Sahifa 1 Jarayoniga ochiq kirish Foydalanish mumkin bo'lgan maxfiylik bo'yicha o'n beshinchi simpozium va xavfsizlik usenix tomonidan homiylik qilinadi

P14 "kabi parollarni eslab qolish osonroq bo'lishini istadi

universal tipdagi tizim ».

Xavfsizlik To'qqiz ishtirokchidan oltitasi har xil fikr bildirdi

parol vositalarining xavfsizligi bilan bog'liq muammolar.

Ba'zilar bu haqda tashvishlanishlarini yoki bilimlari etishmasligini bildirdilar

parol menejerlarining xavfsizligi. P12 unga kerak bo'lishini ta'kidladi

ularning xavfsizligi haqida ko'proq bilish uchun. P11 o'tishni xohlaydimi?

so'z menejerlari "haqiqatan ham xavfsiz va xavfsiz" va ta'riflangan

odatda "leery of" bo'lgani uchun "qalam va qog'oz" ni afzal ko'radi

texnologiya ”deb nomlangan. P11 qaerda va qanday parolni bilmoqchi edi

menejerlar P27 kabi parollarni saqlashdi.

Ba'zi ishtirokchilar brauzer parolidan foydalanishni o'ylashdi

xususiyatlari, ammo ularning xavfsizligi to'g'risida noaniq edi. P26 tasvirlangan

kamayib borayotgan brauzer parollarni saqlashni talab qiladi, chunki “u seziladi

xatarli." Ilgari P28 Chrome-da parollarni saqlagan

va buni oson his qilganini aytdi, lekin u ishonchsizligi sababli to'xtadi

Chrome parollarni xavfsiz saqlaganligi.

P11 shuningdek, kim yoki nima bo'lganligi haqida chalkashliklarni tasvirlab berdi

uni parollarini brauzerida saqlashni so'rash:

Mendan Google so'rayotganini bilmayman, bilmayman

mendan so'ragan veb-saytmi yoki yo'qligini biling ... bu

bitta sabab bo'lishi mumkin [parollarni saqlamaslik].

Ba'zi ishtirokchilar parol menejerlaridan foydalanishni xohlamadilar

ma'lum turdagi tajovuzkorlar, shu jumladan xavotir tufayli

tashqi tajovuzkorlar (ya'ni "xakerlar"), parol bilan ishlaydigan xodimlar -

menejer kompaniyalari va boshqa foydalanuvchilar (vakolatli yoki avtorizatsiya qilingan)

moslashtirilgan). P14 muhim hisoblardan xavotirda

ularning parollari saqlangan bo'lsa, ular buzilgan:

Men uni ishlatsam, afsuslanaman deb qo'rqaman

oxiri. Mening tizimimga xaker kirishi mumkin.

Bilasiz? Ba'zi odamlar uchun hech narsa yo'q va

ular shunchaki odamlarning kompyuterlarini yo'q qilish uchun buzishadi

sabab. Bu shunchaki ishonchsizlik kabi .... Men foydalanaman

u [Chrome parol menejeri] ba'zi bir amallar uchun

hisoblaydi ... lekin men uni elektron pochtam uchun ishlataman deb o'ylamayman yoki

mening bankim ...

P27 kompaniyadagi xodimlarning taklif qilishidan xavotir bildirdi:

parol menejeri shifrini ochishi va unga kirishi mumkin

uning parollari. P27 shuningdek, boshqa foydalanuvchilar haqida tashvishlanardi

uning qurilmasi P4 va P11 singari o'z hisoblariga kirmoqda.

Himoyalash uchun etarli emas Uch ishtirokchi o'zlarini his qilishdi

hisoblari etarli bo'lmagan yoki ularning hisobvaraqlari yo'q edi

xavfsiz parolni boshqarishni talab qiladigan darajada qimmat

vosita. P5 va P27 o'zlarini eslay olishlarini his qildilar

parollar yordamisiz.

