추상적인
온라인 커뮤니케이션, 구독 서비스 및 쇼핑에서 비밀번호 인증이 널리 사용됨에 따라 신원 도용에 대한 우려가 커지고 있습니다.
여러 계정에서 암호를 재사용하면 취약성이 증가합니다.
단일 암호를 손상시키면 공격자가 여러 계정을 탈취하는 데 도움이 될 수 있습니다.
49명의 학부생을 대상으로 한 연구에서는 그들이 보유한 암호의 수와 암호를 재사용하는 빈도를 정량화했습니다.
대부분의 사용자는 3개 이하의 비밀번호를 사용하며 비밀번호는 두 번 재사용됩니다.
또한 사람들이 더 많은 암호를 생성하지 않고 더 많은 계정을 생성함에 따라 암호 재사용률은 시간이 지남에 따라 증가합니다.
사용자는 자신의 습관을 방어합니다.
그들은 금융 데이터와 개인 통신을 보호하기를 원하지만 암호를 재사용하면 관리가 더 쉬워집니다.
사용자는 인간 공격자, 특히 그들과 가까운 공격자의 위협을 가장 활동적이고 유능한 공격자로 시각화합니다.
그러나 참가자들은 인간 공격자와 잠재적인 자동화 도구를 구분하지 않았습니다.
그들이 깨닫지 못하는 것은 때때로 전화번호와 같은 개인 암호가 충분한 문구와 충분한 시도로 해독될 수 있다는 것입니다.
현재 시스템이 잘못된 암호 관행을 지원하는 방법에 대해 논의했습니다.
또한 사이트의 인증 시스템 및 암호 관리자에 대한 잠재적인 변경 사항도 다루었습니다.
소개하다
암호 인증 시스템의 경우 사용자는 종종 적입니다.
슈나이어는 “문제는 일반 사용자가 사전 공격을 방지할 만큼 복잡한 암호를 기억할 수 없고 기억하지도 않는다는 것입니다.
잘못된 암호를 사용하더라도 사용자는 상황을 악화시키려고 합니다.
암호를 선택하라고 하면 ll” 형편없는 암호를 선택하겠습니다.
좋은 비밀번호를 선택하라고 강요하시면 포스트잇에 적어서 지난달에 변경한 비밀번호로 다시 변경하겠습니다.
그리고 여러 응용 프로그램에 대해 동일한 암호를 선택합니다.
“ (22) 요컨대 잘못된 암호 사용은 시스템을 손상시킬 수 있습니다.
많은 프로젝트가 이러한 나쁜 관행을 연구하지 않고 새로운 기술 개발에 중점을 둡니다.
그에 반해 이 글은 암호를 사용하는 방법넓게 보세요 비밀번호 재사용 정량화그리고 이 재사용 영향 요인알아보기 위해. 우리는 사용자가 자신의 나쁜 습관을 정당화하는 방법뿐만 아니라 더 나은 행동을 하도록 장려하는 방법도 고려합니다.
이러한 암호 관리 도구의 관행을 연결하고 현재 기술이 나쁜 관행을 지원하는 방법에 대해 논의합니다.
우리는 또한 사전 공격에 대한 사용자 오도가 강력한 암호를 구성하는 요소와 암호를 해독할 수 있는 사람에 대한 설문 조사에 대한 응답에서 비롯된 것임을 보여줍니다.
암호화 인증 시스템에 대한 우리의 암호화 연구는 온라인 계정에 집중하십시오. 웹사이트 인증은 사용자의 암호 관리 문제를 증폭시킵니다.
실제 상호 작용을 위해 사용자는 ATM 앞에 서 있거나 휴대폰을 들고 있거나 책상에 앉아 있는 것과 같은 물리적 환경을 활용할 수 있습니다.
온라인 계정을 사용하면 사용자는 같은 컴퓨터에 있더라도 여러 다른 계정에 액세스할 수 있습니다.
둘째, 실제 상호 작용도 더 규칙적입니다.
사람들은 거의 매일 음성 메일 암호나 건물 출입 코드를 사용합니다.
사용자가 특정 사이트를 거의 방문하지 않는 경우 온라인 상호 작용이 더 간헐적일 수 있습니다.
전체적으로 이러한 문제와 웹사이트 로그인의 확산은 암호 관리 문제를 악화시키고 특히 암호 재사용을 장려합니다(2, 11).
온라인 암호 관리에 대한 기술 솔루션은 사용자 행동을 크게 바꾸지 않고도 관행을 개선할 수 있습니다.
이는 기존 인증 시스템의 대안과 대조됩니다.
이러한 대안은 사용자가 휴대폰과 같은 특정 장치를 가지고 있는지 또는 스마트 카드와 같은 물리적 토큰을 가지고 있는지에 따라 달라질 수 있습니다.
사용자가 자신의 웹사이트 계정에 액세스할 때 이미 자신의 컴퓨터를 사용하고 있는 것입니다.
장치 수준이 아닌 응용 프로그램 수준이나 브라우저에서 시스템을 개발할 수 있습니다.
종종 적입니다.
Schneier는 “문제는 일반 사용자가 사전 공격을 막을 수 있을 만큼 복잡한 암호를 기억할 수 없고 기억하지도 못한다는 것입니다.
그들은 형편없는 암호를 선택할 것입니다.
좋은 암호를 선택하도록 강요하면 포스트잇에 적어서 지난달에 변경한 비밀번호로 다시 변경하겠습니다.
여러 애플리케이션에 동일한 비밀번호를 선택합니다.
(22) 요컨대, 나쁜 암호 사용은 시스템을 망칠 수 있습니다.
많은 프로젝트는 이러한 나쁜 습관을 연구하지 않고 새로운 기술 개발에 중점을 둡니다.
