Comments
Description
Transcript
パスワード研究の動向 - Researchmap
パスワード研究の動向 <Web公開版> 2014年12月5日(金) 第67回情報処理学会コンピュータセキュリティ研究発表会 招待講演 金岡 晃(東邦大学) 自己紹介 金岡 晃(かなおか あきら) 東邦大学 理学部 情報科学科 講師 情報通信研究機構(NICT) ネットワークセキュリティ研究所 招へい専門員 • 専門分野 – セキュリティとプライバシのユーザビリティ – 暗号実装・応用 • IDベース暗号のシステム実装と運用 • 検索可能暗号 – ネットワークセキュリティ • ネットワークシステムの最適設計 • DDoS対策 • その他 – 電子メール:akira.kanaoka AT is.sci.toho-u.ac.jp – Twitter: akirakanaoka – facebook: 金岡晃(Akira Kanaoka) 2 2014/12/5 CSEC 67 経歴と研究・業務内容 ポジション 研究・業務内容 修士(東邦大) 通信理論 (有色雑音下での最適CDMA) 博士(東邦大→筑波大) ネットワークセキュリティ (侵入検知システム+機械学習) 研究員(セコム) ネットワークセキュリティ+電子認証 ポスドク研究員 (筑波大) NEDO半導体アプリケーションチッププロジェ クト「Pairing Liteの研究開発」 (ペアリングを用いた暗号の応用検討) 教員(筑波大) 教員(東邦大) 3 招へい 専門員 (NICT) 2014/12/5 セキュリティとプライバシのユーザビリティ+ 暗号の応用+ネットワークセキュリティ CSEC 67 目的 パスワード関連の研究が最先端の場で いまだに多く行われている 概観しよう そして今後の研究に Outline 論文のサーベイ 結果の紹介 特筆すべき人・チーム キーとなる論文の紹介 7 2014/12/5 CSEC 67 論文調査から見える 動向 論文のサーベイ ターゲット:高いレベルのセキュリティ国際会議 IEEE Symposium on Security and Privacy (S&P) USENIX Security Symposium ACM Conference on Computer and Communications Security (CCS) ターゲット:専門性の高い国際会議 ACM Conference on Human Factors in Computing Systems (CHI) Symposium on Usable Privacy and Security (SOUPS) 9 2014/12/5 CSEC 67 論文の絞り込みとジャンル分け ターゲット:高いレベルの セキュリティ国際会議 ターゲット:専門性の高い 国際会議 10 2014/12/5 ここ5年に絞る (2010-2014) CSEC 67 分類 発表元の国際会議とその本数 本数:43本 会議名 年度 本数 会議名 年度 本数 会議名 年度 本数 IEEE S&P (4) 2010 0 2010 2 2 0 2011 0 SOUPS (10) 2010 2011 ACM CCS (6) 2011 1 2012 3 2012 0 2012 2 2013 0 2013 3 2013 3 2014 1 2014 1 2014 2 2010 0 2010 2 5 2011 0 2011 4 2009 以前 2012 1 2012 1 2014 1 2013 0 2013 1 2014 6 2014 2 USENIX Security (7) 11 ACM CHI (10) 2014/12/5 その他 (6) CSEC 67 結果:本数と分類 ユーザ振る舞い調査 :11本 パスワードデータ解析 :9本 グラフィカルパスワード :9本 パスワードを強化する仕組み :6本 その他 :5本 パスワードデータを守る仕組み :3本 本数:43本 ※各論文を1つのジャンルにあてはめました。 強化の仕組みを提案し、その提案手法でユーザ振る舞い調査をするなど、 ジャンルが複数にまたがる論文もありますが、どの要素が強いかを金岡が判断し、 1本1ジャンルで分類しました。 12 2014/12/5 CSEC 67 特筆すべき チーム・人 CUPS (CyLab Usable Privacy and Security Laboratory) Carnegie Mellon University 43本中9本 http://cups.cs.cmu.edu/ 画像は上記URLのスクリーンキャプチャ(2014年12月5日時点) 14 2014/12/5 CSEC 67 Joseph Bonneau Postdoctoral Fellow, Princeton University http://www.jbonneau.com/ 画像は上記URLのスクリーンキャプチャ (2014年12月5日時点) 15 2014/12/5 43本中3本 CSEC 67 IEEE S&P 2012 Session 11: Passwords Guess again (and again and again): Measuring password strength by simulating password-cracking algorithms Patrick Gage Kelley, Saranga Komanduri, Michelle L. Mazurek, Richard Shay, Tim Vidas, Lujo Bauer, Nicolas Christin, Lorrie Faith Cranor, and Julio Lopez (Carnegie Mellon University) slides The science of guessing: analyzing an anonymized corpus of 70 million passwords Joseph Bonneau (University of Cambridge) [SoK] The quest to replace passwords: A framework for comparative evaluation of web authentication schemes Joseph Bonneau (University of Cambridge), Cormac Herley (Microsoft Research), Paul C. van Oorschot (Carleton U), and Frank Stajano (University of Cambridge) IEEE S&P 2012 Session 11: Passwords Guess again (and again and again): Measuring password strength by