Internetdagi hayotim unchalik murakkab emas

ozmi-ko'pmi eslay oladigan 15 ta parolim

va mening kichik kitobim. Ammo agar bu endi olinadigan bo'lsa

Agar men o'nlab narsalarga ega bo'lsam, bundan ham murakkabroq

hisob qaydnomalari, keyin ha, men .... deb o'ylardim

agar parollar bilan ishlashning juda yuqori usuli mavjud

siz ulardan juda ko'p sonidan foydalangansiz. (P5)

P5 va P12 o'zlarining hisob raqamlari etarli emasligini his qildilar

qo'shimcha xavfsizlik talab qiladigan yuqori qiymat

parol menejeri. P5 agar biron bir narsa bo'lsa, uni ishlatishi mumkinligini aytdi.

hisoblar muhimroq moliyaviy ma'lumotlarni himoya qilar edi.

Internetda oldindan to'langan kredit kartalaridan foydalanganligini eslatib o'tgan P12

bank hisob raqamlariga ulangan kartalar o'rniga xaridlar, dedi

agar u bank bo'lsa, u parol menejeridan foydalanishni o'ylashi mumkin

himoya qilish uchun hisob-kitoblar yoki tibbiy yozuvlar.

Ba'zi ishtirokchilar mexanikani kontseptsiyalashda muammolarga duch kelishdi.

"buzish" nizmlari yoki o'z hisob raqamlarining statistik xavfi

murosa qilish. Masalan, P7, uni ishlatishni muhokama qilganda

340 million yozuvlar oshkor qilingan veb-sayt,

o'z ma'lumotlarining ehtimoli borligiga ishongan

fosh "340 milliondan biri" edi va shuning uchun unchalik mos emas edi

tashvishlanib: “Menga baribir ... Men bu tavakkalni har doim o'z zimmamga olaman. Men ko'proqman

ehtimol bu erdan yurib, mashina bosib ketishi mumkin, shunday emasmi? "

Yagona muvaffaqiyatsizlik nuqtasi Ba'zi ishtirokchilar xavotirda edilar

ularning barcha parollarini bitta joyda saqlash. P27 xavotirda edi

xavfsizlik to'g'risida: "Agar kimdir ular qanday ishlashini bilib qolsa

Agar ular mening barcha parollarimga kirish huquqiga ega bo'lsalar edi

mening bir parolim o'rniga darhol ". U ham xavotirga tushdi

agar uning barchasi bo'lsa, yangi parollar yaratish qiyin bo'lar edi

parollarni o'zgartirish kerak edi. P11 va P26 qo'rqib ketishdi

unutilganligi sababli ularning barcha parollariga kirish huquqini yo'qotish

asosiy parol yoki boshqa muammo.

O'tmishdagi salbiy tajribalar Bunda uchta ishtirokchi

guruh parol menejerlari bilan salbiy tajribaga ega edi

oldingi. Ular yordamida parollarini ishonchli saqlay olmadilar

bu vositalar. P4 Google Chrome-da ba'zan borligini xabar qildi

parollarini noto'g'ri saqlagan, masalan, kichik harflar bilan

katta emas, balki ter. Shuningdek, u parollarni yo'qotganini esladi

brauzer keshini tozalagandan so'ng uning telefonida saqlanadi. Simi-

larly, P14 u Chrome parolidan foydalanishga harakat qilganini aytdi

o'tmishda menejer, ammo "bu asosan ishlamaydi". U

bu uning shaxsiy ma'lumotlarini, masalan, manzilini,

lekin bu uning parollarini saqlay olmagani uchun: “Garchi unda yozilgan bo'lsa ham

uni tejashga yordam beradi, unday emas .... Qani endi ko'proq tejashini xohlasam.

P28 parol menejerlari bilan bog'liq muammolarga duch keldi

o'tmishda, chunki u parollarini tez-tez o'zgartirgan: u

brauzer eskisini to'ldiradigan holatlarni tasvirlab berdi

parolni kiriting va tizimga kirishda xatolik yuz berdi. P28 ham qisqa vaqt ichida harakat qildi

LastPass-ni qabul qiling, lekin u asosiy parol yaratishni topdi

"to'siq": "men istagan so'nggi narsa - ma'lumotlar bazasiga ega bo'lish

soxta [master] parol bilan barcha parollaringiz bilan. ”

USENIX assotsiatsiyasi

325. Qanday bo'lmasin maxfiylik va xavfsizlik to'g'risida o'n beshinchi simpozium

9-bet

4.5 Ichki paroldan foydalanuvchilarning tajribalari

Menejerlar

Parol menejeridan foydalangan 12 ishtirokchidan

brauzerda yoki operatsion tizimda, yarmi (oltitasi) ular haqida xabar berishdi

ularning parol bilan boshqarilishidan qoniqish hosil qilmadi

tanlov. P3: "Men bundan yaxshiroq yo'l bo'lishi kerakligini bilaman" dedi. Ikki

Ishtirokchilar noaniq edilar va osonroq bo'lishlarini istashdi

yoki parollarni boshqarish uchun xavfsiz usul.

