Sahifa 1 Jarayoniga ochiq kirish Foydalanish mumkin bo'lgan maxfiylik bo'yicha o'n beshinchi simpozium va xavfsizlik usenix tomonidan homiylik qilinadi

yoki undan yuqori. Bizda ham nomutanosib ravishda yuqori foiz bor edi

texnik ma'lumotlarga ega bo'lgan ishtirokchilar, asosan

biz alohida o'rnatilgan foydalanuvchilarni jalb qilishni qiyinlashtirdik

texnik ma'lumotlarga ega bo'lmagan parol menejerlari.

Biz hech qanday umumlashtiriladigan statistik ma'lumotlarga da'vo qilmaymiz

ushbu tadqiqot: bizning maqsadimiz ba'zi foydalanuvchi turlarini tavsiflashdir

parol menejerlarini loyihalashtirish va sotishda e'tiborga oling,

shuningdek, farzandlikka olish va ulardan samarali foydalanish yo'lidagi ba'zi to'siqlar.

Bizning skrining so'rovi va maqsadga muvofiq tanlanishimiz tufayli

usullari, ehtimol intervyuga ishtirokchilar ishonishgan -

biz parolni qiziqtirgan xavfsizlik tadqiqotchilari ekanligimizni bilamiz -

boshqaruv vositalari. Bu astarlama haqida tashvish tug'dirishi mumkin

va Hawthorne ta'siri, ya'ni ishtirokchilar ko'rsatishi mumkin

parol menejerlari uchun aslida mavjud bo'lganidan ko'ra ko'proq yaqinlik.

Shunga qaramay, ko'plab ishtirokchilar odatdagi odatlar haqida bizga aytib berishdi

ular xavfsiz deb hisoblanmasligini va buning sabablari haqida bilar edilar

ular parol menejerlarini yoqtirmagan yoki ulardan foydalanishni xohlamagan.

Biz, shuningdek, foydalanuvchilarning imkoni bo'lmasligi mumkinligini tan olamiz

yoki o'zlarining parollari haqida o'zlari haqida aniq xabar berishga tayyor

barcha holatlar. Biroq, mavjud bo'lgan in-situ ma'lumotlariga qo'shimcha ravishda,

ushbu o'z-o'zini hisobotlar ongga nisbatan hal qiluvchi tushunchalarni taqdim etadi

asosiy foydalanuvchilarning kuzatilgan xatti-harakatlari.

4 natijalar

So'ralgan ko'plab foydalanuvchilar murakkab parol strategiyasiga ega edilar.

gies, shu jumladan bir nechta parolni saqlash usullari. Biroq,

biz intervyu beruvchilarni ularning pri yoki yo'qligiga qarab turkumladik.

parollarni eslab qolish uchun Mari yondashuvlari

parolga xos usullar, o'rnatilgan parol menejerlari yoki

alohida o'rnatilgan parol menejerlari. Bu erda biz tasvirlab beramiz

ushbu guruhlar hozirgi parol odatlarini qanday tavsifladilar

va ularning parolni boshqarish variantlariga munosabati.

4.1 Parolni boshqarish usullari

Parolga xos vositalarni jalb qilmaydigan yondashuvlar

ishtirokchilarning birinchi guruhi, biz ishlatilgan yondashuvlarni muhokama qilamiz

bu maxsus ishlab chiqilgan har qanday vositani o'z ichiga olmaydi

ularning asosiy usuli sifatida parolni boshqarish uchun. Bu in-

parollarni yodlash, parollarni yozish (yoki ko'rsatmalar)

parollar) qog'ozda, elektron pochta xabarlarini yoki ovozli xabarlarni yuborish

parollarni o'z ichiga olgan, parollarni shifrlanmagan komplektda ro'yxatlash

puter fayllari (masalan, Microsoft Word fayli) yoki parollar ro'yxati

yozuvlarni yozish dasturlarida (masalan, iPhone Notes dasturi). Biroz

ishtirokchilar, shuningdek, unutilganlarni qayta tiklash qobiliyatiga katta ishonishdi

parollar. To'qqiz suhbatdosh ushbu guruhda edi.

Ushbu ishtirokchilarning ba'zilari parol menejerlaridan foydalanishgan

tasodifan yoki o'tmishda. Masalan, P27, u haqida xabar bergan

Android smartfonidagi bir nechta dasturlarga kirishga muvaffaq bo'ldi

uning barmoq izi bilan, ehtimol u Google-dan foydalanganligini ko'rsatmoqda

Smart Lock cheklangan darajada. Biroq, uning asosiy strategiyasi

parollarini yodlashi kerak edi. P28-da ba'zi parollar mavjud edi

brauzerda kamdan kam ishlatiladigan uyda saqlangan

kompyuter, lekin u bularning eskirganligini va shu haqida xabar berdi

u endi so'ralganda parollarni saqlamadi.