simulating password-cracking algorithms Patrick Gage Kelley, Saranga Komanduri, Michelle L. Mazurek, Richard Shay, Tim Vidas, Lujo Bauer, Nicolas Christin, Lorrie Faith Cranor, and Julio Lopez (Carnegie Mellon University) slides Kellyらの論文での Section VII謝辞の冒頭 The science of guessing: analyzing an anonymized corpus of 70 million passwords Joseph Bonneau (University of Cambridge) [SoK] The quest to replace passwords: A framework for comparative evaluation of web authentication schemes Joseph Bonneau (University of Cambridge), Cormac Herley (Microsoft Research), Paul C. van Oorschot (Carleton U), and Frank Stajano (University of Cambridge) キーとなる 論文の紹介 • The quest to replace passwords: A framework for comparative evaluation of web authentication schemes Joseph Bonneau (University of Cambridge), Cormac Herley (Microsoft Research), Paul C. van Oorschot (Carleton U), and Frank Stajano (University of Cambridge) IEEE S&P 2012 ジャンル:その他 19 2014/12/5 CSEC 67 Abstract • SoK (Systematization of Knowledge) Paper: – 新規性には欠けるが、体系立てた整理や評価など、コミュニ ティにとって高い価値のある論文 • Webにおいてパスワードに変わる認証方式がこれまで多く提案され てきたが、なぜパスワードが生き残っているのか、調べるために、 Web認証スキームの比較評価を行うフレームワークを提案 • フレームワークをもとに、具体的な評価項目と評価対象スキームを 揃え、評価した – 11カテゴリ35スキームを、25評価項目により評価 20 2014/12/5 CSEC 67 評価の軸と、各評価項目 • 従来: UsabilityとSecurity – トレードオフの関係にあると言われてきていた • 単純な線形(直線?)の関係ではない • 第3の軸の導入:Deployability (配置容易性、入れやすさ) 評価軸 各評価項目(Benefits) Usability U1: Memorywise-Effortless U2: Scalable-for-Users U3: Nothing-to-Carry U4: Physically-Effortless U5:Easy-to-Learn U6: Efficient-to-Use U7:Infrequent-Erros U8: Easy-Recovery-from-Loss Deployability D1: Accessible D2: Negligible-Cost-per-User D3: Server-Compatible D4: Client-Compatible D5: Mature D6: Non-Proprietary Security S1: Resilient-to-Physical-Observation S2: Resilient-to-Targeted-Impersonation S3: Resilient-to-Throttled-Guessing S4: Resilient-to-Unthrottled-Guessing S5: Resilient-to-Internal-Observation S6: Resilient-to-Leaks-from-Other-Verifiers S7: Resilient-to-Phishing S8: Resilient-to-Theft S9: No-Trusted-Third-Party S10: Requiring-Explicit-Consent S11: Unlinkable 21 2014/12/5 CSEC 67 評価対象:11カテゴリ、25手法 22 カテゴリ 手法 Password managers Firefox, LastPass Proxy URRSA, Impostor Federated OpenID, Microsoft Passport, Facebook Connect, BrowserID, OTP over email Graphical PCCP, PassGo Cognitive GrIDsure, Weinshall, Hopper Blum, Word Association Paper tokens OTPW, S/KEY, PIN+TAN Visual crypto Pass Window Hardware tokens RSA SecurID, Yubikey, Ironkey, CAP reader, Pico Phone-based Phoolproof, Cronto, MP-Auth, OTP over SMS, Google 2-step Biometric Fingerprint, Iris, Voice Recovery Personal knowledge, Preference-based, Social re-auth 2014/12/5 CSEC 67 評価手法と結果 Benefit: その項目のBenefitを 提供するか ●:提供する ○:ほとんど提供する 空欄:提供しない Better than Password: パス ワードより良いか 緑斜線:良い 赤斜線:悪い 空欄:同じ http://www.lightbluetouchpaper.org/wpcontent/uploads/2012/05/matrix.png 画像は上記URLのものを張り付けたものです。 