Wie andere sagten, können Sie sie nicht aufhalten. Sie können den Anreiz jedoch entfernen.

Erfordert Ihre Kennwortrichtlinie Folgendes:

• In regelmäßigen Abständen ändern
• Manuelle Eingabe (Passwortmanager blockiert)
• Komplexes Format (unterschiedliche Fälle, Sonderzeichen usw.)

Wenn ja, motivieren Sie die Leute aktiv, das zu schreiben Passwort runter. Wenn Sie die veraltete Kennwortrichtlinie löschen, spielen Ihre Benutzer mit größerer Wahrscheinlichkeit mit.

Empfehlungen basierend auf den neuen NIST-Richtlinien. Es gibt eine schöne Zusammenfassung hier.

Sie können auf keinen Fall sicher sein, dass ein Benutzer sein Passwort nicht notiert hat. Selbst wenn Sie vollständigen Zugriff auf ihren Computer haben, was ist, wenn sie dies in ihrem Telefon notiert haben? Oder auf Papier?

Und selbst wenn Sie Zugriff auf alle Geräte hatten, können Sie nur überprüfen, ob sie das Kennwort nicht notiert haben, wenn Sie als Systemadministrator selbst kennen das Passwort. Was Sie nicht sollten! Passwörter sollten immer gehasht und niemals im Klartext oder in einer Form gespeichert werden, mit der Sie das ursprüngliche Passwort abrufen können.

Was ist mit Passwort-Managern? Es ist bekannt, dass sie die Sicherheit erheblich erhöhen, da sich der Benutzer nur noch an eine Passphrase erinnern muss und weniger wahrscheinlich ein leicht zu erratendes Kennwort für Ihr System verwendet.

Dies ist ein soziales Problem, das nur gelöst werden kann, indem Sie Ihre Benutzer / Mitarbeiter über die Gefahren informieren, wenn Passwörter im Klartext geschrieben bleiben.

Installieren Sie eine Kamera hinter ihrem Schreibtisch, besser noch mehrere Kameras, um alle Winkel abzudecken, und lassen Sie sie von jemandem beobachten.

Es könnte Sie stören, dass dies unethisch ist, aber keine Sorge, es ist in keiner Weise Schlimmer als fast auf jede andere Weise, die das erreicht, was Sie tun möchten.

Über diese fast :

Verwendung "Passwörter", die von einem Benutzer nicht angemessen im Klartext dargestellt werden können. Fingerabdruckscans, Schlüsselkarten / Dongles, 2-Faktor-Authentifizierung, Retina-Scans, ... jeder von ihnen erreicht, was Sie wollen.

Sie tun es nicht.

Indem Sie Benutzern verbieten, ihre Passwörter aufzuschreiben, verbieten Sie ihnen, den zweitbesten existierenden Passwort-Manager zu verwenden. Menschen sind im Allgemeinen ziemlich gut darin, den Inhalt ihrer Brieftaschen zu schützen. Eine Liste komplexer Passwörter, die auf ein Blatt Papier geschrieben sind, das zwischen dem Führerschein und der Kreditkarte gespeichert ist, ist ungefähr so ​​sicher, wie Sie es vernünftigerweise erwarten können.

Geben Sie anstelle der Regeln "Tun Sie dies nicht" an Ihre Benutzer mit Richtlinien, wie sie ihre Passwörter sichern sollen. Wenn sie eine Liste mit "Passwort-Manager X, Passwort-Manager Y, Zettel in Ihrer Brieftasche" haben, mit der sie arbeiten können, speichern sie ihre Passwörter mit größerer Wahrscheinlichkeit sicher, als wenn Sie versuchen, alle Möglichkeiten aufzuzählen, wie sie sollten ihre Passwörter nicht speichern und durch Strafmaßnahmen durchsetzen.

Was ist Ihr Bedrohungsmodell?

Ich weiß, dass ich diese Gegenfrage zu fast allem hier stelle, aber die meisten Sicherheitsfragen geben niemals an, gegen was sie tatsächlich zu schützen versuchen.

Befinden sich regelmäßig unbefugte Personen in Ihrer Umgebung und können aufgeschriebene Passwörter erkennen? In diesem Fall kann das Bewusstsein Ihrer Benutzer für diese spezifische und leicht verständliche Bedrohung verbessert werden, und es hat (einige, begrenzte) Auswirkungen.

Wenn Ihr Bedrohungsmodell Insider ist, ist das Bewusstsein in der Regel sehr viel weniger effektiv. Das offizielle Verbot des Aufschreibens von Passwörtern unter Androhung von Sanktionen kann einige Prozent der Konformität erreichen, ist jedoch selten in einem Maße von Bedeutung, das von Bedeutung ist Ein vorinstallierter Passwort-Manager bietet Ihnen auch eine gewisse Konformität und ist wahrscheinlich der benutzerfreundlichste Weg, um das Problem zu lösen.

