ProcurePass: A User Authentication Protocol to Resist Password Stealing and Password Reuse Attack

CellphoneとSMSを利用することで,パスワードの盗難と再利用攻撃(Password Reuse Attack: アカウントリスト攻撃?)に対抗できるユーザ認証プロトコルを考案した,という論文.
携帯通信事業者を個人認証の仕組みの1つとして利用しつつ,Webサービス運用側にも認証要求をSMSで受け付けるため電話番号を持つことを必要とする仕組み.
(ISCBI 2013).

Read more

MoiPrivacy: Design and Evaluation of a Personal Password Meter

多くのパスワードには個人情報が含まれていて,推測攻撃を容易にする原因と
なっている.その一方でパスワード強化の指標となるパスワードメータは,
利用者の個人情報のことを考慮していない.そこで利用者の個人情報も配慮した
パスワードメータMoiPrivacyを提案し,実験を通じて評価した論文.
(MUM 2020).

Read more

DeepMnemonic: Password Mnemonic Generation via Deep Attentive Encoder-Decoder Model

パスワードによる個人認証を安全に運用する方法の1つはランダムなパスワードを
ユーザに使わせることである.が,問題はそれを記憶できないという点である.
そこでランダムなパスワードを記憶するのに助けになる文章をニーモニックとして
生成するシステムを機械学習を用いて実現した.という論文
(IEEE Trans. on Dependable and Secure Computing. 2020)

Read more

On Multiple Password Interference of Touch Screen Patterns and Text Passwords

「パターンロックを複数個保持」するのと「文字列パスワードを複数個保持」するのでは,どちらの方が記憶保持可能か?という調査を行なった論文(CHI 2016).
3個であればパターンロックの方が良い結果になったとのことだが,個数が増えると有意差はないという結果も示されている.

Read more

How Do We Create a Fantabulous Password?

発音可能で安全なパスワードをどう作成するか,に関する研究論文(WWW 2020).
ポートマントー(Portmanteau)というものが存在することを初めて知った.

Read more

Password management strategies for online accounts

大学生のオンラインアカウントにおけるパスワードの管理方法についての調査を行った論文(SOUPS 2006).
オンラインアカウントの窃取(identity theft)が問題になっている.
特に複数のサービスでパスワードを再利用している場合,その脅威はさらに大きくなる.
我々は49人の学部生を対象に,パスワードの個数と再利用状況について調査した.
その結果,多くのユーザのパスワード個数は3個かそれ以下であり再利用していることが明らかになった.またユーザアカウントの数が増えるほど,再利用率が高くなることが分かった.
また,現在のシステムがパスワード管理においてあまり良い支援方法となっていないことと,Webにおける個人認証とパスワードマネージャの方向性について議論する.

Read more

Measuring password guessability for an entire university

大学の教員や学生が実際に使用しているパスワードの調査を行った論文(CCS 2013).
パスワードの研究は多数あるが,調査に用いられているデータセットが実際に使用されているパスワードデータとは異なるため,本当の意味でのパスワードの特性は未だ理解できているとは言えない.
そこで複雑なパスワードポリシーを課している大学の教員・学生25,000人のSSOパスワードを用いて調査を実施した.調査方法は最新のパスワード推測ツールによるoffline-attackである.
その結果,パスワードの強度とユーザの属性・行動的要因とに有意な相関が見られた.またパスワードの安全性が高いほど,入力エラー率も高くなることが分かった.

Read more

Encountering stronger password requirements: user attitudes and behaviors

パスワードポリシーが変更になった時,ユーザはどう振る舞うか?を調査した論文(SOUPS 2010).
大学の情報システムにおけるパスワードポリシーが変更になった時に調査を実施.パスワードの生成と利用に関する調査と,変更されたポリシーに関する意見を聴取した.調査結果は,技術的観点だけでなく,パスワードポリシー更新に対してユーザがどう振る舞うかも考慮しているため,より良いパスワードポリシーを設計する上で役立つ.

Read more