65.9K
CodeProject 正在变化。 阅读更多。
Home

可用性与安全性:不太可能的伴侣?

Trenton Moss
starIconemptyStarIconemptyStarIconemptyStarIconemptyStarIcon

1.00/5 (2投票s)

2008年7月6日

CPOL

5分钟阅读

viewsIcon

19744

随着人们需要记住越来越多的用户名、密码和 PIN 码,任何在线安全措施提供最佳可用性都至关重要。了解如何帮助客户记住他们的密码并让他们长期使用您的网站。

随着在线人口不断增加——仅英国就有 4100 万用户(来源:Internet World Stats)——计算机安全和用户身份验证从未如此重要。难以使用的安全性昂贵的,而且无效。根据Password research的数据,在过去 2 年中,三分之二的用户不得不重置他们的密码/ PIN 码三次或更多次。每次密码重置估计的帮助台成本为 35 英镑(来源:Mandylion research labs),很容易看出这可能是一件多么昂贵的事情。

密码

密码是目前最广泛使用的身份验证方法。我们每天都需要记住越来越多的用户名和密码。因此,超过一半的人在工作、银行和电子商务等所有方面都使用相同的密码,这是一种众所周知的糟糕的安全实践,这不足为奇。更令人担忧的是,21% 的人透露了他们的密码以换取一块巧克力(来源:Infosecurity Europe)!显然,这不仅仅是使系统安全,还要使其可用。

在安全行业中,密码长期以来被认为是不够的。比尔·盖茨甚至在 2 年前就呼吁结束密码(来源:CNET news)。由于这一天似乎还很遥远,让我们考虑一下在糟糕的情况下我们能做些什么。

你能做什么

作为网站所有者,您可以遵循以下指南,让您的客户的生活更轻松,并使您的网站更安全。

将电子邮件地址用作用户名
不要要求网站访问者创建单独的用户名,因为这会增加他们需要记住的项目数量。
允许使用密码短语而不仅仅是密码
密码短语就像密码一样,但更长,是整个短语而不是单个单词。它们通常为 20-40 个字符长,例如 Wi-Fi 安全。一个示例密码短语是“PASSphrase1234567890”。短语提供上下文,比孤立的单词更容易记住。密码短语也比密码更难破解。

帮助用户记住他们的密码

为了帮助您的用户选择安全且易于记住的密码,可以尝试向他们建议以下一些技巧:

  • 如果系统允许,请使用密码短语而不是密码。
  • 如果不行,请取一个短语并使用每个单词的首字母组成一个易于他们记住但其他人难以猜测的密码。例如,短语“我最喜欢的甜点是巧克力”变成“mfsitwhtbc”。
  • 然后替换其中一些字母为大写字母,并加入数字符号以提高密码强度。例如,使用“1”或“!”代替“i”,使用“4”或“@”代替“a”,依此类推。上面的示例密码“mfsitwhtbc”然后变成“Mfs!twht6c”,这要强得多。

您的用户是否有一个密码所有用途,并且希望保持这种状态?他们可以轻松生活并关注安全。方法如下:建议他们在通用密码的末尾附加一个额外的单词/数字,使其更长、更安全。附加内容可以与他们正在使用的应用程序/网站相关,因此易于记住且独特。

举个例子——假设通用密码是“password”(当然,它永远不应该是这样的!)。就安全性而言,这当然是一个相当弱的密码。对于花店网站,他们可以将其转换为“p@ssw0rdfl0wers”(代表“passwordflowers”),对于电子邮件,它可以是“p@ssw0rdem@1l”(代表“passwordemail”),这两者都比初始选择更安全,并且对 respective 网站是唯一的。只需稍作修改,“p@ssw0rdfl0wers”这个新密码就变得非常安全。

鼓励您的用户通过访问Password MeterMicrosoft's Password CheckerSurveillance Video 等网站检查他们密码的强度,从而了解他们的密码有多安全。

您还可以建议他们查看Get safe online,这是一个致力于帮助网络用户在线安全的网站。

未来是什么?

面孔密码

密码是否应该消失,取而代之的是什么?一种替代方法是称为“passfaces”的系统,它利用我们识别面孔的内在能力,速度快且准确。用户需要从一组随机的面孔中正确选择他们预先选择的面孔才能获得访问权限。Passfaces 已被许多网站实施。

随机数生成器

一些在线银行客户正在收到芯片卡和 PIN 码读卡器以增加一层安全性。许多银行和大型公司除了密码外,还使用令牌(如随机数生成器)来提高安全性。

生物识别

另一种选择是生物识别技术,其中使用人的身体或行为特征(如指纹、虹膜或声音)进行身份验证。例如,带有内置指纹读取器的笔记本电脑和英国的新生物识别护照。

这些方法本身并不是解决方案,但为了成功,它们必须将人视为整个身份验证过程的核心。

简而言之

传统上,安全性被认为比可用性更重要。实际上,安全措施只有在考虑到用户的需求时才能成功。与普遍看法相反,安全性和可用性可以而且应该齐头并进。希望无论什么取代密码,都将在可用性方面进行设计,这样我们就不会失去我们的了!

本文由 Mrudula Kodali 撰写。Mru 对可用性非常着迷——着迷到她为行业领先的用户体验咨询公司 Webcredible 工作。当她不开发信息架构时,她经常从事交互设计

© . All rights reserved.