Der beste Weg ist, Passwörter zu beseitigen. Wenn Sie SSO haben, ist das eigentlich relativ einfach. Sie benötigen lediglich eine kennwortlose Authentifizierung beim SSO und gehen von dort aus. Vom Hardware-Token über Smartphone-Apps bis hin zur Verwendung des Smartphones selbst als Token gibt es bereits viele Lösungen auf dem Markt. Wähle eins. Denn das einzige Passwort, das Ihre Benutzer garantiert niemals aufschreiben, ist das, das sie nicht einmal haben.

Erstens stimme ich den Antworten zu, die besagen, dass dies aus verschiedenen Gründen eine schlechte Idee ist.

Zweitens scheint es, dass Sie versuchen, einen Menschen mithilfe von Technologie zu lösen Problem. Es ist sehr, sehr selten, dass dies gut endet.

Anstatt sich auf technische Maßnahmen zu konzentrieren, um das Aufschreiben von Passwörtern wie Kameras, nicht einfügbaren Passwortfeldern usw. zu verhindern Sie sollten sich zunächst auf das (wahrgenommene oder reale) Problem konzentrieren, das die Benutzer sehen und das sie dazu veranlasst, die Kennwörter aufzuschreiben (oder unsichere Kennwörter zu verwenden oder was auch immer das Problem sein mag).

Eine Möglichkeit, dies zu tun, könnte darin bestehen, allen Mitarbeitern eine Mitteilung zu senden, die lautet: "Wenn Sie Ihre arbeitsbezogenen Passwörter aufschreiben, teilen oder in irgendeiner Weise wiederverwenden, möchten wir gerne wissen, wie und warum" und bieten eine völlig anonyme Antwortmöglichkeit . (Letzteres ist wichtig, da die Leute in der Regel ehrlicher über unvollständige sicherheitsrelevante Entscheidungen sind, wenn sie sich keine Sorgen machen müssen, um ehrlich zu sein.) Sie könnten beispielsweise eine physische Box einrichten, in der die Leute Teile fallen lassen können Papier mit ihrer Antwort, und die eindeutig nicht trivial ist, auf eine Weise zu kommen, die nicht sichtbar ist. (Es muss nicht manipulationssicher sein , sondern nur manipulationssicher offensichtlich .) Schauen Sie sich dann die Antworten an, die Sie erhalten Die Antworten sagen etwas wie "Es ist so schwer, sich jeden Monat ein neues komplexes Passwort zu merken" und korrigieren dann das . Die jüngsten NIST-Richtlinien sind eigentlich gar nicht so schlecht. Ein langes Passwort zu verlangen, die Verwendung von Passphrasen zu fördern, aber keine anderen Komplexitäts- oder Erneuerungsanforderungen festzulegen, ist ein langer Weg.

Wenn ein großer Teil der Antworten so etwas wie "Ich verwende kurze Passwörter, weil es so ist" sagt Es ist unpraktisch, den Computer zu entsperren, nachdem er nach zwei Minuten automatisch gesperrt wurde, während ich eine Webseite lese ", und das dann zu beheben.

Wenn ein großer Teil der Antworten etwas wie "Ich kann mir keine guten Passwörter vorstellen" sagt, bieten Sie Anleitungen zur Auswahl guter Passwörter an. Diceware (manchmal als "xkcd-Passwörter" nach xkcd 936 bezeichnet) ist ein guter Anfang. Dies erfordert, dass das System lange Passwörter unterstützt, wie es jedes vernünftig gebaute moderne System kann.

Und so weiter.

Die Personen, die Passwörter unsicher aufschreiben, sind Menschen, und sie tun es mit ziemlicher Sicherheit aus menschlichen Gründen, nicht aus technologischen Gründen. Menschliche Probleme sollten mit menschlichen Mitteln gelöst werden, nicht mit technologischen.

Wie jeder gesagt hat, tun Sie das nicht.

Sie sollten überlegen, ob Kennwörter (Einzelfaktorauthentifizierung) für Ihre Anforderungen geeignet sind. Selbst wenn alle Benutzer die Kennwortrichtlinien einhalten, gibt es andere Risiken wie Schulter-Surfer und Key-Logger. Eine viel bessere Lösung ist die Zwei-Faktor-Authentifizierung. Es gibt verschiedene Dongles, die Sie kaufen können, oder es gibt den kostenlosen und offenen Google-Authentifikator, der auf jedem Smartphone installiert werden kann. Der Benutzer kann ein ziemlich einfaches und leicht zu merkendes Passwort haben und muss es nie ändern, da es auch eine sechsstellige Nummer gibt, die sich alle dreißig Sekunden ändert, ohne die sein Passwort unbrauchbar ist.

