Erstens stimme ich den Antworten zu, die besagen, dass dies aus verschiedenen Gründen eine schlechte Idee ist.
Zweitens scheint es, dass Sie versuchen, einen Menschen mithilfe von Technologie zu lösen Problem. Es ist sehr, sehr selten, dass dies gut endet.
Anstatt sich auf technische Maßnahmen zu konzentrieren, um das Aufschreiben von Passwörtern wie Kameras, nicht einfügbaren Passwortfeldern usw. zu verhindern Sie sollten sich zunächst auf das (wahrgenommene oder reale) Problem konzentrieren, das die Benutzer sehen und das sie dazu veranlasst, die Kennwörter aufzuschreiben (oder unsichere Kennwörter zu verwenden oder was auch immer das Problem sein mag).
Eine Möglichkeit, dies zu tun, könnte darin bestehen, allen Mitarbeitern eine Mitteilung zu senden, die lautet: "Wenn Sie Ihre arbeitsbezogenen Passwörter aufschreiben, teilen oder in irgendeiner Weise wiederverwenden, möchten wir gerne wissen, wie und warum" und bieten eine völlig anonyme Antwortmöglichkeit . (Letzteres ist wichtig, da die Leute in der Regel ehrlicher über unvollständige sicherheitsrelevante Entscheidungen sind, wenn sie sich keine Sorgen machen müssen, um ehrlich zu sein.) Sie könnten beispielsweise eine physische Box einrichten, in der die Leute Teile fallen lassen können Papier mit ihrer Antwort, und die eindeutig nicht trivial ist, auf eine Weise zu kommen, die nicht sichtbar ist. (Es muss nicht manipulationssicher sein , sondern nur manipulationssicher offensichtlich .) Schauen Sie sich dann die Antworten an, die Sie erhalten Die Antworten sagen etwas wie "Es ist so schwer, sich jeden Monat ein neues komplexes Passwort zu merken" und korrigieren dann das . Die jüngsten NIST-Richtlinien sind eigentlich gar nicht so schlecht. Ein langes Passwort zu verlangen, die Verwendung von Passphrasen zu fördern, aber keine anderen Komplexitäts- oder Erneuerungsanforderungen festzulegen, ist ein langer Weg.
Wenn ein großer Teil der Antworten so etwas wie "Ich verwende kurze Passwörter, weil es so ist" sagt Es ist unpraktisch, den Computer zu entsperren, nachdem er nach zwei Minuten automatisch gesperrt wurde, während ich eine Webseite lese ", und das dann zu beheben.
Wenn ein großer Teil der Antworten etwas wie "Ich kann mir keine guten Passwörter vorstellen" sagt, bieten Sie Anleitungen zur Auswahl guter Passwörter an. Diceware (manchmal als "xkcd-Passwörter" nach xkcd 936 bezeichnet) ist ein guter Anfang. Dies erfordert, dass das System lange Passwörter unterstützt, wie es jedes vernünftig gebaute moderne System kann.
Und so weiter.
Die Personen, die Passwörter unsicher aufschreiben, sind Menschen, und sie tun es mit ziemlicher Sicherheit aus menschlichen Gründen, nicht aus technologischen Gründen. Menschliche Probleme sollten mit menschlichen Mitteln gelöst werden, nicht mit technologischen.