Подход к общению с пользователями на тему информационной безопасности

Службы информационной безопасности (ИБ) в банках и просто менеджеры сервисов придумывают политику ИБ и, в частности, выкатывают требования к паролю пользователя.

Давайте на несколько минут забудем о том, что современные системы противостоят брутфорсу и что подобрать пароль часто сложнее, чем украсть его. Забудем о том, что некоторые системы с критичной информацией вообще выставляют время ожидания между попытками.То есть забудем о том, что сложность пароля не так важна, как раньше.

Проблема в том, что некоторые до сих пор загибают пальцы, каким сложным должен быть пароль. Есть наверное какое-то оправдание тому, чтобы загибать пальцы, но все делают это неправильно.

Типичный случай выглядит так: «Пароль должен состоять не менее чем из 8 символов. Он должен содержать буквы, цифры и не менее одного спецсимвола». Это ещё не сложные условия и они доступно изложены.

Предел жестокости

Интернет-банк УРАЛСИБ, филиал в г. Екатеринбург.

Требования гораздо жестче. Пользователю предлагают представить себе конструкцию, которая должна соответствовать одновременно шести условиям.

Самое сложное — первое: Пароль не должен состоять из тех же самых символов, что и имя пользователя.

Во-первых, аккаунт определяется двумя полями — ID организации и Именем пользователя, из которых оба подходят под термин «имя пользователя», это вызывает путаницу.

Во-вторых, у всех пользователей имя «01». Получается, что будет забракован любой пароль, в котором встречаются ноль и единица, вне зависимости от того, сколько там всего символов.

+ Пароль не должен повторять предыдущие восемь паролей
+ Пароль должен содержать минимум 4 различных символа.
+ Пароль должен содержать хотя бы один спецсимвол из перечисленных.

Подразумевается что пользователь должен представить себе сочетание всех перечисленных условий.

Другая форма авторитаризма

Безупречный в других отношениях хостинг-провайдер NetAngels исповедует подход, не виданный мной раньше.

В панели управления хостингом, на страницах настроек доступа к разным частям сервиса, стоят ссылки «Сменить пароль» для этих частей. При нажатии на нее, система генерирует бессмысленный пароль вида комбинация букв + цифра + комбинация букв, пишет его тут же на странице и сообщает, что отправила его на  почту. Получается что-то такое: konip9zagel.

Такой пароль пользователь никогда не запомнит, учитывая особенности его использования. При необходимости получить доступ, пользователь будет вынужден идти в почту — подсматривать, либо сохранять пароль в браузере.

Пользователя не допускают к созданию пароля. Какой установим, таким и будете пользоваться. Это тоже свинство.

Не все такие злые

Альфа-Клик

А вот это хороший случай. Требования не выкатываются вообще, пользователь может придумать какой угодно пароль. На самом деле нет: если я введу спецсимвол, то система скажет, что они запрещены. В этом есть здравое зерно.

Эрогенность спецсимволов

Их употребление, повышая надежность, понижает безошибочность ввода. Это происходит потому, что некоторые спецсимволы имеют модальность ввода. Например, в русской раскладке вместо точки (на цифровой части клавиатуры) вводится запятая. В английской раскладке запятая и точка вводятся клавишами с буквами Б и Ю, а в русской — крайней правой клавишей этого ряда, с шифтом и без шифта.
Если в этом случае пользователь довольно быстро поймет, в чём дело, и исправится, то следующий случай реально поставит его в тупик.

Я встречал и менее тривиальный вариант: раскладки Английская (США) и Английская (Великобритания) имеют разное расположение спецсимволов на клавишах с цифрами. Например, Shift + 2 дает не собаку, а кавычки штрихи, а Shift + 4 даёт знак фунта стерлинга вместо знака доллара.

Применительно к Альфа-Банку: если бы спецсимволы не были бы запрещены, то их клиент, находясь в Британии, испытал бы трудности со входом в интернет-банк. Важно, что такую проблему сложно распознать, ведь язык ввода не изменился. Взгляд на то, какая сейчас включена раскладка, не даст ответа на вопрос, почему не проходит пароль. В итоге это может привести и к блокировке доступа.

Правда, идея с ограничением на сложность пароля в данном случае реализована не идеально. Система сообщает, что «пароль состоит из запрещенных символов». То есть не пишет, какой именно символ нельзя использовать.

Что делать, если ваш администратор ИБ требует адовых ограничений на пароль пользователя в сторону его усложнения

Объясните ему, что требование может быть только одно — не менее 6ти символов. Дальнейшее наращивание надежности ничего не дает. Если пароль будет украден, то совершенно без разницы, насколько он надежен.

Что делать, если это не помогло.

Собственно, это и есть подход.
Не пишите ничего о минимальной или максимальной длине пароля и его составе. Расскажите пользователю, как ему составить надежный и запоминающийся пароль с учетом спущенных вам требований. Сделайте это ненавязчиво, разговаривая с пользователем о понятных ему вещах.

Например, так:

Безотносительный вариант.
Мы заботимся о вашей безопасности, потому вам нужно установить сложный пароль. Выберите любимое слово и добавьте к нему пару цифр. Например, кольцо123. Или представьте, что вы выполняете сложение или любую другую операцию с вашим словом. Например, вареник+12. Такой пароль будет весьма надежен и его легко запомнить. Только, пожалуйста, не повторяйте приведенный пример, придумайте свой собственный.

Если вы заставляете своих пользователей менять пароль раз в месяц, доработайте текст таким образом:

Тематический вариант
Чтобы легко запоминать новый пароль каждый месяц, выберите любимую книгу или фильм. Используйте имена персонажей в качестве вашего слова в пароле. Подставляйте имя нового персонажа при каждой смене. Тогда процесс вспоминания пароля будет выглядеть примерно так: «Так, кто у нас в этом месяце? Точно, Ватсон!».

Я не имею ввиду, что нужно предлагать пользователю именно эти паттерны, нужно придумать свой собственный — короткий или длинный, с учетом увлечений аудитории или без. Главное предложите понятный способ вместо набора ограничений.

Вас зовут 901511381, запомните или запишите

Людям понятно и приятно, когда их зовут по имени, а не дают им клички. Не следует выдавать им серийные номера только потому, что так проще разработчикам.

Всегда позволяйте пользователю самостоятельно выбрать имя в вашей системе. Попросить пользователя ввести e-mail в качестве логина — тоже хороший способ. Это тоже считается «сам придумал».