Студия Турум-бурум

Почему парольные фразы удобнее паролей

Почему парольные фразы удобнее паролей
1399

Аккаунт пользователя — это дом. Пароль — это ключ, а войти на сайт — все равно, что пройти во входную дверь. Если пользователь не может вспомнить свой пароль — это все равно, что потерять свои ключи. Если же аккаунт пользователя взломан — это как взломанный дом. 


Почти у половины американцев (47%) только в 2014 год был взломан аккаунт. Предпринимают ли веб-дизайнеры и разработчики интерфейсов необходимые меры для предотвращения этих проблем? Или нужно пересмотреть подходы к системе ввода паролей?



Фото: money.cnn.com

Безопасность против комфорта

Компромисс безопасности

Для постоянной работы с большинством интернет-ресурсов необходимо создавать учетную запись. Эта запись требует создания пароля, а так как пользователь посещает огромное множество проектов — часто, эти пароли делаются либо слишком легкими, либо ставится один пароль на все ресурсы, в ущерб безопасности аккаунта. И если одинаковые пароли уязвимы тем, что злоумышленники, узнав один пароль получают доступ к большинству аккаунтов пользователя, то простые пароли — отличная мишень для взлома методом подбора. Так, в угоду удобству, страдает безопасность.


Конечно, пароли можно где-то записывать, чтобы не забывать, но если эти записи станут доступны постороннему человеку или злоумышленнику — он получит полный доступ ко всем аккаунтам. Кроме того, так файл легко потерять, да и доставать его каждый раз, когда ты хочешь войти в программу или авторизоваться на сайте — не очень удобно.


Независимо от того, что именно делает пользователь для своего комфорта, результат один: появляется угроза безопасности.




Конечно, пароли можно где-то записывать, чтобы не забывать, но если эти записи станут доступны постороннему человеку или злоумышленнику — он получит полный доступ ко всем аккаунтам. Кроме того, так файл легко потерять, да и доставать его каждый раз, когда ты хочешь войти в программу или авторизоваться на сайте — не очень удобно.


Независимо от того, что именно делает пользователь для своего комфорта, результат один: появляется угроза безопасности.


Компромисс юзабилити


Чтобы сохранить в безопасности свои аккаунты, пользователи могут создавать пароли, которые соответствуют максимальным требованиям «надежного» пароля.


Такой пароль должен содержать:

  • строчные буквы;
  • заглавные буквы;
  • знаки препинания;
  • некоторое количество символов.

Он не должен содержать:

  • словарные слова;
  • быть одинаковым для всех ресурсов;
  • ваше имя, имя пользователя, название компании и т.д.

 


Создание пароля, отвечающего всем этим требованиям, отнимает слишком много времени, и вы рискуете не уложиться в сроки, предусмотренные для регистрации. 


Когда вы наконец-то придумали или просто сгенерировали пароль, он настолько случаен, что его почти невозможно запомнить. Это увеличивает вероятность, что вы не сможете войти второй раз в систему, тем более, ваш аккаунт может быть заблокирован после того, как вы несколько раз неправильно введете пароль, отчаянно пытаясь его вспомнить. 


Часто бывает такое, что просто ввести пароль — сложная задача. Пользователи склонны ошибаться, забывая удерживать клавишу Shift для ввода заглавных букв или путая символы. Так совершенно безопасный пароль становится и совершенно бесполезным.


Решит ли проблему менеджер паролей?

Есть пользователи, которые стремясь сбалансировать комфорт и безопасность, предпочитают использовать менеджер паролей — некое приложение, которое хранит в базе данных все ваши пароли и защищает их одним главным паролем. Таким образом, вместо того, чтобы помнить все пароли, достаточно запомнить только главный.


Почему менеджер паролей подходит пользователям, но не подходит сайтам?


Если вы забыли главный пароль — вам крупно не повезло. Большинство менеджеров паролей, в отличие от веб-сайтов, не имеют функции сброса и восстановления паролей.
Забыв пароль на каком-то сайте или веб-сервисе, вы всегда можете его изменить или восстановить. Это позволяет сайтам контролировать и оптимизировать безопасность своих пользователей.

