...

パスワード研究の動向 - Researchmap

by user

on
Category: Documents
14

views

Report

Comments

Transcript

パスワード研究の動向 - Researchmap
パスワード研究の動向
<Web公開版>
2014年12月5日(金)
第67回情報処理学会コンピュータセキュリティ研究発表会 招待講演
金岡 晃(東邦大学)
自己紹介
金岡 晃(かなおか あきら)
東邦大学 理学部 情報科学科
講師
情報通信研究機構(NICT) ネットワークセキュリティ研究所 招へい専門員
• 専門分野
– セキュリティとプライバシのユーザビリティ
– 暗号実装・応用
• IDベース暗号のシステム実装と運用
• 検索可能暗号
– ネットワークセキュリティ
• ネットワークシステムの最適設計
• DDoS対策
• その他
– 電子メール:akira.kanaoka AT is.sci.toho-u.ac.jp
– Twitter: akirakanaoka
– facebook: 金岡晃(Akira Kanaoka)
2
2014/12/5
CSEC 67
経歴と研究・業務内容
ポジション
研究・業務内容
修士(東邦大)
通信理論
(有色雑音下での最適CDMA)
博士(東邦大→筑波大)
ネットワークセキュリティ
(侵入検知システム+機械学習)
研究員(セコム)
ネットワークセキュリティ+電子認証
ポスドク研究員
(筑波大)
NEDO半導体アプリケーションチッププロジェ
クト「Pairing Liteの研究開発」
(ペアリングを用いた暗号の応用検討)
教員(筑波大)
教員(東邦大)
3
招へい
専門員
(NICT)
2014/12/5
セキュリティとプライバシのユーザビリティ+
暗号の応用+ネットワークセキュリティ
CSEC 67
目的
パスワード関連の研究が最先端の場で
いまだに多く行われている
概観しよう
そして今後の研究に
Outline
論文のサーベイ
結果の紹介
特筆すべき人・チーム
キーとなる論文の紹介
7
2014/12/5
CSEC 67
論文調査から見える
動向
論文のサーベイ
ターゲット:高いレベルのセキュリティ国際会議
IEEE Symposium on Security and Privacy (S&P)
USENIX Security Symposium
ACM Conference on Computer and Communications Security (CCS)
ターゲット:専門性の高い国際会議
ACM Conference on Human Factors in Computing Systems (CHI)
Symposium on Usable Privacy and Security (SOUPS)
9
2014/12/5
CSEC 67
論文の絞り込みとジャンル分け
ターゲット:高いレベルの
セキュリティ国際会議
ターゲット:専門性の高い
国際会議
10
2014/12/5
ここ5年に絞る
(2010-2014)
CSEC 67
分類
発表元の国際会議とその本数
本数:43本
会議名
年度
本数
会議名
年度
本数
会議名
年度
本数
IEEE S&P
(4)
2010
0
2010
2
2
0
2011
0
SOUPS
(10)
2010
2011
ACM CCS
(6)
2011
1
2012
3
2012
0
2012
2
2013
0
2013
3
2013
3
2014
1
2014
1
2014
2
2010
0
2010
2
5
2011
0
2011
4
2009
以前
2012
1
2012
1
2014
1
2013
0
2013
1
2014
6
2014
2
USENIX
Security
(7)
11
ACM CHI
(10)
2014/12/5
その他
(6)
CSEC 67
結果:本数と分類
ユーザ振る舞い調査
:11本
パスワードデータ解析
:9本
グラフィカルパスワード
:9本
パスワードを強化する仕組み
:6本
その他
:5本
パスワードデータを守る仕組み
:3本
本数:43本
※各論文を1つのジャンルにあてはめました。
強化の仕組みを提案し、その提案手法でユーザ振る舞い調査をするなど、
ジャンルが複数にまたがる論文もありますが、どの要素が強いかを金岡が判断し、
1本1ジャンルで分類しました。
12
2014/12/5
CSEC 67
特筆すべき
チーム・人
CUPS
(CyLab Usable Privacy and Security Laboratory)
Carnegie Mellon University
43本中9本
http://cups.cs.cmu.edu/
画像は上記URLのスクリーンキャプチャ(2014年12月5日時点)
14
2014/12/5
CSEC 67
Joseph Bonneau
Postdoctoral Fellow, Princeton University
http://www.jbonneau.com/
画像は上記URLのスクリーンキャプチャ
(2014年12月5日時点)
15
2014/12/5
43本中3本
CSEC 67
IEEE S&P 2012
Session 11: Passwords
Guess again (and again and again): Measuring
password strength by simulating password-cracking
algorithms
Patrick Gage Kelley, Saranga Komanduri, Michelle L. Mazurek,
Richard Shay, Tim Vidas, Lujo Bauer, Nicolas Christin, Lorrie
Faith Cranor, and Julio Lopez (Carnegie Mellon University)
slides
The science of guessing: analyzing an anonymized
corpus of 70 million passwords
Joseph Bonneau (University of Cambridge)
[SoK] The quest to replace passwords: A framework
for comparative evaluation of web authentication
schemes
Joseph Bonneau (University of Cambridge), Cormac
Herley (Microsoft Research), Paul C. van Oorschot (Carleton
U), and
