Shirley Gaw, Edward W.Felten:
Password Management Strategies for Online Accounts,
Proc. of the second symposium on Usable privacy and security(SOUPS'06), pp.44-55, (2006)
ACM Digital Library
評価実験とアンケートをして,ユーザがWebサービスのパスワードをどのように使用しているか,またパスワードの運用や認証に対する脅威についてどのように認識しているかを調査し,報告している論文.
2006年の論文でこのタイトルなので,よほど新しいパスワード運用に関する新しい提案でもあるのかと思ったが,タイトルから期待するほど新しい知見はないようだ.
タイトルと若干のずれを感じるのだが,パスワードの共有(複数のサービスで同一のパスワードを使い回す(パスワードの再利用))に着目して評価なり調査をしている.つまり,同じパスワードを複数のサービスで使い回していると,あるサービスのパスワードがcrackされた場合,他のサービスのアカウントも悪用される恐れがあるよ.ということである.
また別の見方をすると,この論文は一般のユーザのパスワード認証に関する優良誤認を明確にしたと言えなくもない.「優良誤認」については,この記事がよい解説だと思うので,興味のある方は読んで頂きたい.
この論文から得たもっとも有益な情報はSOUP - Symposium On Usable Privacy and Securityという会議の存在を知った事かもしれない
以降はメモ書き
1. Introduction
- パスワード認証について言えば,「ユーザは敵(Users often are the enemy.)」である
- パスワード管理の"まずさ"は,認証システムをダメにする
- オンラインサービスのパスワード管理ツールは,ユーザの振る舞いを変更することなくパスワード管理を支援するが,得てして携帯電話やハードウェアトークンの所持に依存している.
2. Related Work
- 画像を利用した認証
- パスワード管理ツール、特にpassword hashシステムが提案されている
大抵はマスターパスワードとURLを使ってhashを行い、ユニークなパスワードをWebサービス毎に生成、またその機能をユーザから隠蔽する工夫もなされつつある.(例: LPWA、PwdHash, Site Password)
- Webブラウザのパスワード管理機能(AutoComplete, Saved Password)
- ユーザには「パスワードポリシーを守らなければ!」という動機がない.動機付けが困難
4.2 Quantifying Password Reuse
- パスワードの共用が多数
- まったく同じパスワードを共用しており、よく言われる似ているけど些細な差をつけるといった工夫も行われていない
- ユニークなパスワードは数個しかない
- 認証できなかった理由
-- パスワードを忘れたと同程度発生しているのが、「アカウント名」を忘れたという事象
-- このサービスを利用していたのだけど、両方とも(アカウント/パスワード)ともに思い出せないというユーザも
- ログイン失敗は、ショッピングサイトで発生する事が多かった
- 利用するサービスが増加しても、ユーザが保持するユニークなパスワードは増加せず、パスワードの再利用率が高くなっていく
5.2 Justification of Password Practices
- パスワードを複数のサービスで共用しているか? している理由は?
-- 多数のパスワードを覚えていられないから(表3)
-- ほとんどのユーザが複数のサービスでパスワードを共有
- 掲示板のパスワードなんて気にしないよ(他のサイトのパスワードと共有してしまうよ).だって,それがcrackされたって,起こる被害は,オレになりかわって掲示板にメッセージを書き込むことぐらいだろ...
-- 本当か? 同じパスワードを他のサービスで共有していたとしたら...
- サービスの重要性によって,異なるパスワードを使っています.だから大丈夫
-- 同じ程度の重要度を持つサービスでは,同じパスワードを共有している
--- 何をもって「重要」と判断するのか?