 
Более того, менеджеры паролей стоят денег. Разработчики не могут требовать от всех пользователей, чтобы те покупали менеджер паролей при регистрации. Это было бы, как минимум, не практично и заставило бы множество клиентов отказаться от использования сервиса. 


Так, сайты не должны возлагать ответственность за безопасность на сторонние приложения и вынуждены находить собственные решения, способные сбалансировать комфорт и безопасность.


Многие не понимают и не доверяют менеджерам паролей


Часть пользователей доверяют менеджерам паролей, но многие — нет. Исследование продемонстрировало, что пользователям они кажутся «неудобными из-за использования сложных и непонятных программ, не вызывающих доверия». 


Пользователь покидает зону комфорта, «делегируя личный контроль программному обеспечению». При этом респонденты понимают, что безопасность пароля — это проблема, требующая решения, но считают, что «они достаточно опытные, чтобы самостоятельно позаботиться о своих паролях». 


Дизайнеры и разработчики не могут рассчитывать на сторонние программы и должны предоставить безопасный и удобный способ доступа к своему сервису или приложению.


Парольные фразы: изменения к лучшему


Соблюдение баланса между комфортом и безопасностью — важное условие успешного веб-сервиса. Но актуальные системы паролей не могут обеспечить такой баланс.
Сайты необходимо модернизировать, переходя от паролей к парольным фразам.
Пароли и парольные фразы служат одинаковым целям, но пароли, как правило, короче, их тяжело запомнить и легко взломать. Парольные фразы легче запоминаются и их проще набирать. Их принято считать более надежными, так как они длиннее. И самое главное — их не нужно записывать.


В чем безопасность парольных фраз?

Более длинный запрос сложнее взломать способом перебора

У большинства паролей есть минимальное требование — 8 символов. Минимальное требование для парольной фразы — 16 символов. Такая длина более безопасна, поскольку ее взлом занимает гораздо больше времени. 


Увеличение длины символов увеличивает общее число возможных вариантов правильных паролей. Чем длиннее пароль, тем дольше программа перебора будет угадывать правильную комбинацию. 


Давайте проведем эксперимент, сравнив сложный пароль и парольную фразу. Для этого мы будем использовать сложный редактор паролей.
В сложном пароле не будет никаких словарных слов, будут цифры, заглавные буквы и символы, что предельно повышает его надежность. Парольные фразы, наоборот, будут содержать словарные слова и только строчные буквы, что делает их максимально доступными для взлома.




Сравнивая эти таблицы становится очевидным, что взломать простую фразу из кодовых слов путем перебора невозможно. А вот на взлом очень сложного пароля уйдет пару лет. Это говорит о том, что именно длина пароля, а не его сложность защищает пользователя от атак способом перебора.


Парольные фразы отразят и атаку способом перебора с использованием словарей 

Атака способом перебора — не единственный инструмент в арсенале хакера. Перебор можно запускать и по словарю. Но парольные фразы и здесь показывают себя лучше. Несмотря на то, что использовать пароли из словарных слов настоятельно не рекомендуется, они по-прежнему распространены и легко взламываются. Но даже если в парольной фразе использовать только словарные слова — аккаунт по-прежнему остается максимально защищенным от подобного типа атак. 



Большинство словарных паролей содержат одно или два слова. «Словарная атака», в данном случае, имеет больше шансов на успех, поскольку количество слов в словаре ограничено. Даже редкое словарное слово не сможет остановить подобную атаку. А вот фраза из словарных слов будет содержать, по меньшей мере, пять слов. Количество комбинаций этих слов стремится к бесконечности, соответственно, так пароль будет неуязвим для «словарных атак». Разные части речи еще больше затрудняют взлом такого пароля.


Разные части речи затрудняют взлом пароля

Пароли, которые легко разгадать, зачастую содержат часть личной информации: имя пользователя, дату рождения или имя домашнего животного, любимый цвет, еду, город и так далее. Все эти существительные легко отвечают требованиям к количеству символов в пароле. Требование длинной фразы предотвращает использование личной информации пользователя, ведь одного-двух существительных недостаточно для удовлетворения такого условия. Соответственно, это заставляет пользователя включать в список ключевых слов другие части речи, следствие — фразу гораздо сложнее отгадать.