Frank Stajano (University of Cambridge)
IEEE S&P 2012
Session 11: Passwords
Guess again (and again and again): Measuring
password strength by simulating password-cracking
algorithms
Patrick Gage Kelley, Saranga Komanduri, Michelle L. Mazurek,
Richard Shay, Tim Vidas, Lujo Bauer, Nicolas Christin, Lorrie
Faith Cranor, and Julio Lopez (Carnegie Mellon University)
slides
Kellyらの論文での
Section VII謝辞の冒頭
The science of guessing: analyzing an anonymized
corpus of 70 million passwords
Joseph Bonneau (University of Cambridge)
[SoK] The quest to replace passwords: A framework
for comparative evaluation of web authentication
schemes
Joseph Bonneau (University of Cambridge), Cormac Herley
(Microsoft Research), Paul C. van Oorschot (Carleton U), and
Frank Stajano (University of Cambridge)
キーとなる
論文の紹介
• The quest to replace passwords: A framework
for comparative evaluation of web
authentication schemes
Joseph Bonneau (University of Cambridge),
Cormac Herley (Microsoft Research), Paul C.
van Oorschot (Carleton U), and Frank Stajano
(University of Cambridge)
IEEE S&P 2012
ジャンル:その他
19
2014/12/5
CSEC 67
Abstract
• SoK (Systematization of Knowledge) Paper:
– 新規性には欠けるが、体系立てた整理や評価など、コミュニ
ティにとって高い価値のある論文
• Webにおいてパスワードに変わる認証方式がこれまで多く提案され
てきたが、なぜパスワードが生き残っているのか、調べるために、
Web認証スキームの比較評価を行うフレームワークを提案
• フレームワークをもとに、具体的な評価項目と評価対象スキームを
揃え、評価した
– 11カテゴリ35スキームを、25評価項目により評価
20
2014/12/5
CSEC 67
評価の軸と、各評価項目
• 従来: UsabilityとSecurity
– トレードオフの関係にあると言われてきていた
• 単純な線形(直線?)の関係ではない
• 第3の軸の導入:Deployability (配置容易性、入れやすさ)
評価軸
各評価項目(Benefits)
Usability
U1: Memorywise-Effortless
U2: Scalable-for-Users
U3: Nothing-to-Carry
U4: Physically-Effortless
U5:Easy-to-Learn
U6: Efficient-to-Use
U7:Infrequent-Erros
U8: Easy-Recovery-from-Loss
Deployability
D1: Accessible
D2: Negligible-Cost-per-User
D3: Server-Compatible
D4: Client-Compatible
D5: Mature
D6: Non-Proprietary
Security
S1: Resilient-to-Physical-Observation
S2: Resilient-to-Targeted-Impersonation
S3: Resilient-to-Throttled-Guessing
S4: Resilient-to-Unthrottled-Guessing
S5: Resilient-to-Internal-Observation
S6: Resilient-to-Leaks-from-Other-Verifiers
S7: Resilient-to-Phishing
S8: Resilient-to-Theft
S9: No-Trusted-Third-Party
S10: Requiring-Explicit-Consent
S11: Unlinkable
21
2014/12/5
CSEC 67
評価対象:11カテゴリ、25手法
22
カテゴリ
手法
Password managers
Firefox, LastPass
Proxy
URRSA, Impostor
Federated
OpenID, Microsoft Passport, Facebook Connect, BrowserID,
OTP over email
Graphical
PCCP, PassGo
Cognitive
GrIDsure, Weinshall, Hopper Blum, Word Association
Paper tokens
OTPW, S/KEY, PIN+TAN
Visual crypto
Pass Window
Hardware tokens
RSA SecurID, Yubikey, Ironkey, CAP reader, Pico
Phone-based
Phoolproof, Cronto, MP-Auth, OTP over SMS, Google 2-step
Biometric
Fingerprint, Iris, Voice
Recovery
Personal knowledge, Preference-based, Social re-auth
2014/12/5
CSEC 67
評価手法と結果
Benefit: その項目のBenefitを
提供するか
●:提供する
○:ほとんど提供する
空欄:提供しない
Better than Password: パス
ワードより良いか
緑斜線:良い
赤斜線:悪い
空欄:同じ
http://www.lightbluetouchpaper.org/wpcontent/uploads/2012/05/matrix.png