Sollte vielleicht Außerdem muss ein Schulter-Surfer nicht einmal im Gebäude sein. In meiner Studienzeit kaufte jemand ein Teleskop und zeigte allen, was durch die Fenster eines Hochhaushotels den größten Teil eines Kilometer entfernt zu sehen war. Niemand hat sich die Mühe gemacht, die Vorhänge im 14. Stock zu ziehen! Heute würden sie wahrscheinlich nachts in einem Hotel sein, aber tagsüber in einem Büro?

Mir ist klar, dass ich zu spät zum Feiern komme, aber ...

Wie kann ich sicherstellen, dass sie dies nicht getan haben, indem ich ihr Passwort in E-Mails, Skripte, Dokumente oder Dateien schreibe? / p>

Das kannst du nicht. Praktisch nicht.

Passwörter sind ein einschichtiger Autorisierungsmechanismus. Wenn Sie daran interessiert sind, dass Passwörter "geschrieben" oder aufgezeichnet werden, müssen Sie:

• den Risikofaktor quantifizieren und diese Risikotypen unterbinden. Was ist das Risiko, wenn jemand anderes das Passwort liest? Wenn es ein Mitarbeiter ist, ein Mitglied der Öffentlichkeit? Fügen Sie Sicherheitsebenen hinzu, um diese Risiken zu minimieren (z. B. beim Anmelden nach zusätzlichen Informationen zu fragen) Ihre Benutzerbasis in Echtzeit, um sicherzustellen, dass ihre Passwörter nicht im Klartext angezeigt werden, müssen Sie Ihr Spiel wirklich wirklich verbessern und anstatt Tausende damit zu verbringen, Ihre alte Ford Cortina aufzupeppen, investieren Sie in einem Nissan Skyline und geben Ihre Benutzerbasis-Hardware-Token-Authentifizierung und 2FA-Anmeldeinformationen.

• Fördern Sie ein besseres Benutzerverhalten. Gespeicherte Passwörter sind leicht zu merken und von Natur aus schwach . Sie haben also die Wahl zwischen einem komplexen Passwort, das mehr Personen verwenden Schreiben Sie als Referenz oder ein einfaches Passwort auf, das für eine Maschine exponentiell einfacher ist, Gewalt anzuwenden oder auf andere Weise Kompromisse einzugehen. Drücken Sie so stark auf Ihre Benutzerbasis und ermutigen Sie sie, einen Passwort-Manager zu verwenden. Damit sie komplexe Passwörter verwenden können, ohne sich diese merken zu müssen ODER sie aufschreiben.

Ich wiederhole; Wenn Sie sich so sehr darum kümmern, dass Ihre Benutzer ihre Passwörter nicht aufschreiben, müssen Sie ihnen gültige gültige und zuverlässige Alternativen anbieten, wie in den verschiedenen Antworten hier beschrieben .

Der typische Weg, dies durchzusetzen, ist eine Clean Desk-Richtlinie. Aber ich mag deine Frage; Ich denke, die Lösung kann auf ein lächerliches Extrem gebracht werden :)

Es ist üblich, Zeichengruppen wie Kleinbuchstaben, Großbuchstaben usw. durchzusetzen.

Wenn Sie eine angemessene Mindestlänge festlegen könnten Stellen Sie einen sehr niedrigen Sperrschwellenwert ein und erzwingen Sie dann die Aufnahme einer Zeichengruppe "Kreise" [o, O, 0] und die Verwendung einer Zeichengruppe "Zeilen" [I, l, 1, | ] Dann könnten Sie theoretisch dafür sorgen, dass ein aufgeschriebenes Passwort einen sehr niedrigen Nutzwert hat.

Wenn Ihre Benutzer zweisprachig sind, haben Sie noch mehr Optionen. z.B. [c C с С] usw.

OK, das Obige ist ein Grenzwitz und sollte veranschaulichen, wie sinnlos es ist, "zu überprüfen, ob Benutzer [etwas] nicht tun". ABER: Gibt es nicht eine Karotte und eine Peitsche?

Wenn Sie NIST 800-63 lesen, finden Sie neue Ratschläge, damit Benutzer ihre eigenen Passwörter frei wählen können und nicht Erzwingen Sie, dass sie sich drehen, es sei denn, es besteht Grund zu der Annahme, dass das Kennwort manipuliert ist. Das heißt:

Verifizierer sollten für gespeicherte Geheimnisse KEINE anderen Kompositionsregeln auferlegen (z. B. das Mischen von Mischungen verschiedener Zeichentypen oder das Verbot von nacheinander wiederholten Zeichen). Verifizierer DÜRFEN NICHT erfordern, dass gespeicherte Geheimnisse willkürlich (z. B. regelmäßig) geändert werden. Verifizierer MÜSSEN jedoch eine Änderung erzwingen, wenn Anzeichen für einen Kompromiss des Authentifikators vorliegen.