Ichki parol menejerlari Ikkinchi guruh zarralari -

Quyida muhokama qilingan ipantslar asosan ishlatilgan parol menejerlari

brauzerlarga o'rnatilgan (masalan, Apple Safari, Google Chrome va

Mozilla Firefox) yoki operatsion tizimlar (masalan, macOS Keychain

Access & iCloud Anahtarlık yoki Google Smart Lock uchun An-

droid va ChromeOS) ba'zi birlarini yoki barchasini saqlash va avtomatik to'ldirish uchun

parollar. Ushbu vositalarning farqlovchi xususiyati

quyida muhokama qilingan boshqa parollarni boshqarish vositalari

ular brauzerda yoki operatsion tizimda mavjud

standart xususiyatlar. Ushbu vositalarga kirish uchun foydalanuvchilarga kerak bo'lishi mumkin

operatsion tizimlariga o'rnatilmagan brauzerlarni o'rnatish,

lekin ularga qo'shimcha parolga xos qo'shimcha o'rnatish shart emas

ilovalar yoki kengaytmalar. O'n ikkitasi ushbu guruhga tegishli.

Ko'pgina hollarda, brauzerga asoslangan va operatsion tizimga asoslangan

bitta kompaniyaning vositalari bir-biri bilan birlashtirilgan:

masalan, Safari-da saqlangan parollarni ko'rish mumkin

MacOS-dagi keychain Access-ni sinxronlash uchun sozlash mumkin

bulut va iCloud Keychain-dan foydalanadigan iOS qurilmalariga (barchasi Apple)

mahsulotlar). Shu sababli, biz ushbu o'rnatilgan vositalarning barchasini muhokama qilamiz

brauzerga asoslangan vositalarni farqlash o'rniga

operatsion tizimga asoslangan vositalar.

Alohida o'rnatilgan parol menejerlari Uchinchisi

biz muhokama qiladigan ishtirokchilar guruhi foydalanganlar

alohida o'rnatilgan parol menejerining ba'zi turlari, ya'ni vositalar

brauzerlarga yoki operatsion tizimlarga o'rnatilmagan va kerak

alohida dastur va / yoki brauzer sifatida kengaytirilgan

sionlar. Ushbu guruhdagi etti foydalanuvchidan intervyu oldik: to'rt foydalanuvchidan

1Password, LastPass-ning ikkita foydalanuvchisi va bitta KeePass-ning foydalanuvchisi.

Boshqa yondashuvlar Ikki ishtirokchini joylashtirish qiyin edi

yuqorida ko'rsatilgan toifalarda. P29, kim uni ta'riflagan

"qorong'ulik bilan xavfsizlik" sifatida yondashish, kombinatsiyalashgan holda xabar berilgan

xotira, mnemonika va brauzer parolini saqlash

parollarni muntazam ravishda boshqarish uchun, lekin u asosan saqlanadi

u Cardfile deb nomlangan dastur yordamida uning parol ro'yxati

"Windows 3.1 bajariladigan dasturi" deb ta'riflangan. U ushbu faylni yangiladi

Windows XP bilan ishlaydigan uy mashinasida qo'lda. P21 cre-

parollarini saqlash uchun PGP yordamida o'z shifrlangan faylini ishlatdi,

va ish paytida SSH orqali ularga kirishdi.

4.2 Parolning amaldagi odatlari

Hisob raqamlari qancha parol so'ralganda

deyarli barcha ishtirokchilarda (bundan mustasno) himoyalangan hisob qaydnomalari

alohida o'rnatilgan parol menejerlarining beshta foydalanuvchisi uchun) berdi

100 yoshgacha bo'lgan javoblar. Foydalanmaydigan ko'pchilik ishtirokchilar

parol menejerlari 50 yoshgacha javob berishdi va ikkita javob

50 dan ortiq, ammo 100 tagacha hisob raqamiga ega. Foydalanuvchilar uchun

322 Foydalanish mumkin bo'lgan maxfiylik va xavfsizlik bo'yicha o'n beshinchi simpozium

USENIX assotsiatsiyasi

15 dan 50 gacha bo'lgan hisob raqamlariga to'g'ri keldi. Alohida foydalanuvchilar uchun

o'rnatilgan parol menejerlari, beshtasi texnik ishlarga ega

parol bilan himoyalangan 100 dan ortiq akkauntga ega ekanligini xabar qildi,

bitta hisobotda 1000 dan ortiq hisob mavjud. Qolganlari; qolgan

ikkita foydalanuvchi 20-50 ta akkauntga ega ekanligini xabar qildi.