23 2014/12/5 CSEC 67 • Testing Metrics for Password Creation Policies by Attacking Large Sets of Revealed Passwords Matt Weir (Florida State Univ.) , Sudhir Aggarwal (Florida State Univ.) , Michael Collins (Redjack ) , Henry Stern (Cisco) ACM CCS 2010 ジャンル:パスワードデータ解析 24 2014/12/5 CSEC 67 RockYou.com data set • 32 million real user passwords – obtained by attackers using SQL injection – posted the passwords online 25 2014/12/5 CSEC 67 Password length and Percentage of passwords cracked: only lower characters ※論文P.166のFigure4.2.1より引用 26 2014/12/5 CSEC 67 Password length and Percentage of passwords cracked: characters + numbers ※論文P.166のFigure4.2.2より引用 27 2014/12/5 CSEC 67 Top 10 Digits found in the RockYou data, and Password Information from the RockYou data ※論文P.166のTable 4.2.2より引用 ※論文P.166のTable 4.2.1より引用 28 2014/12/5 CSEC 67 How digits are used in 7+ character passwords ※論文P.167のTable 4.2.3より引用 29 2014/12/5 CSEC 67 Un-optimized attack V.S. Optimized attack Un-optimized ※論文P.166の Figure 4.2.3より引用 Optimized Trained using other data sets ※論文P.166の Figure 4.2.4より引用 30 2014/12/5 CSEC 67 Cracking using trained dictionary Not satisfied to NIST level ※論文P.168のTable 4.2.4より引用し、強調部分を追記(強調部分は金岡による) 31 2014/12/5 CSEC 67 Comparing the NIST Estimated Cracking Speed V.S. a Real Life Attack ※論文P.167のFigure 4.2.6より引用 32 2014/12/5 CSEC 67 • Guess again (and again and again): Measuring password strength by simulating passwordcracking algorithms Patrick Gage Kelley, Saranga Komanduri, Michelle L. Mazurek, Richard Shay, Tim Vidas, Lujo Bauer, Nicolas Christin, Lorrie Faith Cranor, and Julio Lopez (Carnegie Mellon University) IEEE S&P 2012 ジャンル:パスワードデータ解析 33 2014/12/5 CSEC 67 Abstract • • • • パスワードの構成ポリシー(Composition Policy)の効果を測りたい – これまでは出来ていない – 漏えいしたパスワード群だとポリシーがどう反映されていたかがわか らない Amazon Mechanical Turk(MTurk)により被験者を募集 – 8種類の構成ポリシーでパスワードを構成してもらい、計12,000のパス ワードを収集 パスワード推測攻撃に対する強度が、構成ポリシーの違いにより差がでる かを調査 結果 – 記号や数値、大文字小文字の混成は強度高し – ただ8文字混成パスワードだったら、ポリシなし16文字パスワードのほ うが強かった 以降のスライドで本論文の引用について言及しているときは、共著者のLujo Bauerが公開しているバージョン ( https://www.ece.cmu.edu/~lbauer/papers/2012/oakland2012-guessing.pdf )内の ページ数や図表番号をします 34 2014/12/5 CSEC 67 8種類のパスワード構成ポリシ basic8survey ポリシ:最低8文字 シナリオ:「この後簡単な調査をしてもらいます。調査提出にはパス ワード認証が必要ですのでパスワード設定してください」と指示 basic8 ポリシ:最低8文字 シナリオ:「メールアカウントのパスワードを変更しなくてはいけな くなりました。パスワードを設定してください」と指示(メールシナ リオ。以下すべてメールシナリオ) basic16 ポリシ:最低16文字 dictionary8 ポリシ:最低8文字+辞書に含まれる用語を含まない(アルファベッ ト以外を除いて、辞書と照合。Ignore case。) comprehensive8 ポリシ:最低8文字+辞書×+大文字・小文字含む+記号含む+数字 含む blacklistEasy ポリシ:最低8文字+Unix辞書と照合(アルファベット除かない) blacklistMedium ポリシ:最低8文字+Openwall listと照合 blacklistHard ポリシ:最低8文字+500億語辞書(Weirによるアルゴリズム利用) 35 2014/12/5 CSEC 67 評価 • Guess-Number Calculators – パスワード推測用の手法 1. トレーニングセット 2. BFM Caluculator 1. マルコフ連鎖を使ったルーズなブルートフォース攻撃 3. Weir Algorithm Calculator 1. より複雑なアルゴリズム。パスワード構造の差による 確率にしたがい推測の順序を決定 • 巨大なルックアップテーブルを持つことになるWeir Algorithmを分散化。 – Hadoop利用 – 64ノードクラスタ – 何千億の要素 – 1.3TB 36 2014/12/5 CSEC 67 結果:Weir Algorithm Calculator利用 ※論文7ページ目のFigure 1より引用 1秒 37 2014/12/5 1日 64年/コア CSEC 67 結果:BFM Calculator利用 ※論文8ページ目のFigure 3より引用 38 2014/12/5 CSEC 67 結果:トレーニングデータによる違い P3:Unix Dictionary P4:Openwall list Dictionary E:収集した パスワード ※論文9ページ目のFigure 4より引用 39 2014/12/5 CSEC 67 ポリシ設定の差による強度変化 comprehensive8 記号・数字・大文字 小文字混合ポリシに より作成されたパス ワード群 comprehensive Subset 他のポリシだが、結 果的に comprehensive8の ポリシを満たしてい るパスワード群 ※論文10ページ目のFigure 6より引用 40 2014/12/5 CSEC 67 これまでの予測との差 ※論文11ページ目のFigure 7より引用 41 2014/12/5 CSEC 67 • How Does Your Password Measure Up? The Effect of Strength Meters on Password Creation Blase Ur, Patrick Gage Kelley, Saranga Komanduri, Joel Lee, Michael Maass, Michelle L. Mazurek, Timothy Passaro, Richard Shay, Timothy Vidas, Lujo Bauer, Nicolas Christin, and Lorrie Faith Cranor, Carnegie Mellon University USENIX Security 2012 ジャンル:パスワードを強化する仕組み 42 2014/12/5 CSEC 67 Abstract • Webサイトなどのパスワード登録時、入力されたパスワードの強度 を示すようなパスワードメータが配置されることがある • 広く利用されているがその効果はきちんと調べられていない • 14種のパスワードメータを対象 • MTurkを用い、被験者によりパスワードを生成してもらう – 特徴評価:メータごとのパスワード長、数値の利用、大文字・ 小文字の利用 – パスワード推測攻撃の耐性評価 43 2014/12/5 CSEC 67 メータの種類 ※論文P.3 Figure 1より引用 44 2014/12/5 CSEC 67 メータの種類 • • • • 45 Control Conditions – No meter – Baseline meter Conditions Differing in Appearance – Three-segment – Green – Tiny – Huge – No suggestions – Text-only Conditions Differing in Scoring – Half-score – One-third-score – Nudge-16 – Nudge-comp8 Conditions Differing in Multiple Ways – Text-only half-score – Bold text-only half-score – Bunny 2014/12/5 CSEC 67 メータ種類によるパスワード長などの違い ※論文P.7 Table 1より引用 46 2014/12/5 CSEC 67 メータ種類による推測攻撃への耐性 ※論文P.9 Figure 3より引用 47 2014/12/5 CSEC 67 • Quantifying the Security of Graphical Passwords: The Case of Android Unlock Patterns Sebastian Uellenbeck (Ruhr-University Bochum), Markus Dürmuth (Ruhr-University Bochum), Christopher Wolf (Ruhr-University Bochum), Thorsten Holz (Ruhr-University Bochum) ACM CCS 2013 ジャンル:パスワードデータ解析 48 2014/12/5 CSEC 67 概要 • グラフィカルパスワードに注目 – 人間はビジュアルな記憶のほうがDevelopedされている • AndroidのUnlock Patternに注目 – 3x3のグリッド – ストローク数が制限 • 大規模ユーザスタディから得たデータによりマルコフ連鎖をもとにモデ ルを作成し、強度を数値化 • 得られた結果 – 左上の点と3点を使った直線がとても典型的な選択戦略 – 情報量は低い – ランダムな3桁PINの強度より低い(9.10ビット) • ユーザの20%のパスワードを推測するのにかかる時間 • 結果をもとに改良提案 – 小さい改良、だけど効果的:パターンレイアウト – 9.10ビット→10.81ビット 49 2014/12/5 CSEC 67 ユーザ実験 • 584人の参加者から2900のパターンを取得 • 105人に紙でインタビュー • 113人に攻撃実験させる 50 2014/12/5 CSEC 67 分析結果(1) ※論文P.163 Figure 1,2より引用 51 2014/12/5 CSEC 67 分析結果(2) ※論文P.166 Figure 3より引用 52 2014/12/5 CSEC 67 分析結果(3) ※論文P.167 Table 2より引用 α=x:全体のx%を推測するのに必要な情報量 53 2014/12/5 CSEC 67 分析結果(4) ※論文P.169 Figure 7より引用 54 2014/12/5 CSEC 67 分析結果(5) ※論文P.169 Figure 8より引用 55 2014/12/5 CSEC 67 改良提案とその効果 ※論文P.169 Figure 9から13 より引用 56 2014/12/5 CSEC 67 分析結果:改良提案 ※論文P.170 Figure 15より引用 57 2014/12/5 CSEC 67 • The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis Yinqian Zhang, Fabian Monrose, Michael K. Reiter (Univ. of North Carolina at Chapel Hill) ACM CCS 2010 ジャンル:パスワードデータ解析 58 2014/12/5 CSEC 67 変換木 ユーザは パスワードが失効されると 前回と似たパスワードを 設定する 変換Tで木を構成 変換 ※論文P.178 Figure 1より引用 59 2014/12/5 CSEC 67 Expected Min Transform Search (emts) ※論文P.178 より引用 δrからπrを見つけだすための予想コストを最小にするOrderを求める → Expected Min Transform Search問題 NP困難 60 2014/12/5 CSEC 67 近似アルゴリズム ※論文P.179 Figure 2より引用 61 2014/12/5 CSEC 67 変換方法の種類 𝑇ED : Edit distance 𝑇EDM : Edit distance 𝑇LI : 𝑇LIP : 62 with substring moves Hand-crafted location-independent transforms Pruned hand-crafted location-independent transforms 2014/12/5 CSEC 67 変換木 ユーザは パスワードが失効されると 前回と似たパスワードを 設定する 変換Tで木を構成 変換 これは TLI ※論文P.178 Figure 1より引用 63 2014/12/5 CSEC 67 TLIの種類 ※論文P.179 より引用 64 2014/12/5 CSEC 67 Evaluation:データ • 大学がもつシステムONYEN(著者らの所属大学のシステム)の データセットを利用 • ポリシは右図 • 3ヶ月ごとの変更 ※論文P.180より引用 • 2004-2009で消滅したアカウント10374個から51141個のパス ワード – それをJohn the Ripperで解読 – 7936個のアカウントと31075個のパスワードを取得 65 2014/12/5 CSEC 67 Evaluation: 何回の変換で元のパスワードが復元できるか ※論文P.181 Figure 5より引用 66 2014/12/5 CSEC 67 Evaluation:何秒で復元できるか ※論文P.182 Figure 6より引用 67 2014/12/5 CSEC 67 ユーザは同じ変換をする ※論文P.183 Figure 9より引用 68 2014/12/5 CSEC 67 ユーザは同じ変換をする ※論文P.184 Figure 10より引用 69 2014/12/5 CSEC 67 まとめ • パスワードの失効は広く使われている • 本研究は最初の大規模測定 – 実際どれだけ予測されてしまうのか • 新しい検索フレームワークを提案 • 予想されているより失効の効果は弱いことが判明 • 特定タイプの変換は同一ユーザが繰り返す可能性が高い 70 2014/12/5 CSEC 67 その他参照すべき論文 71 2014/12/5 CSEC 67 • An Administrator’s Guide to Internet Password Research Dinei Florêncio and Cormac Herley, Microsoft Research; Paul C. van Oorschot, Carleton University USENIX LISA 2014 情報が整理されていて 概観するにはとても良い資料 ジャンル:その他 72 2014/12/5 CSEC 67 ピックアップした論文一覧 73 2014/12/5 CSEC 67 IEEE Symp. on Security and Privacy A Study of Probabilistic Password Models Jerry Ma, Weining Yang, Min Luo, and Ninghui Li (Purdue University) http://www.ieee- 2014 security.org/TC/SP2014/papers/AStudyofProb 解析 abilisticPasswordModels.pdf Guess again (and again and Patrick Gage Kelley, Saranga Komanduri, Michelle again): Measuring password L. Mazurek, Richard Shay, Tim Vidas, Lujo Bauer, http://ieeexplore.ieee.org/xpl/articleDetails.js 解析 2012 p?arnumber=6234434 Nicolas Christin, Lorrie Faith Cranor, and Julio strength by simulating password-cracking algorithms Lopez (Carnegie Mellon University) The science of guessing: 解析 analyzing an anonymized corpus Joseph Bonneau (University of Cambridge) 2012 http://ieeexplore.ieee.org/xpl/articleDetails.js p?arnumber=6234435 of 70 million passwords The quest to replace Joseph Bonneau (University of Cambridge), passwords: A framework for Cormac Herley (Microsoft Research), Paul C. van その他 2012 http://research.microsoft.com/pubs/161585/ QuestToReplacePasswords.pdf Oorschot (Carleton U), and Frank Stajano comparative evaluation of web (University of Cambridge) authentication schemes 74 2014/12/5 CSEC 67 USENIX Security David Silver, Suman Jana, and Dan Boneh, Stanford Password Managers: Attacks and Defenses University; Eric Chen and Collin Jackson, Carnegie Mellon University The Emperor’s New Password Manager: Security Analysis of Web-based Password Managers Zhiwei Li, Warren He, Devdatta Akhawe, and Dawn Song, University of California, Berkeley A Large-Scale Empirical Analysis of Chinese Zhigong Li and Weili Han, Fudan University; Wenyuan Xu, Zhejiang University Web Passwords Password Portfolios and the Finite-Effort Dinei Florêncio and Cormac