сравнением сложного пароля, и простой парольной фразы, используя продвинутый проверщик паролей.

Почему парольные фразы более безопасны

Сложный пароль не будет словарным словом, будет содержать цифры, большие буквы и символы. Простоя парольная фраза будет содержать словарные слова, и будет состоять только из маленьких букв. Используя сравнение, мы видим, что простую парольную фразу невозможно взломать перебором. А сильный, сложный пароль будет взломан через менее, чем через 2 года. Это показывает, что именно длинна пароля защищает пользователей от взломов, методом перебора, а не его сложность.

 

Много слов предотвращает словарную атаку

Перебор паролей — это не единственный метод взлома. Хакеры также используют словарную атаку. Но и здесь парольные фразы защитят пользователей лучше.

Использование словарных слов в паролях — это обычная тенденция. И это не рекомендуется, потому, что такие пароли просто взламывать. Но если бы пользователи использовали словарные слова только в парольных фразах, то они бы оставались защищенными так же и от словарных атак.

Много слов предотвращает словарную атаку

 

Большинство словарных паролей содержат одно, или два слова. Словарная атака имеет большие шансы на успех из-за ограниченного количества слов в словаре. Даже необычное словарное слово не сможет ее остановить. Словарная парольная фраза будет содержать как минимум 5 слов. Таким образом почти бесконечное количество возможных комбинаций сводит шансы словарной атаки к нулю.

 

Множественные словесные цепочки усложняют взлом

Пароли, которые легко разгадать обычно состоят из одного слова, касающегося личной информации: имя пользователя, дата рождения, любимый цвет, еда или место, и т.д. Все эти словесные цепочки удовлетворяют требованиям надежности и длинны пароля.

Требования к длинным словам в парольных фразах предотвращает использование личной информации. Одной словесной цепочки недостаточно, чтобы удовлетворить требованиям. Это заставляет пользователя добавлять больше словесных цепочек, что делает такую парольную фразу трудно разгадываемой.

 

Почему парольные фразы более юзабельны

Парольные фразы проще запомнить, чем набор из разных символов

Проще вспомнить парольную фразу, чем набор из разных символов. Фразы имеют смысл, и с чем-то связаны. Поэтому пользователям проще вспомнить парольную фразу, чем пароль.

Когда пользователь заполняет форму, ему нужно удовлетворить ее политике. Многие формы не позволяют пользователям использовать словарные слова. Чтобы защитить их от взлома. В итоге у пользователей не остается другого выбора, как добавлять случайные символы.

Но проблема в том, что случайное, не словарное слово запомнить сложнее всего. Многие предпочтут использовать слово, добавив в него несколько случайных символов. Но даже такой пароль сложно запомнить, потому, что эти символы можно разместить в разных местах.

Почему парольные фразы более юзабельны

Добавлять сложность в парольные фразы проще, потому, что случайные символы можно размещать между слов. Это позволяет их легче запоминать.

Парольные фразы не нуждаются в использовании высокого уровня случайных символов. Всего немного сложности справится со всеми проблемами из-за той безопасности, которую предоставляют парольные фразы. Некоторые используют первые буквы каждого слова в качестве пароля. Это хорошо запоминается, но не так надежно, как парольные фразы.

Это хорошо запоминается, но не так надежно, как парольные фразы.

 

Например, фразу «I lived in Germany for two years», можно превратить в «iliGf2yrs». Даже с тем учетом, что во втором варианте мы использовали цифру, большую букву и случайный набор символов, она все равно уязвима для перебора.

То же предложение, написанное, как парольная фраза, «ilivedinGermanyfor2yrs», будет невозможно взломать. Разница в количестве символов очень сильно влияет на безопасность.

 

Слова разрешены

Придумывание пароля, который бы не включал в себя словарные слова — это самое сложное для пользователя условие. Данные исследований показывают, что «создание пароля значительно усложняется, при использовании политик, ограничивающих его варианты, особенно таких, которые включают в себя словарную проверку.»

Слова разрешены

Довольно сложно придумать и запомнить случайное, не словарное слово. Парольные фразы не нуждаются в строгих словарных проверках. Слова можно использовать до тех пор, пока вы не превысите лимит символов.

Компромисс с юзабилити, в ущерб безопасности слишком распространен, чтобы его игнорировать. Политика парольных фраз балансирует и то, и другое минимизируя случаи прекращения заполнения форм.

 

Что должны делать сайты

Замените «слово», «фразой»

Первым делом нужно убрать из пароля «слово». Термин «пароль», говорит пользователям что сайт хочет, чтобы они использовали слово. Но слово небезопасно.

Измените понимание пользователя, используя слово «фраза». Это скажет им, что вы ожидаете от них фразу, а не слово. Если вы четко дадите это понять, то пользователь будет знать, что фраза, безопаснее, чем слово.

 

Пересмотрите политику

Следующий шаг — политику пароля на политику парольной фразы. Это включает в себя повышение минимально допустимого количества символов до 16. Также нужно требовать ввода одной большой буквы или цифры. Можете предложить добавить больше одной большой буквы или цифры для усиления безопасности, но это не обязательно.

 

Четко обозначьте политику

Множество пользователей привыкли к политике паролей. Объясните им, что политика парольных фраз отличается при регистрации. Создайте всплывающую подсказку над полем ввода.

Всплывающая подсказка

Не заставляйте пользователя отсчитывать 16 символов, при создании парольной фразы. Сделайте это за них, создав подсказку. Когда фраза удовлетворит требованиям политики — должна появиться зеленая галочка.

 

Заключение

В настоящее время состояние паролей вызывает только головную боль. Парольные фразы — лучшая альтернатива потому, что они более безопасны и удобны. Только несколько сайтов используют парольные фразы. За ними нужно следовать, чтобы избежать взломов аккаунтов. Пользователи не должны чувствовать, будто бы они потеряли ключи от дома, или будто в их дом кто-то проник.

Решение проблемы с паролями

Хорошая новость заключается в том, что они не требуют технических изменений. Это просто представление новой концепции, с повышением минимально допустимого количества символов. Самая сложная проблема — это понять и принять, что решение мировой проблемы с паролями настолько простое.