В чем удобство парольных фраз?

Фразы легче запоминаются, чем случайный набор символов

Фразу гораздо проще вспомнить чем случайную абракадабру, ведь фразы несут определенный смысл, вызывают какие-то ассоциации. Именно поэтому пользователю ее легко запомнить. 



При создании пароля мы вынуждаем его придерживаться политики формы пароля. Стремясь уберечь его от атак по словарю многие формы не позволяют использовать словарные слова. Пользователям ничего не остается, как придумывать случайные бессмысленные пароли, а ведь случайное, не словарное слово гораздо сложнее запомнить, так как оно, как правило, не вызывает никаких ассоциаций. 


Часть пользователей предпочтут обычное слово, добавив к нему случайные символы. Но такое слово тоже сложно запомнить поскольку символы могут быть поставлены в разных местах.


Усложнить парольную фразу проще, поскольку можно вставить элементы между словами. Можно запомнить фразу из случайных слов, даже если между ними нет пробелов. Вообще, парольной фразе не нужен высокий уровень случайности, характерный для обычных паролей. Простота парольной фразы, тем не менее, гарантирует безопасность. Некоторые люди в качестве своего обычного пароля используют первую букву каждого слова в предложении. Это запоминается намного лучше, чем случайное слово, но все же не настолько безопасно, как парольная фраза.


Например, фраза «Я жил в Германии два года» (I lived in Germany for two years) может превратиться в «ЯжвГ2гда» (iliGf2yrs). Даже начинаясь с заглавной буквы, имея в составе число и случайные буквы, она по-прежнему уязвима для взлома перебором. То же предложение, прописанное в качестве пароля «ЯжилвГермании2года» (ilivedinGermanyfor2yrs) взломать уже невозможно. Разница в длине пароля оказывает огромное влияние на безопасность.


Слова разрешены 

Придумать пароль, в котором бы не было слов из словаря, пожалуй, самое жесткое требование, которое приходится соблюдать пользователям. Данные исследования Карнеги-Меллона говорят о том, что «создание пароля значительно труднее при более жестких политиках паролей, особенно связанных с словарными проверками».


Придумать случайное слово без словаря довольно сложно, еще труднее его запомнить. С парольными фразами все гораздо проще, им не нужны очень строгие проверки, а количество символов в таком пароле ограничено только правилом длины парольной фразы. 


Строгая политика безопасности, заставляющая отказаться от комфорта в пользу надежного пароля, может стать важным фактором, при принятии решения о регистрации пользователя на вашем ресурсе. Политика использования парольных фраз помогает уравновесить безопасность аккаунта и комфорт пользователя на вашем сайте.



Простота регистрации с парольной фразой

Регистрация, зачастую, занимает много времени. Пользователи надолго задерживаются на этой странице, стараясь придумать надежный пароль, который примет сайт. Происходит это потому, что политики паролей переполнены требованиями, выполнение которых отнимает немало времени и, как правило, вызывают раздражение. Если пользователь не слишком заинтересован в регистрации на ресурсе, то в конце концов эти сложности могут заставить его отказаться от регистрации и покинуть ваш проект.



Организация безопасности с помощью парольных фраз гарантирует безопасность аккаунтов пользователей, оставаясь при этом менее строгой. Главное требование — в парольной фразе должно быть не менее 16 символов. 


Выводы Карнеги-Меллона подтверждают это. Исследователи обнаружили, что «16-символьный минимум без каких-либо дополнительных требований обеспечивает максимальный эффект по многим пунктам при большем удобстве пользования, чем любой альтернативный метод». Это облегчает процесс создания учетных записей без ущерба их безопасности. 


Разные сайты по-разному организуют свои требования к безопасности аккаунтов. Следствие — пользователям приходится создавать различные пароли для каждого из них. В итоге получается огромный список различных паролей к множеству аккаунтов. 


В то же время, политика парольных фраз везде схожая и все, что необходимо для обеспечения максимальной безопасности, — пароль не короче 16 символов, заглавная буква или число.


