web-dev-qa-db-ja.com

パスワード強度インジケーターはパスワード強度を高めますか?

インターネットを閲覧するだけで、サインアップ時にパスワード強度インジケーターが表示され、個人的に気にしていないことがわかりました。入力されたパスワードの強度が平均でパスワード強度インジケーターによって増加するかどうかを誰かが知っていますか?

[〜#〜]編集[〜#〜]

この質問は、パスワード強度インジケータのpsychological効果に関係しています。明らかに、パスワードの強度を決定するためのアルゴリズムは正確である必要があり、ソフトウェアがパスワードを特定の強度に強制すると、パスワードの強度は明らかに増加します

40
OneChillDude

カーネギーメロン大学の研究者は最近(2012年)、パスワード強度メーターとパスワード作成への影響​​を調べました。 「 パスワードはどのように測定されますか?パスワード作成への強度メーターの影響 」にはすべての詳細がありますが、要約はそれらの結果をうまくまとめています(強調は私のものです):

14のパスワードメーターが存在する場合の2,931件のパスワード作成の研究を紹介します。 さまざまな視覚的外観を持つメーターにより、ユーザーはより長いパスワードを作成するようになることがわかりました。ただし、パスワードクラッキングアルゴリズムに対する耐性の大幅な向上は、パスワードを厳格にスコアリングしたメーターを使用した場合にのみ達成されました。これらの厳しいメーターは、参加者にさらに多くの数字、記号、大文字を含めるように導きました。

パスワードメーターもパスワード作成の動作に影響を与えました。厳しいメーターを見た参加者は、パスワードの作成に長い時間を費やし、パスワードの入力中にパスワードを変更する可能性が高くなりましたが、パスワードメーターが煩わしいと感じる可能性も高くなりました。ただし、最も厳しいメーターと視覚バーがないメーターでは、参加者はメーターの満足度をあまり重視していませんでした。より緩やかなメーターを確認した参加者はメーターを埋めようとし、メーターが「悪い」または「悪い」と見なしたパスワードを選択することを嫌いました。

パスワードの長さとパスワードの強度の違いを指摘するために、強調が追加されました。

51
CJF

パスワード強度インジケーターは、それ自体、強力なパスワードを保証するものではありません-純粋なUXの観点から、要件が複雑になるほど、クリックしたり、既存のパスワードを使用したり、書き留めたりする可能性が高くなるため、人間にとっては困難になります覚えておく必要がありますが、コンピュータを解読するのはほんの少し難しいだけです。

ほとんどのパスワード強度インジケーターは、「文字」の長さと混合の2つの要素を調べます。私が目にする最も一般的なのは、少なくとも8文字の長さで、少なくとも1つの数字または特殊文字を含む必要があることです。ただし、これらのメーターは、辞書の単語だけでなく、既知のパスワードの使用を妨げることはありません。

たとえば、pa55Wordをパスワードとして使用すると、上記のすべての要件を満たしますが、エントロピーは1で、「瞬時」のクラック時間があります。 pa55Wordをp @ 55Wordに変更しても、これは一般的な置換であるため、違いはありません。ここでの問題は、ほとんどの強度チェッカーが認識しないWordパスワードのさまざまな形式の使用です。

マーク・バーネットは2011年に、6メートルの一般に入手可能なクラックされたユーザー名とパスワードの組み合わせ( https://xato.net/passwords/more-top-worst-passwords )に基づく10,000のトップパスワードについていくつかの優れた調査を行い、発見しました「10,000の最も一般的なパスワードのこのリストは、すべてのユーザーパスワードの99.8%に相当します。」確かに、それらのほとんどは単なる文字または文字と数字ですが、上記のように、数字または句読点を文字だけに置き換えるだけでは十分ではありません。

ほとんどの強度チェッカーの欠陥のxkcdに良い例があります-基本的に、より強力でクラックが難しい誰かに尋ねると、(a)Tr0ub4dor&3 OR(b)正しいホースバッテリーステープルは、ほとんどの場合(a )まだ(b)は3日間と比べて550年のクラック時間があり、aはほとんどのユーザーにとって覚えるのがはるかに困難ですが、より強力です。

enter image description here

これに基づいて、Dropboxはエントロピー( http://en.wikipedia.org/wiki/Entropy )に基づいた新しいパスワード強度インジケーターを思い付きました。 3つのパスワードについてWebで一般的に使用されている他の多くのシステムに対するライブラリ。3つのパスワードの強度評価に大きな違いがあり、qwER43 @ !、 Tr0ub4dor&3、correcthorsebatterystapleなどの調査結果が興味深いものでした。

https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/

結局のところ、これはUXに関するものであるため、セキュリティと使いやすさのバランスをとるように注意する必要があります。何もせず、人々はパスワード(上記の調査では32,000回使用)を使用しますが、ルールを複雑にしすぎて人々はそれらを書き留めます。

アプリケーションではパスワード強度インジケーターを使用しないことを選択しましたが、代わりに、上位10,000のリストの単語を使用するのを防ぐだけです。これはチョークでは完璧ではありませんが、特に何がそうであるかはわかりません。 qwER43 @!のようなパスワードzxcvbnは「弱い」と見なしているので、ユーザーに何日もかけてパスワードを知らせずに安全なパスワードを選択させる方法はありません。これは、顧客にWebアプリケーションにサインアップさせようとしても、qwER43 @!弱いパスワードは、最も強い心を持った顧客以外のすべてを困らせる可能性があります!

33
bhttoan

インジケーターに関連するゲーミフィケーション効果があります。これは、ユーザーが正しいことをしていることをユーザーに知らせ、一般に人々は物事を達成したいと思っています。

7
Owen Johnson

それらは、ユーザーに非常に弱いパスワードを回避させることによってパスワードの強度を高めますが、これは物事の弱い端をかろうじて支えているだけです。強力なパスワードは、パスワード強度メーターの「上限」から離れすぎている傾向があるため、メーターは実際にはそれらを区別するのに役立ちません。

代わりに、「クラックする時間」を指標として使用することをお勧めします。これははるかに有用な指標であり(特に、「私は個人的に気にしない」というあなたの不満に対して)、クライアント側で非常に迅速に推定できます。

2
trapezoid

パスワード強度インジケーターは、非常に弱いパスワードの設定を回避するように特別に設計されているため、ユーザーがパスワードの入力>送信>変更に戻るサイクルを回避するのに役立ちます(パスワードが弱すぎることをシステムが示しているため) 。インジケータがパスワードが弱いことを示している場合、ユーザーはパスワードを少なくとも許容レベルに変更/拡張できます。

私が行って人々が観察したことのほとんどは、指標が中程度に強い(または弱く許容できる以上のもの)場合、非常に強いレベルに到達するのではなく、前進することを選択する可能性があることです。このようなインジケーターの検証に使用されるいくつかの「強度」パラメーターがあるため、最も一般的なパラメーターは、少なくとも8文字の長さ、数字、特殊文字の使用、ユーザー名の使用の回避などです。これにより、ユーザーのパスワードよりも強力になります。簡単に入力できるように他の方法で使用しています。

1
roni