IEEE-SP 2012勉強会:セッション「Passwords」
-
Upload
akira-kanaoka -
Category
Technology
-
view
303 -
download
1
Transcript of IEEE-SP 2012勉強会:セッション「Passwords」
Session 11: Passwords• Guess again (and again and again): Measuring
password strength by simulating password-cracking algorithms– Patrick Gage Kelley, Saranga Komanduri, Michelle L.
Mazurek, Richard Shay, Tim Vidas, Lujo Bauer, Nicolas Christin, Lorrie Faith Cranor, and Julio Lopez (Carnegie Mellon University)
• The science of guessing: analyzing an anonymizedcorpus of 70 million passwords– Joseph Bonneau (University of Cambridge)
• The quest to replace passwords: A framework for comparative evaluation of web authentication schemes– Joseph Bonneau (University of Cambridge), Cormac
Herley (Microsoft Research), Paul C. van Oorschot(Carleton U), and Frank Stajano (University of Cambridge)
2012/6/19 2IEEE-SP 2012 勉強会
GUESS AGAIN (AND AGAIN AND AGAIN): MEASURING PASSWORD STRENGTH BY SIMULATING PASSWORD-CRACKING ALGORITHMS
2012/6/19 IEEE-SP 2012 勉強会 3
Abstract• パスワードの構成ポリシー(Composition Policy)の
効果を測りたい– これまでは出来ていない– 漏えいしたパスワード群だとポリシーがどう反映されてい
たかがわからない• Amazon Mechanical Turk(MTurk)により被験者を
募集– 8種類の構成ポリシーでパスワードを構成してもらい、計
12,000のパスワードを収集• パスワード推測攻撃に対する強度が、構成ポリシーの
違いにより差がでるかを調査• 結果
– 記号や数値、⼤⽂字⼩⽂字の混成は強度⾼し– ただ8⽂字混成パスワードだったら、ポリシなし16⽂字パ
スワードのほうが強かった
2012/6/19 IEEE-SP 2012 勉強会 4
8種類のパスワード構成ポリシ
2012/6/19 IEEE-SP 2012 勉強会 5
basec8survey ポリシ:最低8文字
シナリオ:「この後簡単な調査をしてもらいます。調査提出にはパスワード認証が必要ですのでパスワード設定してください」と指示
basic8 ポリシ:最低8文字
シナリオ:「メールアカウントのパスワードを変更しなくてはいけなくなりました。パスワードを設定してください」と指示(メールシナリオ。以下すべてメールシナリオ)
basic16 ポリシ:最低16文字
dictionary8 ポリシ:最低8文字+辞書に含まれる用語を含まない(アルファベット以外を除いて、辞書と照合。Ignore case。)
comprehensive8 ポリシ:最低8文字+辞書×+大文字・小文字含む+記号含む+数字含む
blacklistEasy ポリシ:最低8文字+Unix辞書と照合(アルファベット除かない)
blacklistMedium ポリシ:最低8文字+Openwall listと照合
blacklistHard ポリシ:最低8文字+500億語辞書(Weirによるアルゴリズム利用)
評価• Guess-Number Calculators
– パスワード推測⽤の⼿法1. トレーニングセット2. BFM Caluculator
1. マルコフ連鎖を使ったルーズなブルートフォース攻撃3. Weir Algorithm Calculator
1. より複雑なアルゴリズム。パスワード構造の差による確率にしたがい推測の順序を決定
• 巨⼤なルックアップテーブルを持つことになるWeir Algorithmを分散化。– Hadoop利⽤– 64ノードクラスタ– 何千億の要素– 1.3TB
2012/6/19 IEEE-SP 2012 勉強会 6
結果:トレーニングデータによる違い
2012/6/19 IEEE-SP 2012 勉強会 9
P3:Unix Dictionary
P4:Openwall list Dictionary
E:収集したパスワード
ポリシ設定の差による強度変化
2012/6/19 IEEE-SP 2012 勉強会 10
comprehensive8
comprehensive Subset
記号・数字・大文字小文字混合ポリシにより作成されたパスワード群
他のポリシだが、結果的にcomprehensive8のポリシを満たしているパスワード群
THE SCIENCE OF GUESSING: ANALYZING AN ANONYMIZED CORPUS OF 70 MILLION PASSWORDS
2012/6/19 IEEE-SP 2012 勉強会 12