Ishtirokchilar odatda o'rnatilgan parolni qabul qilish haqida xabar berishdi

so'rovlarni ko'rganligi yoki sabablarga ko'ra menejerlar

nience va ushbu vositalarning ularga yoqadigan jihatlari

avtomatik to'ldirish kabi qulaylikka yo'naltirilgan xususiyatlar. Ushbu qismlar

xavfsizligi sababli shimlar ushbu vositalarni tanlaganliklari to'g'risida xabar bermadilar

rity. Ko'p hollarda, ular o'zlarining parol odatlariga ishonishgan

xavfli edi, ehtimol to'g'ri, chunki ularning aksariyati xabar berishdi

parolni sezilarli darajada qayta ishlatish - lekin bunga turtki bermadi

bu odatlarni o'zgartiring va kabi xususiyatlardan xabardor emas edingiz

ularga yordam beradigan parol generatorlari.

Yoqtirishlar Deyarli barcha ishtirokchilar avtomatik to'ldirishni yoqtirishni ta'kidlashdi.

P16 bu vaqtni tejashini aytdi va P24 ushbu konvetsiyadan zavqlandi

"har doim parol yozish" kerak emasligi.

Dan ko'ra Chrome xususiyatlarini yaxshi biladigan P25

boshqa foydalanuvchilarga Chrome unga parollarni sinxronlashtirishga ruxsat bergani yoqdi

qurilmalarda va uning parollarini ko'p faktorli himoya qilish

autentifikatsiya.

Parolni boshqarish bo'yicha har qanday sharhlardan tashqari

vositalari, ushbu guruh ishtirokchilarining yarmi o'zlarini eslatib o'tdilar

parollarni qayta ishlatishni yoqtirdi, chunki bu ularni eslab qolishlariga imkon berdi

ularning parollarini osongina. Masalan, P3 shunday dedi:

Bu bejiz emas. Men bu haqda o'ylashim shart emas, shunchaki

avtomatik ravishda bajaring. Men 68 yoshdaman va bunday emasman

mendan ko'ra ko'proq eslashni xohlamoqchiman.

To'rt ishtirokchini (P3, P6, P15 va P24) ifoda etishni yoqtirmaydi

parollardan foydalanish huquqiga ega bo'lgan boshqa odamlar bilan bog'liq muammolar

ular o'rnatilgan vositalar yordamida tejab qolishdi. Masalan, P6 xavotirda edi

u kompyuterini qarzga oldi, deb aytgan farzandining do'stlari

Ba'zan uning uyiga tashrif buyurayotganda, onlayn ravishda pul ishlash mumkin

uning hisoblaridan foydalanib ta'qib qilish

Shikoyatlarning yana biri - parollarning ochiqligi

parollar saqlanmagan qurilmalar (P2, P6).

Avtomatik to'ldirish juda ajoyib. Men bunga tayanishni boshlayman

ko'proq va ko'proq. Agar sizda bu narsa yo'q bo'lsa

vitse ... va kerak bo'lganda boshqa joyda bo'lasiz

uni ko'rishim mumkin bo'lgan yagona yiqilish. (P2)

12 ishtirokchidan o'ntasi buni bilmagan yoki ishonmagan

ularning parol menejeri ularga hamma ro'yxatini ko'rishga ruxsat berdi

parollar, Chrome, Firefox va Safari taklif qilsa ham

bu. To'rt ishtirokchi (P2, P6, P9, P13) ta'kidladilar

barcha saqlangan parollarini ko'rish imkoniyatini istaydi.

P15, ba'zida o'rnatilgan vositalar yo'qligini ta'kidladi

u o'zgartirganda parollarini yangilang.