画像は上記URLのものを張り付けたものです。
23
2014/12/5
CSEC 67
• Testing Metrics for Password Creation Policies
by Attacking Large Sets of Revealed
Passwords
Matt Weir (Florida State Univ.) , Sudhir
Aggarwal (Florida State Univ.) , Michael Collins
(Redjack ) , Henry Stern (Cisco)
ACM CCS 2010
ジャンル:パスワードデータ解析
24
2014/12/5
CSEC 67
RockYou.com data set
• 32 million real user passwords
– obtained by attackers using SQL injection
– posted the passwords online
25
2014/12/5
CSEC 67
Password length and Percentage of passwords
cracked: only lower characters
※論文P.166のFigure4.2.1より引用
26
2014/12/5
CSEC 67
Password length and Percentage of passwords
cracked: characters + numbers
※論文P.166のFigure4.2.2より引用
27
2014/12/5
CSEC 67
Top 10 Digits found in the RockYou data, and
Password Information from the RockYou data
※論文P.166のTable 4.2.2より引用
※論文P.166のTable 4.2.1より引用
28
2014/12/5
CSEC 67
How digits are used in 7+ character passwords
※論文P.167のTable 4.2.3より引用
29
2014/12/5
CSEC 67
Un-optimized attack V.S. Optimized attack
Un-optimized
※論文P.166の
Figure 4.2.3より引用
Optimized
Trained using other data sets
※論文P.166の
Figure 4.2.4より引用
30
2014/12/5
CSEC 67
Cracking using trained dictionary
Not
satisfied
to NIST
level
※論文P.168のTable 4.2.4より引用し、強調部分を追記(強調部分は金岡による)
31
2014/12/5
CSEC 67
Comparing the NIST Estimated Cracking Speed
V.S. a Real Life Attack
※論文P.167のFigure 4.2.6より引用
32
2014/12/5
CSEC 67
• Guess again (and again and again): Measuring
password strength by simulating passwordcracking algorithms
Patrick Gage Kelley, Saranga Komanduri, Michelle L.
Mazurek, Richard Shay, Tim Vidas, Lujo Bauer, Nicolas
Christin, Lorrie Faith Cranor, and Julio Lopez (Carnegie
Mellon University)
IEEE S&P 2012
ジャンル:パスワードデータ解析
33
2014/12/5
CSEC 67
Abstract
•
•
•
•
パスワードの構成ポリシー(Composition Policy)の効果を測りたい
– これまでは出来ていない
– 漏えいしたパスワード群だとポリシーがどう反映されていたかがわか
らない
Amazon Mechanical Turk(MTurk)により被験者を募集
– 8種類の構成ポリシーでパスワードを構成してもらい、計12,000のパス
ワードを収集
パスワード推測攻撃に対する強度が、構成ポリシーの違いにより差がでる
かを調査
結果
– 記号や数値、大文字小文字の混成は強度高し
– ただ8文字混成パスワードだったら、ポリシなし16文字パスワードのほ
うが強かった
以降のスライドで本論文の引用について言及しているときは、共著者のLujo
Bauerが公開しているバージョン
( https://www.ece.cmu.edu/~lbauer/papers/2012/oakland2012-guessing.pdf )内の
ページ数や図表番号をします
34
2014/12/5
CSEC 67
8種類のパスワード構成ポリシ
basic8survey
ポリシ:最低8文字
シナリオ:「この後簡単な調査をしてもらいます。調査提出にはパス
ワード認証が必要ですのでパスワード設定してください」と指示
basic8
ポリシ:最低8文字
シナリオ:「メールアカウントのパスワードを変更しなくてはいけな
くなりました。パスワードを設定してください」と指示(メールシナ
リオ。以下すべてメールシナリオ)
basic16
ポリシ:最低16文字
dictionary8
ポリシ:最低8文字+辞書に含まれる用語を含まない(アルファベッ
ト以外を除いて、辞書と照合。Ignore case。)
comprehensive8
ポリシ:最低8文字+辞書×+大文字・小文字含む+記号含む+数字
含む
blacklistEasy
ポリシ:最低8文字+Unix辞書と照合(アルファベット除かない)
blacklistMedium
ポリシ:最低8文字+Openwall listと照合
blacklistHard
ポリシ:最低8文字+500億語辞書(Weirによるアルゴリズム利用)
35
2014/12/5
CSEC 67
評価
• Guess-Number Calculators
– パスワード推測用の手法
1. トレーニングセット
2. BFM Caluculator
1. マルコフ連鎖を使ったルーズなブルートフォース攻撃
3. Weir Algorithm Calculator
1. より複雑なアルゴリズム。パスワード構造の差による
確率にしたがい推測の順序を決定
• 巨大なルックアップテーブルを持つことになるWeir
Algorithmを分散化。
– Hadoop利用