Herley, Microsoft User: Sustainably Managing Large Numbers Research; Paul C. van Oorschot, Carleton University of Accounts Telepathwords: Preventing Weak Passwords by Reading Users’ Minds Saranga Komanduri, Richard Shay, and Lorrie Faith Cranor, Carnegie Mellon University; Cormac Herley and Stuart Schechter, Microsoft Research Towards Reliable Storage of 56-bit Secrets Joseph Bonneau, Princeton University; Stuart Schechter, Microsoft Research in Human Memory 2014 https://www.usenix.org/co nference/usenixsecurity14 仕組み /technicalsessions/presentation/silve r 2014 https://www.usenix.org/co nference/usenixsecurity14 仕組み /technicalsessions/presentation/li_z hiwei 2014 https://www.usenix.org/co nference/usenixsecurity14 解析 /technicalsessions/presentation/li_z higong 2014 https://www.usenix.org/co nference/usenixsecurity14 仕組み /technicalsessions/presentation/flor encio 2014 https://www.usenix.org/co nference/usenixsecurity14 強化 /technicalsessions/presentation/kom anduri 2014 https://www.usenix.org/co nference/usenixsecurity14 強化 /technicalsessions/presentation/bon neau 2012 https://www.usenix.org/co nference/usenixsecurity12 強化 /technicalsessions/presentation/ur Blase Ur, Patrick Gage Kelley, Saranga Komanduri, How Does Your Password Measure Up? The Joel Lee, Michael Maass, Michelle L. Mazurek, Timothy Passaro, Richard Shay, Timothy Vidas, Lujo Effect of Strength Meters on Password Bauer, Nicolas Christin, and Lorrie Faith Cranor, Creation Carnegie Mellon University 75 2014/12/5 CSEC 67 ACM CCS Security Analyses of Click-based Graphical Passwords via Image Point Memorability Bin B. Zhu, Jeff Yan, Dongchen Wei, Maowei Yang グラフィカル 2014 l=ACM&coll=DL&CFID=594675058&CFTOKEN =61263255 Honeywords: Making PasswordCracking Detectable Ari Juels (RSA), Ronald Rivest (MIT) 2013 =2516671&CFID=594675058&CFT 強化 Quantifying the Security of Graphical Passwords: The Case of Android Unlock Patterns Sebastian Uellenbeck (Ruhr-University Bochum), Markus Dürmuth (Ruhr-University Bochum), Christopher Wolf (Ruhr-University Bochum), Thorsten Holz (Ruhr-University Bochum) 2013 =2516700&CFID=594675058&CFT 解析 http://dl.acm.org/citation.cfm?id=2660364&d http://dl.acm.org/citation.cfm?id OKEN=61263255 http://dl.acm.org/citation.cfm?id OKEN=61263255 Michelle L. Mazurek (Carnegie Mellon University), Saranga Komanduri (Carnegie Mellon University), Timothy Vidas (Carnegie Mellon University), Lujo Bauer Measuring Password Guessability for (Carnegie Mellon University), Nicolas Christin (Carnegie Mellon University), Lorrie Faith Cranor (Carnegie an Entire University Mellon University), Patrick Gage Kelley (University of New Mexico), Richard Shay (Carnegie Mellon University), Blase Ur (Carnegie Mellon University) 2013 =2516726&CFID=594675058&CFT 解析 Testing metrics for password creation Matt Weir, Sudhir Aggarwal, Michael Collins, Henry policies by attacking large sets of Stern revealed passwords 2010 =1866327&CFID=594675058&CFT 解析 The security of modern password expiration: an algorithmic