반면에 이 백서에서는 암호 사용, 암호 재사용 수량화 및 이러한 재사용을 가능하게 하는 요인을 조사합니다.
. 우리는 사용자가 자신의 잘못된 관행을 정당화하는 방법뿐만 아니라 더 나은 작업을 수행하도록 장려하는 요소를 고려합니다.
이러한 비밀번호 관리 도구의 관행을 연결하고 현재 기술이 잘못된 관행을 지원하는 방법에 대해 논의합니다.
또한 사용자가 사전 공격에 대해 오도하는 것은 무엇이 강력한 암호를 구성하고 누가 암호를 해독할 수 있는지에 대한 설문 조사입니다.
새로 개발된 시스템은 사용자의 요구를 결합해야 하지만 이러한 측면에서 사용자의 작업 관행을 연구한 사람은 거의 없습니다.
Prece가 말했듯이 “사용자의 특성과 능력, 달성하고자 하는 것, 현재 목표를 달성하는 방법, 다르게 지원하면 목표를 달성하는 데 더 효과적인지 여부를 이해”하여 앞으로 나아가야 합니다.
이 단계에서. (17)
이 문서에서는 사용자가 온라인 계정의 암호를 관리하는 방법을 조사합니다.
사용자 행동의 맥락을 이해하면 암호 관리를 지원하는 기술을 개발할 수 있습니다.
49명의 학부생을 대상으로 한 연구에서 우리는 암호 재사용 정도를 측정하고 사용자의 사용 정당성을 조사했습니다.
현재 관리 정책에 대해 묻고 실패한 로그인 시도의 데이터를 사용하여 사용자가 암호를 확인하는 데 문제가 있는 위치를 확인합니다.
또한 사용자 공격 및 공격 모델을 검사하여 보안 예방 조치에 대한 컨텍스트를 제공합니다.
이 작업의 광범위한 범위는 실제 사용자가 작업하는 방식과 이를 이끄는 환경 및 문화를 이해하는 데 도움이 됩니다.
결론적으로
여러 논문에서 암호 보안을 연구했지만 우리 연구에서는 온라인 계정에 대한 암호 관리 전략을 광범위하게 설명했습니다.
다른 논문에서와 마찬가지로 암호 재사용을 정량화했지만 고유한 접근 방식을 통해 참가자는 웹 사이트 사용을 기억하는 대신 실제 로그인 시도를 통해 결과를 측정할 수 있었습니다.
또한 우리의 접근 방식은 참가자들이 웹사이트에 로그인하는 데 어려움을 겪는 이유를 설명하고 메모리 보조 장치나 개인 노트북을 사용하는 것이 암호 관리에 미미한 이점이 있음을 보여주었습니다.
암호 관리 전략에 대한 설문 조사에서도 사람들이 기억력에 의존한다는 사실을 알 수 있습니다.
사람들이 온라인 계정에 로그인하면 컴퓨터와 인터넷에 액세스할 수 있지만 우리는 그들이 사용하는 기술이 암호를 기억하는 데 도움이 되지 않는다는 것을 입증할 수 있었습니다.
암호를 강화하기 위한 현재 기술도 사전 공격의 특성을 설명하지 못합니다.
참가자들은 암호를 무작위로 생성하는 이점을 이해했지만 인간 공격자를 묘사하고 인간이 암호를 추측하기 어렵게 만들어 암호를 강화했습니다.
이것은 참가자들이 자신과 가장 가까운 사람들을 자신의 계정을 가장 많이 손상시킬 수 있는 사람으로 평가했을 때 입증되었습니다.
참가자들은 단순히 개인 정보를 아는 것만으로도 암호 해독에 도움이 될 수 있다고 제안했습니다.
이는 사용자의 개인 정보를 사용하여 일반적으로 몇 개의 단어나 구로 구성된 비밀번호를 구성할 수 있음을 의미합니다.
그러나 이 모델은 피해자와의 개인적 연결 없이 이러한 가능한 암호를 열거할 수 있는 사전 구성을 설명하지 못합니다.
우리의 연구 결과는 또한 온라인 계정과 온라인 계정 암호 관리 도구의 특성이 나쁜 암호 사용을 방해하는 것이 아니라 조장한다는 것을 시사합니다.
기술이 도울 수 있는 방법과 현재 제공하는 것 사이에는 간극이 있습니다.
우리의 연구는 특히 암호 재사용 문제를 개선하기 위해 기술을 사용할 수 있는 방법에 관심이 있으며 참가자는 기술에 정통한 인구입니다.
그들은 모두 교육을 잘 받고 인맥이 좋습니다.
Princeton의 Student Computing Initiative에 따르면 작년에 신입생의 90%가 자신의 컴퓨터를 가지고 있었고 캠퍼스 네트워크 서비스를 사용했습니다.
실험 참가자의 절반 이상이 실험실에 들어올 때 노트북을 사용했습니다.
우리는 이것이 학생들이 온라인 활동에서 기대하는 것을 나타낸다고 주장할 수 있습니다.
이러한 사용자는 새로운 기술에 개방적이며 컴퓨팅 문화를 가지고 있습니다.
그러나 우리의 연구 결과에 따르면 그들은 기술적 능력과 교육에도 불구하고 여전히 일부 공격의 특성을 이해하는 데 어려움을 겪고 있습니다.
이 학생들은 새로운 암호 관리 도구의 인기와 채택이 임박했다고 제안하기보다는 사용 가능한 기술이 암호 관리에 도움이 되지 않는다고 제안합니다.
또한 사람들이 더 많은 계정을 축적하고 더 많은 계정이 있다는 것은 더 많은 암호 재사용을 의미하기 때문에 암호 재사용이 시간이 지남에 따라 더 많은 문제가 될 수 있음을 보여줍니다.