– 64ノードクラスタ
– 何千億の要素
– 1.3TB
36
2014/12/5
CSEC 67
結果:Weir Algorithm Calculator利用
※論文7ページ目のFigure 1より引用
1秒
37
2014/12/5
1日
64年/コア
CSEC 67
結果:BFM Calculator利用
※論文8ページ目のFigure 3より引用
38
2014/12/5
CSEC 67
結果:トレーニングデータによる違い
P3:Unix
Dictionary
P4:Openwall list
Dictionary
E:収集した
パスワード
※論文9ページ目のFigure 4より引用
39
2014/12/5
CSEC 67
ポリシ設定の差による強度変化
comprehensive8
記号・数字・大文字
小文字混合ポリシに
より作成されたパス
ワード群
comprehensive
Subset
他のポリシだが、結
果的に
comprehensive8の
ポリシを満たしてい
るパスワード群
※論文10ページ目のFigure 6より引用
40
2014/12/5
CSEC 67
これまでの予測との差
※論文11ページ目のFigure 7より引用
41
2014/12/5
CSEC 67
• How Does Your Password Measure Up? The
Effect of Strength Meters on Password
Creation
Blase Ur, Patrick Gage Kelley, Saranga
Komanduri, Joel Lee, Michael Maass, Michelle
L. Mazurek, Timothy Passaro, Richard Shay,
Timothy Vidas, Lujo Bauer, Nicolas Christin,
and Lorrie Faith Cranor, Carnegie Mellon
University
USENIX Security 2012
ジャンル:パスワードを強化する仕組み
42
2014/12/5
CSEC 67
Abstract
• Webサイトなどのパスワード登録時、入力されたパスワードの強度
を示すようなパスワードメータが配置されることがある
• 広く利用されているがその効果はきちんと調べられていない
• 14種のパスワードメータを対象
• MTurkを用い、被験者によりパスワードを生成してもらう
– 特徴評価:メータごとのパスワード長、数値の利用、大文字・
小文字の利用
– パスワード推測攻撃の耐性評価
43
2014/12/5
CSEC 67
メータの種類
※論文P.3 Figure 1より引用
44
2014/12/5
CSEC 67
メータの種類
•
•
•
•
45
Control Conditions
– No meter
– Baseline meter
Conditions Differing in Appearance
– Three-segment
– Green
– Tiny
– Huge
– No suggestions
– Text-only
Conditions Differing in Scoring
– Half-score
– One-third-score
– Nudge-16
– Nudge-comp8
Conditions Differing in Multiple Ways
– Text-only half-score
– Bold text-only half-score
– Bunny
2014/12/5
CSEC 67
メータ種類によるパスワード長などの違い
※論文P.7 Table 1より引用
46
2014/12/5
CSEC 67
メータ種類による推測攻撃への耐性
※論文P.9 Figure 3より引用
47
2014/12/5
CSEC 67
• Quantifying the Security of Graphical
Passwords: The Case of Android Unlock
Patterns
Sebastian Uellenbeck (Ruhr-University Bochum),
Markus Dürmuth (Ruhr-University Bochum),
Christopher Wolf (Ruhr-University Bochum), Thorsten
Holz (Ruhr-University Bochum)
ACM CCS 2013
ジャンル:パスワードデータ解析
48
2014/12/5
CSEC 67
概要
• グラフィカルパスワードに注目
– 人間はビジュアルな記憶のほうがDevelopedされている
• AndroidのUnlock Patternに注目
– 3x3のグリッド
– ストローク数が制限
• 大規模ユーザスタディから得たデータによりマルコフ連鎖をもとにモデ
ルを作成し、強度を数値化
• 得られた結果
– 左上の点と3点を使った直線がとても典型的な選択戦略
– 情報量は低い
– ランダムな3桁PINの強度より低い(9.10ビット)
• ユーザの20%のパスワードを推測するのにかかる時間
• 結果をもとに改良提案
– 小さい改良、だけど効果的:パターンレイアウト
– 9.10ビット→10.81ビット
49
2014/12/5
CSEC 67
ユーザ実験
• 584人の参加者から2900のパターンを取得
• 105人に紙でインタビュー
• 113人に攻撃実験させる
50
2014/12/5
CSEC 67
分析結果(1)
※論文P.163 Figure 1,2より引用
51
2014/12/5
CSEC 67
分析結果(2)
※論文P.166 Figure 3より引用
52
2014/12/5
CSEC 67
分析結果(3)
※論文P.167 Table 2より引用
α=x:全体のx%を推測するのに必要な情報量
53
2014/12/5
CSEC 67
分析結果(4)
※論文P.169 Figure 7より引用
54
2014/12/5
CSEC 67
分析結果(5)
※論文P.169 Figure 8より引用
55
2014/12/5
CSEC 67
改良提案とその効果
※論文P.169
Figure 9から13
より引用
56
2014/12/5
CSEC 67
分析結果:改良提案
※論文P.170 Figure 15より引用
57
2014/12/5
CSEC 67
• The Security of Modern Password Expiration:
An Algorithmic Framework and Empirical
Analysis
Yinqian Zhang, Fabian Monrose, Michael K.