framework Yinqian Zhang, Fabian Monrose, Michael K. Reiter and empirical analysis 2010 =1866328&CFID=594675058&CFT 解析 76 2014/12/5 http://dl.acm.org/citation.cfm?id OKEN=61263255 http://dl.acm.org/citation.cfm?id OKEN=61263255 http://dl.acm.org/citation.cfm?id OKEN=61263255 CSEC 67 ACM CHI Can Long Passwords be Secure and Usable? Richard Shay, Saranga Komanduri, Adam L. Durity, Phillip (Seyoung) Huh, Michelle L. Mazurek, Sean M. Segreti, Blase Ur, Lujo Bauer, Nicolas Christin, Lorrie Faith Cranor The presentation effect on graphical Julie Thorpe, Muath Al-Badawi, Brent MacRae, Amirali SalehiAbari passwords Does my password go up to eleven?: Serge Egelman, Andreas Sotirakopoulos, Ildar Muslukhov, the impact of password meters on Konstantin Beznosov, Cormac Herley password selection Increasing the security of gaze-based cued-recall graphical passwords using Andreas Bulling, Florian Alt, Albrecht Schmidt saliency masks Of passwords and people: measuring Saranga Komanduri, Richard Shay, Patrick Gage Kelley, Michelle the effect of password-composition L. Mazurek, Lujo Bauer, Nicolas Christin, Lorrie Faith Cranor, Serge Egelman policies Exploring implicit memory for painless Tamara Denning, Kevin Bowers, Marten van Dijk, Ari Juels password recovery http://dl.acm.org/citation.cfm?id=255 強化 2014 7377&CFID=594675058&CFTOKEN=61 263255 http://dl.acm.org/citation.cfm?id=255 グラフィカル 2014 7212&CFID=594675058&CFTOKEN=61 263255 http://dl.acm.org/citation.cfm?id=248 強化 2013 1329&CFID=594675058&CFTOKEN=61 263255 http://dl.acm.org/citation.cfm?id=220 グラフィカル 2012 8712&CFID=594675058&CFTOKEN=61 263255 http://dl.acm.org/citation.cfm?id=197 ユーザ調査 2011 9321&CFID=594675058&CFTOKEN=61 263255 http://dl.acm.org/citation.cfm?id=197 その他 2011 9323&CFID=594675058&CFTOKEN=61 263255 Self-reported password sharing strategies Joseph 'Jofish' Kaye ユーザ調査 2011 9324&CFID=594675058&CFTOKEN=61 263255 A diary study of password usage in daily life Eiji Hayashi, Jason Hong ユーザ調査 2011 9326&CFID=594675058&CFTOKEN=61 263255 The true cost of unusable password Philip G. Inglesant, M. Angela Sasse policies: password use in the wild Shoulder-surfing resistance with eyeAlain Forget, Sonia Chiasson, Robert Biddle gaze entry in cued-recall graphical 77 2014/12/5 passwords http://dl.acm.org/citation.cfm?id=197 http://dl.acm.org/citation.cfm?id=197 http://dl.acm.org/citation.cfm?id=175 ユーザ調査 2010 3384&CFID=594675058&CFTOKEN=61 263255 http://dl.acm.org/citation.cfm?id=175 CSEC 67 グラフィカル 2010 3491&CFID=594675058&CFTOKEN=61 263255 SOUPS The Password Life Cycle: User Behaviour in Managing Passwords Applying Psychometrics to Measure User Comfort when Constructing a Strong Password On The Ecological Validity of a Password Study Usability and Security Evaluation of GeoPass: a Geographic LocationPassword Scheme Memory Retrieval and Graphical Passwords Correct horse battery staple: Exploring the usability of system-assigned passphrases Do You See Your Password? Applying Recognition to Textual Passwords Shoulder