O'rnatilgan parol menejerlarini qabul qilish omillari №

Ishtirokchilar xavfsizlik yoki noyob parollar yoki ishlatilganligini eslatib o'tdilar.

ichki o'rnatilgan parollarni qabul qilish uchun sabab sifatida ishlab chiqarilgan parollar

parol menejeri. Ushbu guruhdagi foydalanuvchilar barcha e'tiborlarini ko'rsatmalarga qaratgan,

qabul qilish omillari sifatida qulaylik yoki xotira cheklovlari.

Guruhdagi 12 ishtirokchidan to'qqiztasi takroriy eslashdi

parollarni saqlash uchun vositalardan takliflarni to'xtatish

ularni. Etti kishi ushbu ko'rsatmalarni tezda qabul qildi va bu foydalanuvchilar

vositani qabul qilishlari uchun boshqa alohida sabablarni keltirmadi.

Ikki ishtirokchi (P1 va P25) ularni qabul qilishni sekinroq qilishdi

so'raydi. P1 u nihoyat bir kun qaror qilganini eslatib o'tdi

u o'zini "dangasa" deb his qilganda "ha" tugmasini bosing. P25 u ekanligini aytdi

Chrome brauzeriga parollarini saqlashiga ruxsat berishiga shubha bilan qarayman, ammo bu

u do'stlariga yoqishini eshitgandan keyin o'zini yanada qulay his qildi

Chrome parol menejeri va uni qulay deb topdi.

Olti ishtirokchi qulaylik uchun sabab ekanligini ta'kidladilar

"tezroq" kabi afzalliklarni ta'kidlab, o'rnatilgan vositadan foydalanish

tizimga kirish. P2-da parolni majburiy o'zgartirish zarurligi qayd etilgan

unga barcha parollarini o'zi eslab qolishi qiyin.

4.6. Foydalanuvchilar orasida samarali foydalanishga to'siqlar

Ichki parol menejerlari

O'rnatilgan parol menejerlari foydalanuvchilari ko'pincha ularni qabul qilishadi

qulaylik sabablari yoki ko'rsatmalarni ko'rish sababli. Shunga ko'ra,

ular ko'pincha ularni samarali yoki xavfsiz usullardan foydalanmaganlar, chunki

ular (ehtimol noto'g'ri) o'zlarini past darajadagi deb hisobladilar

xavf yoki ular etarli bilimga ega bo'lmaganligi sababli.

Xatarlarni baholash Ishtirok etgan ko'plab ishtirokchilar singari

parolni boshqarish vositalaridan foydalanmaslik, 11 ishtirokchi

qayta ishlatilgan parollarni o'zlarining ichki parollarida saqlagan

aers tufayli odatlarini o'zgartirishni ko'pincha istamas edilar

hisobni buzish bilan bog'liq shaxsiy tajribaning etishmasligi,

hisobni buzish xavfi past bo'lganligi haqidagi taxmin yoki a

hisobdagi kelishuv muhim ahamiyatga ega emasligiga ishonish

salbiy ta'sir.

Qayta ishlatilgan parollarni saqlagan 11 ishtirokchidan sakkiztasi

o'rnatilgan parol menejerlari ularni tan olishdi

parol odatlari ularni biroz xavf ostiga qo'yadi. Biroq, P1, P8 va

P25 shuni aytishicha, ular o'zlarining xatti-harakatlarini o'zgartirishi mumkin emas

ular hozirgacha salbiy oqibatlarni boshdan kechirmagan edilar.

Ha, shunga o'xshash barcha parollarga ega bo'lish yomon fikr

juda o'xshash bo'lish, lekin menimcha, chunki bunday emas

shaxsan kimdir ta'sir qildi ... meni buzish

yoki ma'lumotimni o'zgartirish yoki ushlash ... Men unchalik moyil emasman

parollarimni boshqarish usulini o'zgartirish uchun. (P1)

P10, o'rnatilgan yagona parol menejeri foydalanuvchisi

tasodifiy yaratilgan parollardan foydalanib, u ham xabar berdi

326 Foydalanish mumkin bo'lgan maxfiylik va xavfsizlik bo'yicha o'n beshinchi simpozium

USENIX assotsiatsiyasi

10-bet

hisobni murosaga keltirish xavfi borligiga ishonmagan edi

u buni birinchi marta boshdan kechirguncha:

Aslida unday emas, chunki men hech qachon boshdan kechirmaganman

[buzib tashlangan] kabi narsa. Bu shunchaki ... to'liq edi

ko'z ochadigan vosita. Men shunday edim: “Hech kim hech qachon bo'lmaydi

hech narsani buzmang, hech narsa yo'q ”. To'liq sodda.