Reiter (Univ. of North Carolina at Chapel Hill)
ACM CCS 2010
ジャンル:パスワードデータ解析
58
2014/12/5
CSEC 67
変換木
ユーザは
パスワードが失効されると
前回と似たパスワードを
設定する
変換Tで木を構成
変換
※論文P.178 Figure 1より引用
59
2014/12/5
CSEC 67
Expected Min Transform Search (emts)
※論文P.178 より引用
δrからπrを見つけだすための予想コストを最小にするOrderを求める
→ Expected Min Transform Search問題
NP困難
60
2014/12/5
CSEC 67
近似アルゴリズム
※論文P.179 Figure 2より引用
61
2014/12/5
CSEC 67
変換方法の種類
𝑇ED : Edit distance
𝑇EDM : Edit distance
𝑇LI
:
𝑇LIP :
62
with substring moves
Hand-crafted location-independent
transforms
Pruned hand-crafted location-independent
transforms
2014/12/5
CSEC 67
変換木
ユーザは
パスワードが失効されると
前回と似たパスワードを
設定する
変換Tで木を構成
変換
これは
TLI
※論文P.178 Figure 1より引用
63
2014/12/5
CSEC 67
TLIの種類
※論文P.179 より引用
64
2014/12/5
CSEC 67
Evaluation:データ
• 大学がもつシステムONYEN(著者らの所属大学のシステム)の
データセットを利用
• ポリシは右図
• 3ヶ月ごとの変更
※論文P.180より引用
• 2004-2009で消滅したアカウント10374個から51141個のパス
ワード
– それをJohn the Ripperで解読
– 7936個のアカウントと31075個のパスワードを取得
65
2014/12/5
CSEC 67
Evaluation:
何回の変換で元のパスワードが復元できるか
※論文P.181 Figure 5より引用
66
2014/12/5
CSEC 67
Evaluation:何秒で復元できるか
※論文P.182 Figure 6より引用
67
2014/12/5
CSEC 67
ユーザは同じ変換をする
※論文P.183 Figure 9より引用
68
2014/12/5
CSEC 67
ユーザは同じ変換をする
※論文P.184
Figure 10より引用
69
2014/12/5
CSEC 67
まとめ
• パスワードの失効は広く使われている
• 本研究は最初の大規模測定
– 実際どれだけ予測されてしまうのか
• 新しい検索フレームワークを提案
• 予想されているより失効の効果は弱いことが判明
• 特定タイプの変換は同一ユーザが繰り返す可能性が高い
70
2014/12/5
CSEC 67
その他参照すべき論文
71
2014/12/5
CSEC 67
• An Administrator’s Guide to Internet
Password Research
Dinei Florêncio and Cormac Herley, Microsoft
Research; Paul C. van Oorschot, Carleton University
USENIX LISA 2014
情報が整理されていて
概観するにはとても良い資料
ジャンル:その他
72
2014/12/5
CSEC 67
ピックアップした論文一覧
73
2014/12/5
CSEC 67
IEEE Symp. on Security and Privacy
A Study of Probabilistic
Password Models
Jerry Ma, Weining Yang, Min Luo, and Ninghui Li
(Purdue University)
http://www.ieee-
2014 security.org/TC/SP2014/papers/AStudyofProb 解析
abilisticPasswordModels.pdf
Guess again (and again and
Patrick Gage Kelley, Saranga Komanduri, Michelle
again): Measuring password
L. Mazurek, Richard Shay, Tim Vidas, Lujo Bauer,
http://ieeexplore.ieee.org/xpl/articleDetails.js
解析
2012
p?arnumber=6234434
Nicolas Christin, Lorrie Faith Cranor, and Julio
strength by simulating
password-cracking algorithms Lopez (Carnegie Mellon University)
The science of guessing:
解析
analyzing an anonymized corpus Joseph Bonneau (University of Cambridge)
2012 http://ieeexplore.ieee.org/xpl/articleDetails.js
p?arnumber=6234435
of 70 million passwords
The quest to replace
Joseph Bonneau (University of Cambridge),
passwords: A framework for
Cormac Herley (Microsoft Research), Paul C. van
その他
2012 http://research.microsoft.com/pubs/161585/
QuestToReplacePasswords.pdf
Oorschot
(Carleton
U),
and
Frank
Stajano
comparative evaluation of web
(University of Cambridge)
authentication schemes
74
2014/12/5
CSEC 67
USENIX Security
David Silver, Suman Jana, and Dan Boneh, Stanford
Password Managers: Attacks and Defenses University; Eric Chen and Collin Jackson, Carnegie
Mellon University
The Emperor’s New Password Manager:
Security Analysis of Web-based Password
Managers
Zhiwei Li, Warren He, Devdatta Akhawe, and Dawn