Surfing Defence for Recallbased Graphical Passwords https://www.usenix.or Elizabeth Stobert and Robert Biddle (Carleton University) ユーザ調査 2014 g/conference/soups20 14/proceedings/presen tation/stobert https://www.usenix.or g/conference/soups20 ユーザ調査 14/proceedings/presen tation/haque S M Taiabul Haque, Shannon Scielzo, and Matthew Wright, The University of Texas at Arlington 2014 Sascha Fahl, Matthew Smith, and Marian Harbach (DCSEC, Leibniz University Hannover) 2013 /soups/2013/proceedi ngs/a13_Fahl.pdf Julie Thorpe and Brent MacRae (University of Ontario Institute of Technology) and Amirali Salehi-Abari (University of Toronto) 2013 /soups/2013/proceedi ngs/a14_Thorpe.pdf Elizabeth Stobert and Robert Biddle (Carleton University) 2013 /soups/2013/proceedi ngs/a15_Stobert.pdf Richard Shay, Patrick Gage Kelley, Saranga Komanduri, Michelle L. Mazurek, Blase Ur, Tim Vidas, Lujo Bauer, Nicolas Christin, Lorrie Faith Cranor, Carnegie Mellon University 2012 /soups/2012/proceedi ngs/a7_Shay.pdf Nicholas Wright, Carleton University Andrew S. Patrick, Carleton University Robert Biddle, Carleton University Nur Haryani Zakaria, Newcastle University, UK David Griffiths, Newcastle University, UK Sacha Brostoff, University College London, UK Jeff Yan, Newcastle University, UK http://cups.cs.cmu.edu http://cups.cs.cmu.edu http://cups.cs.cmu.edu http://cups.cs.cmu.edu http://cups.cs.cmu.edu 2012 /soups/2012/proceedi ngs/a8_Patrick.pdf その他 グラフィカル グラフィカル ユーザ調査 グラフィカル https://cups.cs.cmu.ed グラフィカル 2011 u/soups/2011/proceed ings/a6_Zakaria.pdf Encountering Stronger Password Richard Shay, Saranga Komanduri, Patrick Gage Kelley, https://cups.cs.cmu.ed ユーザ調査 Pedro Giovanni Leon, Michelle L. Mazurek, Lujo Bauer, Requirements: User Attitudes and 2010 u/soups/2010/proceed ings/a2_shay.pdf Nicolas Christin and Lorrie Faith Cranor Behaviors https://cups.cs.cmu.ed A Closer Look at Recognition-based グラフィカル Paul Dunphy, Andreas Heiner and N. Asokan 2010 u/soups/2010/proceed ings/a3_dunphy.pdf Graphical Passwords on Mobile Devices 78 2014/12/5 CSEC 67 その他 Anne Adams, Martina Angela Sasses Communications of the ACM 1999 id=322806 R. Morris, K. Thompson Communications of the ACM 1979 id=359172 Dinei Florencio and Cormac Herley WWW 2007 2007 id=1242661 An Administrator’s Guide to Dinei Florêncio and Cormac Herley, Microsoft Research; Paul C. van Internet Password Research Oorschot, Carleton University USENIX LISA 2014 ence/lisa14/conference2014 program/presentation/florenci その他 Users are not the enemy Password security: a case history A large-scale study of web password habits 79 2014/12/5 http://dl.acm.org/citation.cfm? ユーザ調査 http://dl.acm.org/citation.cfm? その他 http://dl.acm.org/citation.cfm? ユーザ調査 https://www.usenix.org/confer o CSEC 67 今後の展望 新しい認証:パスワードのDeployabilityを超えられるか パスワードマネージャに対する研究 パスワード解析:データをどう取得していくか 81 2014/12/5 CSEC 67 まとめ 論文調査から見える動向 43本。カテゴリ分け。 特筆すべき人・チーム CMUのCUPS、PrincetonのJoseph Bonneau キーとなる論文の紹介 かいつまんでいくつかをご紹介 今後の展望 まだパスワード研究は続くと思います 82 2014/12/5 CSEC 67