Yana ikkita ishtirokchi (P3 va P9) xavfni tan olishdi

ularning xatti-harakatlarida, lekin ularning hisoblari emasligini his qilishdi

juda katta qiymat. Ularning ikkalasi ham parol menejerlaridan xabardor edilar,

va ulardan biri alohida o'rnatilgan parolni ishlatgan

ilgari. P3 u faqat Internetda xarid qilganini tushuntirdi

"mayda-chuyda narsalar" va ularning aksariyati bilan shug'ullanadigan rafiqasi uchun

moliya, parollar haqida tashvishlanish uchun ko'proq sabablarga ega edi.

P9 uning yo'qotadigan ko'p narsasi yo'qligini da'vo qildi: “[T] hey

mening bank hisob raqamim bo'lishi mumkin; unchalik katta pul yo'q ». P9

ular ekanligini aytib o'tgan bir nechta ishtirokchilardan biri edi

o'zlarining ma'lumotlariga qaraganda boshqalarning ma'lumotlariga nisbatan ehtiyot bo'lishlari kerak:

u bo'lganida u parollarni yaxshiroq qo'llashni tasvirlab berdi

u mas'ul bo'lgan universitet ishida ishlash

uning kompyuteridagi tadqiqot ma'lumotlari.

Xabardorlik yoki bilim etishmasligi

parol menejerlaridan foydalanmaydigan shimlar, bilim etishmasligi

o'rnatilgan parol menejeri foydalanuvchilari uchun to'siq bo'lib qolmoqda. To'rt

12 ishtirokchidan atamasi umuman bilmagan va

faqat bittasi (P16) alohida o'rnatilganligini anglagan

parol menejerlari.

Bundan tashqari, 4.2- bo'limda muhokama qilinganidek, faqat bitta o'rnatilgan

parol menejeri foydalanuvchisi foydalangan yoki hatto undan xabardor bo'lgan

parol menejeriga kiritilgan so'zlarni yaratish xususiyati.

Ma'lumotlarning etishmasligi ham ularning ayrimlarini keltirib chiqardi.

alohida o'rnatilgan vositalarni ko'rib chiqishni istamaslik uchun ipants.

So'ngra suhbatdosh mavjud pasportlarning tavsifini taklif qildi

so'zlarni boshqarish variantlari, uchta ishtirokchi (P2, P3 va

P13) parol menejerlari haqida tashvish bildirdi

tanish kompaniyalar. P2 u taklif qilingan vositadan foydalanishi mumkinligini aytdi

Google singari taniqli kompaniya tomonidan, ammo u "jirkanch" bo'lishini

"yangi nom olgan kompaniya" ning:

Har qanday uchinchi tomon meni biroz qo'rqitadi. Men qilmayman

uning ushbu qismini kim yoki nima bilan shug'ullanayotganini va nimani bilishini

ma'lumotlar u erda tarqatiladi.

4.7 Alohida-alohida foydalanuvchilarning tajribalari

parol menejerlari to'xtab qoldi

Parol menejerining beshta alohida foydalanuvchisi (P17, P18,

P19, P22 va P23) ularni qoniqtirganliklari haqida xabar berishdi

ularning parol menejerlari, ammo texnik bo'lmagan ikkita foydalanuvchi

(P20 va P30) fonlari kamroq ijobiy hislarga ega edi. P20

uning parol menejerini "eshakdagi og'riq" deb atagan, ammo

yaxshiroq echim hech qachon mavjud bo'lishiga amin emas edi.

Yaxshi echim bo'lmaydi, men boraman

ularni vaqti-vaqti bilan saqlamaslik uchun, va men boraman

qo'ng'iroq qilib, kimdir ularni qayta o'rnatishi kerak ... Bu shunday

faqat shu narsalarni saqlash uchun to'laydigan narx ....