Song, University of California, Berkeley
A Large-Scale Empirical Analysis of Chinese Zhigong Li and Weili Han, Fudan University; Wenyuan
Xu, Zhejiang University
Web Passwords
Password Portfolios and the Finite-Effort
Dinei Florêncio and Cormac Herley, Microsoft
User: Sustainably Managing Large Numbers Research; Paul C. van Oorschot, Carleton University
of Accounts
Telepathwords: Preventing Weak
Passwords by Reading Users’ Minds
Saranga Komanduri, Richard Shay, and Lorrie Faith
Cranor, Carnegie Mellon University; Cormac Herley
and Stuart Schechter, Microsoft Research
Towards Reliable Storage of 56-bit Secrets Joseph Bonneau, Princeton University; Stuart
Schechter, Microsoft Research
in Human Memory
2014
https://www.usenix.org/co
nference/usenixsecurity14
仕組み
/technicalsessions/presentation/silve
r
2014
https://www.usenix.org/co
nference/usenixsecurity14
仕組み
/technicalsessions/presentation/li_z
hiwei
2014
https://www.usenix.org/co
nference/usenixsecurity14
解析
/technicalsessions/presentation/li_z
higong
2014
https://www.usenix.org/co
nference/usenixsecurity14
仕組み
/technicalsessions/presentation/flor
encio
2014
https://www.usenix.org/co
nference/usenixsecurity14
強化
/technicalsessions/presentation/kom
anduri
2014
https://www.usenix.org/co
nference/usenixsecurity14
強化
/technicalsessions/presentation/bon
neau
2012
https://www.usenix.org/co
nference/usenixsecurity12
強化
/technicalsessions/presentation/ur
Blase Ur, Patrick Gage Kelley, Saranga Komanduri,
How Does Your Password Measure Up? The Joel Lee, Michael Maass, Michelle L. Mazurek,
Timothy Passaro, Richard Shay, Timothy Vidas, Lujo
Effect of Strength Meters on Password
Bauer, Nicolas Christin, and Lorrie Faith Cranor,
Creation
Carnegie Mellon University
75
2014/12/5
CSEC 67
ACM CCS
Security Analyses of Click-based
Graphical Passwords via Image Point
Memorability
Bin B. Zhu, Jeff Yan, Dongchen Wei, Maowei Yang
グラフィカル
2014 l=ACM&coll=DL&CFID=594675058&CFTOKEN
=61263255
Honeywords: Making PasswordCracking Detectable
Ari Juels (RSA), Ronald Rivest (MIT)
2013 =2516671&CFID=594675058&CFT 強化
Quantifying the Security of Graphical
Passwords: The Case of Android
Unlock Patterns
Sebastian Uellenbeck (Ruhr-University Bochum),
Markus Dürmuth (Ruhr-University Bochum),
Christopher Wolf (Ruhr-University Bochum), Thorsten
Holz (Ruhr-University Bochum)
2013 =2516700&CFID=594675058&CFT 解析
http://dl.acm.org/citation.cfm?id=2660364&d
http://dl.acm.org/citation.cfm?id
OKEN=61263255
http://dl.acm.org/citation.cfm?id
OKEN=61263255
Michelle L. Mazurek (Carnegie Mellon University),
Saranga Komanduri (Carnegie Mellon University),
Timothy Vidas (Carnegie Mellon University), Lujo Bauer
Measuring Password Guessability for (Carnegie Mellon University), Nicolas Christin (Carnegie
Mellon University), Lorrie Faith Cranor (Carnegie
an Entire University
Mellon University), Patrick Gage Kelley (University of
New Mexico), Richard Shay (Carnegie Mellon
University), Blase Ur (Carnegie Mellon University)
2013 =2516726&CFID=594675058&CFT 解析
Testing metrics for password creation
Matt Weir, Sudhir Aggarwal, Michael Collins, Henry