Wenn die Kennwörter für Benutzer nicht schwer zu merken sind, würde dies nicht viel verhindern werden sie aufgeschrieben?

Machen Sie Ihre Passwörter zu nicht-textuellen. Als könnten sie aus einer zufälligen Reihe von Bildern auswählen. Was auch immer nicht einfach aufzuschreiben ist. Hier steht, was Wikipedia heute darauf schreibt:

"Nicht textbasierte Passwörter wie grafische Passwörter oder mausbewegungsbasierte Passwörter. [70] Grafisch Passwörter sind ein alternatives Authentifizierungsmittel für die Anmeldung, das anstelle eines herkömmlichen Passworts verwendet werden soll. Sie verwenden Bilder, Grafiken oder Farben anstelle von Buchstaben, Ziffern oder Sonderzeichen. Bei einem System müssen Benutzer eine Reihe von Gesichtern als Passwort auswählen [71] In einigen Implementierungen muss der Benutzer aus einer Reihe von Bildern in der richtigen Reihenfolge auswählen, um Zugriff zu erhalten. [72] Eine andere grafische Kennwortlösung erstellt eine einmalige Lösung Kennwort unter Verwendung eines zufällig generierten Rasters von Bildern. Jedes Mal, wenn der Benutzer sich authentifizieren muss, sucht er nach den Bildern, die zu seinen vorgewählten Kategorien passen, und gibt das zufällig generierte alphanumerische Zeichen ein, das im Bild angezeigt wird, um das einmalige zu bilden Passwort. [73] [74] Bisher sind grafische Passwörter vielversprechend, werden aber nicht häufig verwendet. Studien zu diesem Thema wurden durchgeführt, um seine Verwendbarkeit in der realen Welt zu bestimmen. Während einige glauben, dass grafische Passwörter schwerer zu knacken sind, schlagen andere vor, dass Menschen mit gleicher Wahrscheinlichkeit gemeinsame Bilder oder Sequenzen auswählen wie gemeinsame Passwörter. "

Wikipedia-Mitwirkende." Passwort. " Wikipedia, Die freie Enzyklopädie. Wikipedia, Die freie Enzyklopädie, 25. Juni 2019. Web. 5. Juli 2019.

Wenn Sie beispielsweise die Gesichtsmethode verwenden, können Sie zufällige Bilder verwenden von Menschen. Also können sie nicht einfach Steve aus dem Verkauf aufschreiben. Wenn die Bilder sehr ähnlich sind und nur ein einfaches Porträt zeigen. Sie können auch nicht so etwas wie die Frau mit dem aufschreiben roter Schal oder der Typ mit dem großen Ben im Hintergrund .

Verwenden Sie Zertifikate oder gerätebasierte Authentifizierung. Ja, dies beantwortet Ihre Frage nicht direkt, bietet jedoch eine andere Herangehensweise an das Problem.

Wie von anderen hervorgehoben, können Sie nichts erzwingen, was a verhindert Benutzer, um sein Passwort aufzuschreiben. Also ... mein Rat ist, Passwörter zu werfen.

Ein zertifikatbasiertes Authentifizierungssystem benötigt keine Passwörter (der private Schlüssel ist möglicherweise passwortgeschützt) und erlaubt möglicherweise nicht einmal eine Sicherung die privaten Schlüssel.

Bitte nehmen Sie meine Antwort als Inspiration. Sie haben wenig Auswahl. Wie hier kommentiert, können Sie Ihren Mitarbeitern immer noch die Finger abschneiden, aber ich bezweifle, dass sie in der Lage sein werden, das Passwort, an das sie sich jetzt erinnern, einzugeben.

Wurde bereits beantwortet, aber lassen Sie mich eine andere Idee geben.

Anstatt zu versuchen, etwas Nicht Durchsetzbares durchzusetzen (selbst ein Versuch wäre eine solche Verletzung der Privatsphäre) ...

Warum Stoppen Sie es nicht einfach an der Quelle und fordern Sie den Benutzer auf, das Kennwort in das Feld einzugeben (nicht zu kopieren). Ja, es kann deaktiviert werden, indem man mit HTML / JS herumspielt, aber das erfordert Wissen, und selbst wenn sie dieses Wissen haben, ist es oft schwieriger, als nur das Passwort einzugeben.

Das automatische Ausfüllen von Passwörtern ist ebenfalls sehr praktisch, stellt jedoch normalerweise ein ebenso hohes Sicherheitsrisiko dar, es sei denn, Sie haben die Gewohnheit, Ihren Bildschirm bei jedem Weggang zu sperren.