Paroldan foydalanmaydigan ishtirokchilarning paroldan qayta foydalanishi -

boshqaruv vositalari, ettitasida bir nechta xavfli parol ko'rsatilgan

parollarni juda ko'p ishlatishni o'z ichiga olgan odatlar, kam yoki yo'q

noyob parollar. Biroq, bitta foydalanuvchi hech biri yo'qligini xabar qildi

uning parollari aniq qayta ishlatilgan, lekin u qayta ishlatgan

parollar yaratishda substrings (har doim har xil bo'lsa ham

parollardagi aniq pozitsiyalar). Bu haqda boshqa foydalanuvchi xabar berdi

uning ko'pgina parollari noyob edi, lekin u ham uning ekanligini ma'lum qildi

parollarni yaratish strategiyasi bilan bog'liq so'zlardan foydalanish edi

"Bolalar", "ismlar", shaharlar yoki shtatlar, so'ngra raqamlarni qo'shing

uning parollari juda taxmin qilingan bo'lishi mumkinligini taxmin qilmoqda.

Faqatgina ichki o'rnatilgan passga ishongan bitta ishtirokchi -

so'z menejerlari noyob bo'lish uchun qilingan sa'y-harakatlar haqida alohida xabar berishdi

barcha muhim hisoblar uchun parollar. Boshqalarning taxminan yarmi

o'rnatilgan parol-menejer foydalanuvchilari og'ir qayta ishlatilishini ko'rsatdilar

ularning barcha hisoblari uchun bitta parol. Qolganlari ish bilan ta'minlangan

ularning parolini kamaytirish uchun turli xil strategiyalar

qayta ishlatish: ba'zilari noyob paroldan foydalangan holda darajadagi tizimni qo'llagan

shunga o'xshash ahamiyatga ega hisoblar uchun, ba'zilari esa bunga harakat qilishdi

muhim hisoblar uchun noyob parollar, ammo hanuzgacha ishlaydi

ularning parollarini qayta ishlatish kabi xavfli amaliyotlarda yoki

parollarida unutilmas shaxsiy ma'lumotlardan foydalanish.

Alohida o'rnatilgan pass foydalanadigan etti ishtirokchidan

so'z menejerlari, barchasi boshqalari parolga o'tish haqida xabar berishdi

menejer asta-sekin foydalanadi, faqat bitta ishtirokchi (P23) hisobot bilan-

barcha parollarni tasodifiy ishlab chiqarilganlarga o'zgartirish uchun harakat qilish,

parol menejeridan foydalanish boshlanishida noyob parollar.

P23, bu davomida kamida besh soat davom etganligini xabar qildi

u uch kunlik 40 ta hisobni ko'chirish uchun

suhbatdan uch-to'rt yil oldin bo'lgan vaqt.

(Suhbat chog'ida u taxminan borligini taxmin qildi

300 ta akkaunt.) Boshqa bir ishtirokchi (P19) majburiyat olmagan

boshida uning barcha parollarini o'zgartirish. Biridan keyin

uning qayta ishlatilgan parollari fosh qilindi, u yuzlab yangilandi

uning parollari noyob va tasodifiy ravishda yaratilgan bo'lishi kerak.

Parol ishlab chiqaruvchilari Ishongan foydalanuvchilarning faqat bittasi

birinchi navbatda foydalanish tasvirlangan o'rnatilgan parol menejerlarida

parol yaratish xususiyatlari. P10 Safari-dan foydalanganligi haqida xabar berdi

parol yaratish vositasi - tasodifiy parollarni yaratish uchun

portativ hisoblar. U Apple-ning Keychain funksiyasidan foydalangan

ushbu parollarni yozib olish va to'ldirish uchun. (U qayta ishlatishni tasvirlab berdi

ba'zi bir past qiymatli hisoblarda zaif parol.)

