Усталость от паролей - это чувство, которое испытывают многие люди, которым требуется запоминать чрезмерное количество паролей в рамках своей повседневной жизни, например, для входа в компьютер на работе, снятия блокировки велосипеда или выполнения банковских операций с помощью банкомата (банкомата). ). Эта концепция также известна как хаос паролей или, в более широком смысле, хаос идентичности . [1]
Причины
Растущее значение информационных технологий и Интернета в сфере занятости, финансов , отдыха и других аспектов жизни людей, а также последующее внедрение технологии безопасных транзакций привело к тому, что люди накапливают множество учетных записей и паролей.
Согласно опросу, проведенному в феврале 2020 года менеджером паролей Nordpass, у обычного пользователя 100 паролей. [2]
Вот некоторые факторы, вызывающие утомление пароля:
- неожиданные требования, чтобы пользователь создал новый пароль
- неожиданные требования, чтобы пользователь создал новый пароль, который использует определенный набор букв, цифр и специальных символов
- требовать, чтобы пользователь дважды вводил новый пароль
- частые и неожиданные запросы пользователя на повторный ввод пароля в течение дня при переходе в разные части интрасети
- слепой набор как при ответе на запрос пароля, так и при установке нового пароля.
Связанные вопросы
Помимо стресса , усталость паролей может побудить людей усвоить привычки, снижающие безопасность их защищенной информации. Например, владелец учетной записи может использовать один и тот же пароль для нескольких разных учетных записей, сознательно выбирать простые для запоминания пароли, которые слишком уязвимы для взлома , или полагаться на письменные записи своих паролей.
Многие сайты, пытаясь помешать пользователям выбирать пароли, которые легко угадать, добавляют ограничения на длину или состав пароля, что способствует утомлению пароля. Во многих случаях ограничения, накладываемые на пароли, на самом деле служат для снижения безопасности учетной записи (либо путем предотвращения использования надежных паролей, либо из-за того, что пароль становится настолько сложным, что пользователь в конечном итоге хранит его небезопасно, например, в заметке). Некоторые сайты также блокируют символы, отличные от ASCII или буквенно-цифровых символов.
Усталость паролей обычно влияет на пользователей, но это также может повлиять на технические отделы, которые управляют учетными записями пользователей, поскольку они постоянно повторно инициализируют пароли; эта ситуация приводит к снижению морального духа в обоих случаях. Во многих случаях пользователи заканчивают тем, что вводят свои пароли открытым текстом в текстовых файлах, чтобы не запоминать их, или даже записывают их на стикерах, которые затем наклеивают в ящик стола.
Решения
Некоторые компании хорошо организованы в этом отношении и внедрили альтернативные методы аутентификации [3] или внедрили технологии, позволяющие вводить учетные данные пользователя автоматически. Однако другие могут не сосредоточиться на простоте использования или даже ухудшить ситуацию, постоянно внедряя новые приложения со своей собственной системой аутентификации.
- Единый вход в систему программного обеспечения (SSO) могут помочь смягчить эту проблему, только требуяпользователей помнить один пароль для приложениякоторое в свою очередь будет автоматически предоставлять доступ к нескольким другим счетам, с или без необходимости агента программного обеспечения на компьютере пользователя. Потенциальным недостатком является то, что потеря одного пароля предотвратит доступ ко всем службам, использующим систему единого входа, и, более того, кража или неправильное использование такого пароля представляет преступнику или злоумышленнику множество целей.
- Интегрированное программное обеспечение для управления паролями. Многие операционные системы предоставляют механизм для хранения и извлечения паролей, используя пароль для входа пользователя для разблокировки зашифрованной базы данных паролей. Microsoft Windows предоставляет диспетчер учетных данных для хранения имен пользователей и паролей, используемых для входа на веб-сайты или другие компьютеры в сети, Mac OS X имеет функцию связки ключей, которая обеспечивает эту функциональность, и аналогичные функции присутствуют в рабочих столах с открытым исходным кодом GNOME и KDE . Кроме того, разработчики веб-браузеров добавили аналогичные функции ко всем основным браузерам. Хотя, если система пользователя повреждена, украдена или взломана, он также может потерять доступ к сайтам, где они полагаются на хранилище паролей или функции восстановления, чтобы запомнить свои данные для входа.
- Программное обеспечение для управления паролями, такое как KeePass , Password Safe и NordPass, может помочь смягчить проблему усталости паролей, сохраняя пароли в базе данных, зашифрованной с помощью одного пароля. Однако это создает проблемы, аналогичные проблеме единого входа, поскольку потеря единого пароля предотвращает доступ ко всем другим паролям, в то время как кто-то другой, получивший его, будет иметь к ним доступ.
- Восстановление пароля - большинство защищенных паролем веб-сервисов предоставляют функцию восстановления пароля , которая позволяет пользователям восстанавливать свои пароли через адрес электронной почты (или другую информацию), привязанный к этой учетной записи. Однако сама эта система стала объектом атак преступников с помощью социальной инженерии . Эти преступники получают достаточно информации о цели, чтобы выдать себя за них и запросить электронное письмо для сброса, которое затем перенаправляется другими способами на учетную запись, находящуюся под контролем злоумышленника, что позволяет злоумышленнику захватить учетную запись.
Смотрите также
Заметки
- ^ "Хаос паролей" в TheFreeDictionary
- ^ Уильямс, Шеннон. «У обычного человека 100 паролей - учись» . securitybrief.co.nz . Проверено 26 апреля 2021 .
- ^ Такие как цифровые сертификаты , токены OTP , аутентификация по отпечатку пальца или подсказки для пароля.
Внешние ссылки
- Ногучи, Юки. Доступ запрещен , Washington Post, 23 сентября 2006 г.
- Катон, Джош. Плохая форма: 61% используют один и тот же пароль для всего , 17 января 2008 г.
- identitychaos.com , блог MIIS и ILM