Большая длина пароля увеличивает количество опечаток

Пожалуй, единственным недостатком парольных фраз является то, что большое количество символов в пароле требует длительного набора, который приводит к большому количеству опечаток.


Если вы решили организовать безопасность на своем ресурсе с помощью парольных фраз, не блокируйте вход пользователей после нескольких неудачных попыток ввести пароль, ведь они же могут просто сделать опечатку в своей фразе. Вместо этого после нескольких попыток авторизоваться дайте им возможность проверить правильность слов. Так вы предотвратите взломы, при этом дав возможность пользователю получить доступ к своему аккаунту.


Что же делать сайтам?

Заменяем «слово» «фразой» 

Первый шаг — изъять «слово» из пароля. Термин «пароль» создает у пользователя впечатление, что сайт ожидает от него использования именно слово. Но мы уже выяснили, что слово не является полностью безопасным паролем.   


Помогите пользователю изменить его привычки, используя термин «парольная фраза». Это продемонстрирует, что вы ожидаете от него фразу, а не слово. Запомнив такие рекомендации, пользователь будет знать, что фраза безопаснее слова.


Пересмотрите свою политику безопасности

Следующий шаг — заменить политику безопасности с использованием паролей на «политику парольных фраз». Это означает изменение требований к длине пароля, чтобы он содержал не менее 16 символов. Кроме того, пароль должен содержать хотя бы одну заглавную букву или цифру. Для дополнительной безопасности паролей можно увеличить количество заглавных букв или цифр, но, как мы выяснили ранее — это совсем не обязательно.


Разъясняйте свою политику безопасности

Большинство пользователей привыкли к жестким рамкам в вопросах о безопасности. Расскажите им о том, что «политика парольных фраз» отличается простыми требованиями при регистрации. В этом вам поможет всплывающая подсказка под полем ввода парольной фразы.


Заключение

Сегодня процесс авторизации внушает пользователю скорее тревогу, чем оптимизм. Парольные фразы — отличная альтернатива традиционным паролям, поскольку они безопаснее и удобнее. Множество сайтов уже интегрировали такой способ авторизации. Другим стоит задуматься о том, чтобы последовать этому примеру, снизив тем самым количество взломов аккаунтов и избегая разочарования пользователей. Никто из них не должен почувствовать, что он потерял ключи или его дом был взломан.



Отличная новость — еще и в том, что переход на парольные фразы не потребует перестройки работы сайта. Для интеграции данной концепции достаточно всего лишь увеличить количество символов в пароле. Самое сложное — понять и признать, что решение мировой проблемы с паролями выглядит настолько просто.



Источник: smashingmagazine.com

Коротко

Парольные фразы — отличная альтернатива традиционным паролям, поскольку они безопаснее и удобнее. 

Содержание:

Безопасность против комфорта 
- Компромисс безопасности
- Компромисс юзабилити
Решит ли проблему менеджер паролей?
- Почему менеджер паролей подходит пользователям, но не подходит сайтам?
- Многие не понимают и не доверяют менеджерам паролей
Парольные фразы: изменения к лучшему
В чем безопасность парольных фраз?
- Более длинный запрос сложнее взломать способом перебора
- Парольные фразы отразят и атаку способом перебора с использованием словарей 
- Разные части речи затрудняют взлом пароля
В чем удобство парольных фраз?
- Фразы легче запоминаются, чем случайный набор символов
- Слова разрешены 
- Простота регистрации с парольной фразой
- Большая длина пароля увеличивает количество опечаток
Что же делать сайтам?
- Заменяем «слово» «фразой»
- Пересмотрите свою политику безопасности
- Разъясняйте свою политику безопасности
Заключение



Об авторе

Энтони Т (Anthony T) — основатель UX Movement, онлайн-журнала о пользовательском опыте и UX-дизайне. Создатель инструментов Wireframe Patterns и Flow Patterns



Оставьте номер и мы перезвоним
Спасибо!
Мы скоро свяжемся с Вами.
Напишите нам
Выберите направление:
    Спасибо!
    Мы скоро свяжемся с Вами.