policies by attacking large sets of
Stern
revealed passwords
2010 =1866327&CFID=594675058&CFT 解析
The security of modern password
expiration: an algorithmic framework Yinqian Zhang, Fabian Monrose, Michael K. Reiter
and empirical analysis
2010 =1866328&CFID=594675058&CFT 解析
76
2014/12/5
http://dl.acm.org/citation.cfm?id
OKEN=61263255
http://dl.acm.org/citation.cfm?id
OKEN=61263255
http://dl.acm.org/citation.cfm?id
OKEN=61263255
CSEC 67
ACM CHI
Can Long Passwords be Secure and
Usable?
Richard Shay, Saranga Komanduri, Adam L. Durity, Phillip
(Seyoung) Huh, Michelle L. Mazurek, Sean M. Segreti, Blase Ur,
Lujo Bauer, Nicolas Christin, Lorrie Faith Cranor
The presentation effect on graphical Julie Thorpe, Muath Al-Badawi, Brent MacRae, Amirali SalehiAbari
passwords
Does my password go up to eleven?:
Serge Egelman, Andreas Sotirakopoulos, Ildar Muslukhov,
the impact of password meters on
Konstantin Beznosov, Cormac Herley
password selection
Increasing the security of gaze-based
cued-recall graphical passwords using Andreas Bulling, Florian Alt, Albrecht Schmidt
saliency masks
Of passwords and people: measuring Saranga Komanduri, Richard Shay, Patrick Gage Kelley, Michelle
the effect of password-composition L. Mazurek, Lujo Bauer, Nicolas Christin, Lorrie Faith Cranor,
Serge Egelman
policies
Exploring implicit memory for painless
Tamara Denning, Kevin Bowers, Marten van Dijk, Ari Juels
password recovery
http://dl.acm.org/citation.cfm?id=255
強化
2014 7377&CFID=594675058&CFTOKEN=61
263255
http://dl.acm.org/citation.cfm?id=255
グラフィカル
2014 7212&CFID=594675058&CFTOKEN=61
263255
http://dl.acm.org/citation.cfm?id=248
強化
2013 1329&CFID=594675058&CFTOKEN=61
263255
http://dl.acm.org/citation.cfm?id=220
グラフィカル
2012 8712&CFID=594675058&CFTOKEN=61
263255
http://dl.acm.org/citation.cfm?id=197
ユーザ調査
2011 9321&CFID=594675058&CFTOKEN=61
263255
http://dl.acm.org/citation.cfm?id=197
その他
2011 9323&CFID=594675058&CFTOKEN=61
263255
Self-reported password sharing
strategies
Joseph 'Jofish' Kaye
ユーザ調査
2011 9324&CFID=594675058&CFTOKEN=61
263255
A diary study of password usage in
daily life
Eiji Hayashi, Jason Hong
ユーザ調査
2011 9326&CFID=594675058&CFTOKEN=61
263255
The true cost of unusable password
Philip G. Inglesant, M. Angela Sasse
policies: password use in the wild
Shoulder-surfing resistance with eyeAlain Forget, Sonia Chiasson, Robert Biddle
gaze entry in cued-recall graphical
77
2014/12/5
passwords
http://dl.acm.org/citation.cfm?id=197
http://dl.acm.org/citation.cfm?id=197
http://dl.acm.org/citation.cfm?id=175
ユーザ調査
2010 3384&CFID=594675058&CFTOKEN=61
263255
http://dl.acm.org/citation.cfm?id=175
CSEC 67
グラフィカル
2010 3491&CFID=594675058&CFTOKEN=61
263255
SOUPS
The Password Life Cycle: User Behaviour
in Managing Passwords
Applying Psychometrics to Measure User
Comfort when Constructing a Strong
Password
On The Ecological Validity of a Password
Study
Usability and Security Evaluation of
GeoPass: a Geographic LocationPassword Scheme
Memory Retrieval and Graphical
Passwords
Correct horse battery staple: Exploring
the usability of system-assigned