- 個人的なコミュニケーションや財務情報に関連するサービスではパスワードを再利用しない傾向.これらは病歴情報よりも優先される傾向がある
* 病歴よりも財務情報の方が気をつかっている
* 病歴よりも個人的コミュニケーションの方に気をつかっている
* 財務情報と個人的コミュニケーションの間には,有意な差はなかった
** インタビューした被験者が若者ばかりだったので,病歴情報にあまり注意を払っていない結果に?
- プライベート情報に対しては,きちんとしたパスワードをつけ,他のサービスと共有しないようにしている
- パスワードの形式,文字種などの強制もある意味で有効に働いている
- システムによって生成されたパスワードを使用しない理由
-- それは一時的なものであり,自分で適切なパスワードを付与せよと指示されている
-- 他のサービスで使用しているパスワードを共用したいがため
■ 5.3 Methods of Storing Password
- 意外だが,多くのユーザが「記憶」によって保持している
- "Password reminder"を使っている人も多い
* password reminderとは,〃パスワードを忘れた場合"というボタンで,それを押すとパスワードをリセットし,新たなパスワードを事前に設定した電子メールアドレスに送付する.といったサービス
- cookieを使う人もいる.が,しかし
* パスワードを忘れる
=> その計算機以外でサービスを利用できなくなる
* 脆弱な場合(悪用される可能性)が少なからずある.
- 意外とソフトウェアツールは使われていない
=> 安全性に不安を持っているユーザが少なからずいる
* Webブラウザのパスワード管理ツールは,ユーザを特定のブラウザや計算機に縛りつけてしまうが,この問題はPortable Firefoxを使えば改善できる.Portable Firefoxとは,USBメモリにzip圧縮したFirefoxを格納して持ち歩き,出先で使用する方法らしい.
Firfox Portable - http://portableapps.com/ |Portable Firefox for Macintosh
■ User Model of Attack
一般ユーザが脅威をどのように捉えているか?
- 友人が一番crackingに成功しうる能力を持つと思っている.Cracking成功の可能性は,見知らぬCrackerよりも友人が危険だと多くの人は見ている
- 動機としては,競争相手やCrackerが一番であろうと見ている
- 友人が最もCrackingをする動機を有すると回答する人も少なからずいた
=> 友人は信用できる.というモデルは成り立たない可能性も
=> 女性は特に,以前親密にしていた人に狙われる可能性も少なからずあるという報告も
- 身近にいればいる程,好奇心に駆られてCrackingに走る可能性も!
- 性別によって脅威の感じ方は大きく異なる可能性も
- 関係の親密さは,推測の容易さにつながる.だから危険
■ Perceived Strength of Passwords
- randomイコール安全という意識を持つ人が多い
- 辞書攻撃やツールによる自動処理による攻撃を意識している人は少ない
-「推測される」というのが大きな脅威だと認識している人が多い
- 攻撃者は「人」であると仮定している人が多い
- パスワードマネージャにパスワードを記憶させるのではなく,ユーザがパスワードを学習できるような仕組みをWebブラウザに実装すべき
=> これならば,記憶の難しいパスワードを使用してくれる (それはどうかな〜)
=> Password generatorによるパスワード生成が現実的に!?
=> 覚えてくれば,そのような機能は利用しなくなるはず (これはそのサービスを繰り返し利用することが前提)
- 認証方法そのものを変更することも一つの改善方法
- パスワードは更新されない
- Webサービス側はパスワード更新を強制しにくい,それによってユーザが逃げてしまう恐れがあるため
- でも多くのユーザは「パスワードを変更しろ」と言われれば,多分,変更するだろう.と答えている
=> あるWebサービスに何回かアクセスしたら「パスワードを変更して下さい」とWebサービス側からユーザに問いかけるのはありではないか?
またこの論文の参考文献リスト[19]にあったWebの記事も,まさにパスワードの実態に関する調査報告であった.これもかなり最近の記事であるが,これって以前から言われていることであり,多くの人が「そうだろうな〜」と思っていることを調査により裏付けした.というだけのようであり,その結果から「じゃ,こうすべきでは」という新たな提案はない.ま,そういう記事か.確かに調査が大変なのは,わかっているつもりであるが...
Usability News 8.1, 2006 - Password Security: What Users Know and What they Actually do