Abstract• パスワードの推測耐性は、⺟集合によって異
なるのか– 国籍、年齢、利⽤サービス等
• ⺟集合が異なるパスワード集合の取得、あるいは既存パスワード集合を属性ごとに分割することは難しい
• Yahoo!の協⼒を得て、それを取得し、分析した
• 結果:それぞれの⺟集合によるパスワード推測強度を得られたものの、差⾃体は⼤きなものではなかった
2012/6/19 IEEE-SP 2012 勉強会 13
データ収集⽅法• Yahooログインサーバの前にCollection Proxyを
置く• 各述語(属性みたいなものか)に従って、分布を
取りたいだけなので、⼊⼒はユーザIdentityが⼊らないように
• コード:– Perl– few dozens lines
• 収集期間– 2011年5⽉23-25⽇の48時間– 69,301,337ユニークユーザ– 328の異なる述語
2012/6/19 IEEE-SP 2012 勉強会 15
THE QUEST TO REPLACE PASSWORDS: A FRAMEWORK FOR COMPARATIVE EVALUATION OF WEB AUTHENTICATION SCHEMES
2012/6/19 IEEE-SP 2012 勉強会 26
Abstract• SoK (Systematization of Knowledge) Paper:– 新規性には⽋けるが、体系⽴てた整理や評価など、
コミュニティにとって⾼い価値のある論⽂• Webにおいてパスワードに変わる認証⽅式がこれ
まで多く提案されてきたが、なぜパスワードが⽣き残っているのか、調べるために、Web認証スキームの⽐較評価を⾏うフレームワークを提案
• フレームワークをもとに、具体的な評価項⽬と評価対象スキームを揃え、評価した– 11カテゴリ35スキームを、25評価項⽬により評価
2012/6/19 IEEE-SP 2012 勉強会 27
評価の軸と、各評価項⽬• 従来: UsabilityとSecurity
– トレードオフの関係にあると⾔われてきていた• 単純な線形(直線?)の関係ではない
• 第3の軸の導⼊:Deployability (配置容易性、⼊れやすさ)
2012/6/19 IEEE-SP 2012 勉強会 28
評価軸 各評価項目(Benefits)
Usability U1: Memorywise‐EfforlessU2: Scalable‐for‐UsersU3: Nothing‐to‐CarryU4: Physically‐Effortless
U5:Easy‐to‐LearnU6: Efficient‐to‐UseU7:Infrequent‐ErrosU8: Easy‐Recovery‐from‐Loss
Deployability D1: AccessibleD2: Negligible‐Cost‐per‐UserD3: Server‐Compatible
D4: Client‐CompatibleD5: MatureD6: Non‐Proprietary
Security S1: Resilient‐to‐Physical‐ObservationS2: Resilient‐to‐Targeted‐ImpersonationS3: Resilient‐to‐Throttled‐GuessingS4: Resilient‐to‐Unthrottled‐GuessingS5: Resilient‐to‐Internal‐Observation
S6: Resilient‐to‐Leaks‐from‐Other‐VerifiersS7: Resilient‐to‐PhishingS8: Resilient‐to‐TheftS9: No‐Trusted‐Third‐PartyS10: Requiring‐Explicit‐ConsentS11: Unlinkable
評価対象:11カテゴリ、25⼿法
2012/6/19 IEEE-SP 2012 勉強会 29
カテゴリ 手法
Password managers Firefox, LastPass
Proxy URRSA, Impostor
Federated OpenID, Microsoft Passport, Facebook Connect, BrowserID, OTP over email
Graphical PCCP, PassGo
Cognitive GrIDsure, Weinshall, Hopper Blum, Word Association
Paper tokens OTPW, S/KEY, PIN+TAN
Visual crypto Pass Window
Hardware tokens RSA SecurID, Yubikey, Ironkey, CAP reader, Pico
Phone‐based Phoolproof, Cronto, MP‐Auth, OTP over SMS, Google 2‐step
Biometric Fingerprint, Iris, Voice
Recovery Personal knowledge, Preference‐based, Social re‐auth
評価⼿法と結果
2012/6/19 IEEE-SP 2012 勉強会 30
http://www.lightbluetouchpaper.org/wp‐content/uploads/2012/05/matrix.png
Benefit: その項目のBenefitを提供するか
●:提供する○:ほとんど提供する空欄:提供しない
Better than Password: パスワードより良いか
緑斜線:良い赤斜線:悪い空欄:同じ