passphrases
Do You See Your Password? Applying
Recognition to Textual Passwords
Shoulder Surfing Defence for Recallbased Graphical Passwords
https://www.usenix.or
Elizabeth Stobert and Robert Biddle (Carleton University)
ユーザ調査
2014 g/conference/soups20
14/proceedings/presen
tation/stobert
https://www.usenix.or
g/conference/soups20
ユーザ調査
14/proceedings/presen
tation/haque
S M Taiabul Haque, Shannon Scielzo, and Matthew Wright,
The University of Texas at Arlington
2014
Sascha Fahl, Matthew Smith, and Marian Harbach (DCSEC,
Leibniz University Hannover)
2013 /soups/2013/proceedi
ngs/a13_Fahl.pdf
Julie Thorpe and Brent MacRae (University of Ontario
Institute of Technology) and Amirali Salehi-Abari (University
of Toronto)
2013 /soups/2013/proceedi
ngs/a14_Thorpe.pdf
Elizabeth Stobert and Robert Biddle (Carleton University)
2013 /soups/2013/proceedi
ngs/a15_Stobert.pdf
Richard Shay, Patrick Gage Kelley, Saranga Komanduri,
Michelle L. Mazurek, Blase Ur, Tim Vidas, Lujo Bauer, Nicolas
Christin, Lorrie Faith Cranor, Carnegie Mellon University
2012 /soups/2012/proceedi
ngs/a7_Shay.pdf
Nicholas Wright, Carleton University
Andrew S. Patrick, Carleton University
Robert Biddle, Carleton University
Nur Haryani Zakaria, Newcastle University, UK
David Griffiths, Newcastle University, UK
Sacha Brostoff, University College London, UK
Jeff Yan, Newcastle University, UK
http://cups.cs.cmu.edu
http://cups.cs.cmu.edu
http://cups.cs.cmu.edu
http://cups.cs.cmu.edu
http://cups.cs.cmu.edu
2012 /soups/2012/proceedi
ngs/a8_Patrick.pdf
その他
グラフィカル
グラフィカル
ユーザ調査
グラフィカル
https://cups.cs.cmu.ed
グラフィカル
2011 u/soups/2011/proceed
ings/a6_Zakaria.pdf
Encountering Stronger Password
Richard Shay, Saranga Komanduri, Patrick Gage Kelley,
https://cups.cs.cmu.ed
ユーザ調査
Pedro Giovanni Leon, Michelle L. Mazurek, Lujo Bauer,
Requirements: User Attitudes and
2010 u/soups/2010/proceed
ings/a2_shay.pdf
Nicolas Christin and Lorrie Faith Cranor
Behaviors
https://cups.cs.cmu.ed
A Closer Look at Recognition-based
グラフィカル
Paul Dunphy, Andreas Heiner and N. Asokan
2010 u/soups/2010/proceed
ings/a3_dunphy.pdf
Graphical
Passwords
on
Mobile
Devices
78
2014/12/5
CSEC 67
その他
Anne Adams, Martina Angela Sasses
Communications
of the ACM
1999 id=322806
R. Morris, K. Thompson
Communications
of the ACM
1979 id=359172
Dinei Florencio and Cormac Herley
WWW 2007
2007 id=1242661
An Administrator’s Guide to Dinei Florêncio and Cormac Herley,
Microsoft Research; Paul C. van
Internet Password Research Oorschot, Carleton University
USENIX LISA
2014
ence/lisa14/conference2014 program/presentation/florenci その他
Users are not the enemy
Password security: a case
history
A large-scale study of web
password habits
79
2014/12/5
http://dl.acm.org/citation.cfm?
ユーザ調査
http://dl.acm.org/citation.cfm?
その他
http://dl.acm.org/citation.cfm?
ユーザ調査
https://www.usenix.org/confer
o
CSEC 67
今後の展望
新しい認証:パスワードのDeployabilityを超えられるか
パスワードマネージャに対する研究
パスワード解析:データをどう取得していくか
81
2014/12/5
CSEC 67
まとめ
論文調査から見える動向
43本。カテゴリ分け。
特筆すべき人・チーム
CMUのCUPS、PrincetonのJoseph Bonneau
キーとなる論文の紹介
かいつまんでいくつかをご紹介
今後の展望
まだパスワード研究は続くと思います
82
2014/12/5
CSEC 67
Fly UP