Abstract
온라인 통신, 구독 서비스 및 쇼핑에서 암호 인증이 널리 사용되고 있는 점을 감안할 때, 신분 도용에 대한 우려가 커지고 있습니다. 여러 계정에서 암호를 재사용하면 취약성이 증가합니다. 하나의 암호를 손상시키면 공격자가 여러 계정을 탈취하는 데 도움이 될 수 있습니다. 49명의 학부생을 대상으로 한 우리의 연구는 그들이 얼마나 많은 암호를 가지고 있었고 얼마나 자주 이러한 암호를 재사용했는지를 정량화합니다. 대부분의 사용자는 3개 이하의 암호를 가지고 있었고 암호는 두 번 재사용되었습니다. 게다가, 사람들이 더 많은 계정을 쌓았지만 더 많은 비밀번호를 만들지 않았기 때문에 시간이 지남에 따라 비밀번호 재사용률이 증가했습니다. 사용자는 자신의 습관을 정당화했습니다. 그들은 금융 데이터와 개인 통신을 보호하기를 원했지만, 비밀번호를 재사용하는 것은 비밀번호를 관리하기 쉽게 만들었습니다. 사용자들은 인간 공격자들의 위협을 시각화했으며, 특히 그들과 가까운 사람들을 가장 동기부여가 되고 유능한 공격자로 간주했습니다. 그러나 참가자들은 인간 공격자들을 잠재적으로 자동화된 도구들과 분리하지 않았습니다. 그들은 때때로 충분한 사전과 충분한 시도가 주어지면 전화번호와 같은 개인화된 비밀번호가 해독될 수 있다는 것을 깨닫지 못했습니다.
현재 시스템이 잘못된 암호 관행을 어떻게 지원하는지에 대해 논의합니다. 우리는 또한 웹사이트 인증 시스템과 비밀번호 관리자의 잠재적인 변화를 제시합니다.
Introduction
비밀번호 인증 시스템의 경우 사용자가 적인 경우가 많습니다. 슈나이어는 "문제는 일반 사용자들이 사전 공격을 막기에 충분한 복잡한 비밀번호를 기억할 수도 없고 기억하려 하지도 않는다는 것입니다. 비밀번호가 좋지 않아도, 사용자들은 상황을 악화시키기 위해 노력할 것입니다. 그들에게 비밀번호를 선택하라고 하면, 그들은 형편없는 비밀번호를 선택할 것입니다. 좋은 걸 고르라고 강요하면 포스트잇에 쓰고 지난달에 바꾼 비밀번호로 다시 바꿀 거예요. 그리고 여러 애플리케이션에 대해 동일한 암호를 선택합니다." [22] 간단히 말해서, 잘못된 암호 관행은 시스템을 손상시킵니다.
많은 프로젝트가 이러한 열악한 관행을 연구하지 않고 새로운 기술을 개발하는 데 초점을 맞추고 있습니다. 이와는 대조적으로, 이 논문은 암호 사용 방식을 광범위하게 살펴보고, 암호 재사용을 정량화하며, 이러한 재사용에 기여하는 요인을 조사합니다. 우리는 사용자가 자신의 열악한 관행을 정당화하는 방법을 고려할 뿐만 아니라 무엇이 그들이 더 잘하도록 장려하는지도 연구합니다. 이러한 관행 암호 관리 도구를 연결하고 현재 기술이 열악한 관행을 지원하는 방법에 대해 논의합니다. 우리는 또한 사용자가 강력한 암호를 구성하는 요소와 암호를 손상시킬 수 있는 사람에 대한 설문 조사에 대한 응답으로 인한 사전 공격에 대해 잘못 알고 있음을 보여줍니다.
비밀번호 인증 시스템의 경우, 우리의 비밀번호 연구는 온라인 계정에 초점을 맞추고 있습니다. 웹 사이트 인증은 사용자의 암호 관리 문제를 확장합니다. 실제 상호 작용을 위해 사용자는 ATM에 서 있거나, 휴대폰을 들고 있거나, 데스크톱 앞에 앉아 있는 등의 물리적 컨텍스트를 활용할 수 있습니다. 온라인 계정의 경우 사용자는 동일한 컴퓨터에 있지만 많은 다른 계정에 액세스합니다. 둘째, 실제 상호 작용은 또한 더 규칙적입니다. 사람들은 거의 매일 음성 메일 암호나 건물 입력 코드를 사용할 수 있습니다. 사용자가 특정 사이트를 거의 방문하지 않는 경우 온라인 상호 작용이 더 산발적일 수 있습니다. 종합적으로, 이러한 문제와 웹 사이트 로그인의 급증은 암호 관리 문제를 악화시키며, 특히 암호 재사용을 장려합니다 [2, 11].
