Assessing Relative Weights of Authentication Components: An Expert Panel Approach

Organizations rely on password-based authentication methods to control access to many Web-based systems. In a recent study, we developed a benchmarking instrument to assess the authentication methods used in these contexts. Our instrument developed included extensive literature foundation and an expert panel assessment. This paper reports on the development of the instrument and the expert panel assessment. The initial draft of the instrument was derived from literature to assess 1) password strength requirements, 2) password usage methods, and 3) password reset requirements. Following, the criteria within the index were evaluated by an expert panel and the same panel provided opinions on the relative weights of the criteria and the measures. The expert panel results were collected and analyzed using Multi-Criteria Decision Analysis (MCDA) techniques. We conclude with discussions on how the criteria were assembled, how the expert panel was conducted, and reporting the results from the panel. The results reported include the relative weights within te password usage and password reset measures as well as the relative weights of the three measures within the index

Password Policy Effects on Entropy and Recall: Research in Progress

Passwords are commonly used for authentication. System architects generally put in place password policies that define the required length of a password, the complexity requirements of the password, and the expiration (if ever) of the password. Password policies are designed with the intent of helping users choose secure passwords, and in the case of password expiration, limit the potential damage of a compromised password. However, password policies can have unintended consequences that could potentially undermine their security aims. Based on the theory of cognitive load, it is hypothesized that password policy elements increase extraneous load, which can result in high entropy passwords, but to the detriment of recall. It is further hypothesized that certain password policy elements can still help increase entropy, while minimizing the negative impact on recall. An experiment to test the hypotheses and determine both a secure and user friendly password policy is put forward

POLÍTICA DE GESTIÓN DE CONTRASEÑAS PARA USUARIOS FINALES

Este artículo contiene el ciclo de vida de una contraseña, que va desde la generación hasta su tiempo de expiración. Adicionalmente, se presenta una política de gestión de contraseñas que contiene las pautas necesarias para generar e implementar claves seguras para el usuario final manteniendo su usabilidad, con el objetivo de mejorar la seguridad de los sistemas de información y capacitar a estos usuarios en cuanto a la protección de los datos de la organización

POLÍTICA DE GESTIÓN DE CONTRASEÑAS PARA USUARIOS FINALES

Este artículo contiene el ciclo de vida de una contraseña, que va desde la generación hasta su tiempo de expiración. Adicionalmente, se presenta una política de gestión de contraseñas que contiene las pautas necesarias para generar e implementar claves seguras para el usuario final manteniendo su usabilidad, con el objetivo de mejorar la seguridad de los sistemas de información y capacitar a estos usuarios en cuanto a la protección de los datos de la organización

POLÍTICA DE GESTIÓN DE CONTRASEÑAS PARA USUARIOS FINALES

Este artículo contiene el ciclo de vida de una contraseña, que va desde la generación hasta su tiempo de expiración. Adicionalmente, se presenta una política de gestión de contraseñas que contiene las pautas necesarias para generar e implementar claves seguras para el usuario final manteniendo su usabilidad, con el objetivo de mejorar la seguridad de los sistemas de información y capacitar a estos usuarios en cuanto a la protección de los datos de la organización