U turtki sifatida yaqinda hisob buzilishini ko'rsatdi

ushbu strategiya: ilgari u o'zining ko'pchiligini qayta ishlatar edi

parollari va keyin tajovuzkor bo'limga kirish huquqini qo'lga kiritdi

do'kon hisobi, shuningdek uning elektron pochtasi. U buni quyidagicha ta'rifladi

zudlik bilan xohishni keltirib chiqaradigan shikast tajriba

uning odatlarini o'zgartiring:

Mening barcha ma'lumotlarim shunchaki olingan. Bu dahshatli edi,

shuning uchun har bir kishi uchun yangi bank kartasini olishim kerak

narsa, yangi kredit kartalarini olish kerak ... Ana shunda

Men qayta baholashim kerakligini tushunib etdim. Ana shunda

Men ishlashim kerak bo'lgan har bir parolni o'zgartirdim -

dom raqamlari. Hatto ikki marta o'ylamadim ham. Men shunday edim,

«Biror narsani o'zgartirish kerak va u o'zgarishi kerak

mening oxirida ”.

Ushbu intervyular vaqtida Safari parolni taklif qildi

generator, ammo Safari-dan foydalangan oltita ishtirokchi

ularning ba'zi qurilmalari ushbu xususiyatdan foydalanilganligi haqida xabar bermadilar. Google

Chrome yangi 69-ni o'z ichiga olgan Chrome 69-ni chiqarishni boshladi

parol yaratish xususiyati, 2018 yilning kuzida [8, 33]. Ba'zilarimiz

intervyular Chrome 69 chiqarilgandan so'ng o'tkazildi, ammo

hech qanday Chrome foydalanuvchisi ushbu xususiyatdan xabardorligini yoki ishlatilishini eslatib o'tmagan.

Parol menejerlarining alohida o'rnatilgan barcha etti foydalanuvchisi

yaratishda tasodifiy ravishda yaratilgan parollardan foydalanish haqida xabar berilgan

yangi hisoblar va ushbu ishtirokchilarning aksariyati noyoblardan foydalanganlar

yangi yaratilgan hisoblar uchun parollar (bundan mustasno

P22, uning strategiyasi quyida batafsilroq tavsiflangan). P30

oldin tasodifiy parollar yaratish uchun veb-saytlardan foydalanganligi haqida xabar bergan

LastPass-da bunday qobiliyat borligini anglab etish.

P22 strategiyasi boshqa partiyalar strategiyasidan ajralib turardi.

shim. Birinchidan, u o'rnatilgan parol generatoridan foydalanmadi

1Parol: u buning o'rniga boshqa generatorlardan foydalanishni afzal ko'rdi

u xabar bergan Symantec tomonidan taklif qilinganidek, shunchaki a

"odat" masalasi. Ikkinchidan, u yaratilgan pass-dan foydalanmadi

so'zlar asl shaklida, lekin o'rniga o'zgartirishlar kiritdi

o'rtasiga belgilar qo'shish va / yoki olib tashlash orqali o'zi

parollarni saqlashdan oldin ba'zi belgilar

ularni "xavfsizroq" va "tasodifiy".

Bundan tashqari, P22 u parollarni qayta ishlatganligi haqida xabar berdi

hisoblar uchun noyob parollarni saqlashdan ko'ra, darajalar. Uchun

Masalan, u xuddi shu paroldan foydalanishi mumkinligini aytdi

barcha ijtimoiy media hisoblari uchun. U bundan xavotirlanib shunday qildi

u parol menejeriga aniq kirish huquqiga ega bo'lmasligi mumkin

vaziyatlar yoki boshqa birovning qurilmasini qarz olayotgan bo'lsa.

Asosiy parollar sepadan foydalanadigan etti ishtirokchi.

tez orada o'rnatilgan parol menejerlari bir qator ishlaydilar

ularning asosiy parollari bilan ishlash uchun turli xil yondashuvlar. Hammasi

ammo etti kishidan biri (P20) noyob paroldan foydalanganligi haqida xabar berdi

ularning asosiy paroli sifatida. P20 uning xo'jayini o'tayotgani haqida xabar berdi

So'z uning qayta ishlatilgan uchta parolidan biri edi. Biroz

ishtirokchilar (P18, P23) parollarni o'zlari kabi ishlatganliklari haqida xabar berishdi

"filmdan iqtibos" (P23) yoki "sen-" kabi asosiy parollar

mantiqsiz tent »(P18). Ba'zilar (P17, P19, P22,

P30) ularning asosiy parollari tasodifiy gen ekanligini ko'rsatdi

ko'tarildi. P17, P19 va P22 da so'raydigan 1Password ishlatilgan

foydalanuvchilar tasodifiy ravishda yaratilgan asosiy parolni yodlashlari uchun

qayd yozuvini yaratishda. LastPass-dan foydalangan P30 xabar berdi

USENIX assotsiatsiyasi

323. Qanday bo'lmasin, shaxsiy hayot va xavfsizlikka oid o'n beshinchi simpozium