온라인 비밀번호 관리를 위한 기술 솔루션은 사용자 행동을 크게 바꾸지 않고도 관행을 개선할 수 있습니다. 이는 기존 인증 시스템에 대한 대안과는 대조적입니다. 이러한 대안은 사용자가 휴대폰이나 스마트 카드와 같은 물리적 토큰과 같은 특정 장치를 가지고 있는지에 따라 달라질 수 있습니다. 사용자가 웹 사이트 계정에 액세스할 때 이미 컴퓨터를 사용하고 있습니다. 우리는 장치 수준이 아닌 응용 프로그램 수준이나 브라우저에서 시스템을 개발할 수 있습니다. 종종 적입니다. 슈나이어는 "문제는 일반 사용자들이 사전 공격을 막기에 충분한 복잡한 비밀번호를 기억할 수도 없고 기억하려 하지도 않는다는 것입니다. 비밀번호가 나쁘지만, 사용자들은 상황을 악화시키기 위해 노력할 것입니다. 그들에게 비밀번호를 선택하라고 하면, 그들은 형편없는 비밀번호를 선택할 것입니다. 좋은 걸 고르라고 강요하면 포스트잇에 쓰고 지난달에 바꾼 비밀번호로 다시 바꿀 거예요. 그리고 여러 애플리케이션에 대해 동일한 암호를 선택합니다." [22] 간단히 말해서, 잘못된 암호 관행은 시스템을 손상시킵니다. 많은 프로젝트가 이러한 열악한 관행을 연구하지 않고 새로운 기술을 개발하는 데 초점을 맞추고 있습니다. 이와는 대조적으로, 이 논문은 암호 사용 방식을 광범위하게 살펴보고, 암호 재사용을 정량화하며, 이러한 재사용에 기여하는 요인을 조사합니다. 우리는 사용자가 자신의 열악한 관행을 정당화하는 방법을 고려할 뿐만 아니라 무엇이 그들이 더 잘하도록 장려하는지도 연구합니다. 이러한 관행 암호 관리 도구를 연결하고 현재 기술이 열악한 관행을 지원하는 방법에 대해 논의합니다. 우리는 또한 사용자가 강력한 암호를 구성하는 요소와 암호를 손상시킬 수 있는 사람에 대한 설문 조사에 대한 응답으로 인한 사전 공격에 대해 잘못 알고 있음을 보여줍니다.
새로 개발된 시스템은 사용자의 요구를 통합해야 하지만 이 영역에서 사용자의 작업 관행을 연구한 사람은 거의 없습니다. Prece가 말했듯이, 우리는 "사용자들의 특성과 능력, 그들이 성취하려고 하는 것, 그들이 현재 그것을 어떻게 달성하는지, 그리고 그들이 다르게 지원된다면 그들의 목표를 더 효과적으로 달성할 것인지를 이해함으로써 이 단계에 접근해야 합니다." [17]
본 논문에서는 사용자가 온라인 계정의 암호를 관리하는 방법에 대한 설문 조사를 제시합니다. 사용자가 수행하는 작업에 대한 이러한 배경을 바탕으로 암호 관리를 지원하는 기술을 개발할 수 있습니다. 49명의 학부생을 대상으로 한 연구에서, 우리는 비밀번호 재사용의 정도를 측정하고 이 관행에 대한 사용자의 정당성을 조사합니다. 현재 관리 전략에 대해 묻고 실패한 로그인 시도의 데이터를 사용하여 사용자가 암호 인증에 문제가 있는 위치를 파악합니다. 또한 보안 예방 조치에 대한 컨텍스트를 제공하는 사용자의 공격 및 공격 모델을 조사합니다. 이 작업의 광범위한 범위는 이러한 작업으로 이어지는 환경 및 문화와 함께 실제 사용자의 작업 방식을 이해하는 데 도움이 됩니다.
Conclusions
여러 논문에서 암호 보안에 대해 연구했지만, 우리의 연구는 온라인 계정에 대한 암호 관리 전략에 대한 광범위한 설명을 개발했습니다. 다른 논문과 마찬가지로 비밀번호 재사용을 정량화했지만 당사의 고유한 방법을 통해 참가자가 웹 사이트 사용을 회수하는 대신 실제 로그인 시도로 결과를 측정할 수 있었습니다. 우리의 방법은 또한 참가자들이 웹 사이트에 로그인하는 데 어려움을 겪는 이유에 대한 설명을 이끌어냈고 메모리 보조 장치나 개인 노트북을 사용하는 것이 비밀번호 관리에 무시할 수 있는 이점이 있다는 것을 보여주었습니다. 비밀번호 관리 전략에 대한 설문지는 또한 사람들이 기억력에 의존한다는 것을 보여주었습니다. 비록 사람들이 온라인 계정에 로그인할 때 컴퓨터와 인터넷에 접근할 수 있지만, 우리는 그들이 사용한 기술이 그들의 비밀번호를 기억하는 데 도움이 되지 않는다는 것을 보여줄 수 있었습니다. 암호를 강화하기 위한 현재의 팁도 사전 공격의 특성을 설명하지 못합니다. 참가자들은 무작위로 생성된 비밀번호의 이점을 이해했지만, 그들은 여전히 인간 공격자를 묘사하고 인간이 추측하기 어렵게 함으로써 비밀번호를 강화했습니다. 이것은 참가자들이 가장 가까운 사람들이 그들의 계정을 손상시킬 수 있는 가장 큰 능력을 가지고 있다고 순위를 매겼을 때 입증되었습니다. 참가자들은 단순히 개인 정보를 아는 것이 암호를 손상시키는 데 도움이 될 것이라고 제안했습니다. 이는 사용자가 개인 정보가 암호를 구성하는 데 사용될 수 있고 일부 단어나 구문이 일반적으로 통합될 수 있음을 의미합니다. 그러나 모델은 피해자와 개인적으로 연결되지 않고 이러한 가능한 암호를 열거할 수 있는 사전의 구성을 설명하지 못합니다.
우리의 연구 결과는 또한 온라인 계정과 온라인 계정의 암호를 관리하기 위한 도구의 특성이 이들을 방해하기보다는 잘못된 암호 관행을 가능하게 한다는 것을 보여주었습니다. 기술이 어떻게 도움이 될 수 있는지와 현재 제공하는 것 사이에는 격차가 있습니다. 우리의 연구는 특히 암호 재사용 문제를 개선하기 위해 기술이 어떻게 사용될 수 있는지에 관심이 있었고, 우리의 참가자들은 기술에 정통한 인구 통계학에서 나왔습니다. 그들은 모두 잘 교육받았고 잘 연결되어 있습니다. Princeton University의 Student Computing Initiative에 따르면, 작년 신입생의 90%가 자신의 컴퓨터를 소유하고 캠퍼스 네트워크 서비스를 사용했습니다. 실험 참가자의 절반 이상이 실험실에 들어올 때 자신의 노트북을 사용했습니다. 우리는 학생들이 온라인 활동에서 무엇을 기대해야 하는지에 대한 최전선을 대표한다고 주장할 수 있습니다. 이러한 사용자들은 쉽게 새로운 기술을 채택하고 컴퓨팅 문화를 가지고 있습니다. 하지만, 우리의 연구 결과는 그들의 기술적 능력과 교육에도 불구하고, 그들은 여전히 일부 공격의 본질을 이해하는 데 어려움을 겪고 있다는 것을 보여주었습니다. 이러한 학생들은 새로운 비밀번호 관리 도구의 확산과 채택이 임박했음을 암시하기보다는, 이용 가능한 기술이 비밀번호 관리에 도움이 되지 않는다는 것을 보여주었습니다. 게다가, 그들은 사람들이 더 많은 계정을 축적하고 더 많은 계정을 갖는 것이 더 많은 비밀번호 재사용을 의미하기 때문에 시간이 지남에 따라 비밀번호 재사용이 더 문제가 될 가능성이 있다는 것을 보여주었습니다