Men sog'liqni saqlash bilan shug'ullanaman, shuning uchun biz profilaktika haqida o'ylaymiz

davolash o'rniga, va bu narsa narsa

sodir bo'layotgan narsalarning oldini oladigan joyda,

ammo buning uchun hech qanday mukofotni ko'rmayapsiz. Shunday qilib, agar qilmasam

xakerlik hujumiga tushish, menda hech qanday ziyofat yo'q, chunki men buni olmayman

buzilgan. Agar meni buzib tashlashsa ... Men taxmin qilyapman

bu haqiqatan ham salbiy tajriba.

P18 va P23-ni yoqtirishlari endi eslash shart emas

rize parollari. P17 va P30 shuningdek, odatda yoqtirishni nazarda tutgan

ularning parollari saqlanganligi yoki saqlanganligi. Bir nechta ishtirokchilar

parol menejerlaridan foydalanganliklarini ham eslatib o'tdilar

parollardan tashqari ma'lumotlarni saqlash. P22 qobiliyatni topdi

SSH kalitlarini ayniqsa foydali saqlash uchun.

P19, P23 va P30 tasodifiy ishlab chiqarishni yoqtirishdi

parollar. P19 parollarga ega bo'lishni juda yaxshi ko'rardi

lug'at hujumlariga qarshi himoyasiz emas va bu ehtimol

tajovuzkorning yorilishi sekin. P30-ga ham bu juda yoqdi

parol menejeri unga noyob parollardan foydalanishda yordam berdi.

P18 (KeePass foydalanuvchisi) va P22 (1Password foydalanuvchisi) xususiyatlari

ish stoli mijoziga ega bo'lish juda yoqdi. P23 qobiliyati yoqdi

qurilmalar bo'ylab sinxronlash. P20 buning portativligini yuqori baholadi

tizim yoki "yo'lda" mavjud bo'lgan parollarga ega bo'lish qobiliyati.

P19 parollarni yozmasdan to'ldirish qobiliyatini eslatib o'tdi

muhim xususiyat sifatida, lekin u ayniqsa 1Pass-ni yoqtirdi

so'zning bajarilishi: “Bu tasodifiy domenlarni tanlamaydi

fishing veb-saytini yoki shunga o'xshash narsalarni to'ldiring. " 1

P17-ni yoqtirmaydilar, "foydalanuvchi tajribasi nuqtai nazaridan,

[1Password] - bu tartibsizlik », deb ta'kidlab, bu ko'pincha foydalanuvchini qutqarmadi

ismlar yoki parollar to'g'ri. U shuningdek, 1Pass-

so'z ba'zan to'ldirmasdan parolni to'ldiradi

tegishli elektron pochta yoki foydalanuvchi nomi va yuborishga harakat qiladi

bu to'liq bo'lmagan ma'lumot.

P30, "[LastPass] ilovasi so'radi" dedi, shuningdek, muammolarni keltirib chiqardi

brauzer kengaytmasi veb-saytlarga to'g'ri kirmayapti.

P20 shuningdek Google Chrome-ning ziddiyatlariga duch keldi

parol menejeri va LastPass brauzerining kengaytmasi: beri

u ilgari Chrome-da ba'zi parollarni saqlagan, Chrome

uni hali ham parollarni to'ldirish yoki saqlash haqida so'raydi.

P23 uzoq, tasodifiy generatsiyaga kirish qiyinligini keltirdi

mos kelmaydigan ba'zi qurilmalarga kiritilgan parollar

parol menejeri bilan ble, masalan, o'yin pristavkalari yoki

Roku oqim qurilmalari. P17 shuningdek, u buni aytgan

qisqa vaqt ichida osonroq yozilishi mumkin bo'lgan parollarga ega bo'lishni afzal biling

1 1 Parolni parol bilan to'ldirish funktsiyasi ko'pgina passlardan farq qiladi

so'z menejerlari, bu to'ldirishni boshlash uchun foydalanuvchi ko'rsatmalarini talab qiladi

parol 1Password bu so'zni "avtomatik to'ldirish" deb atamaslikni afzal ko'radi va shunday qildi

xavfsizlik nuqtai nazaridan ushbu tanlov [32].

USENIX assotsiatsiyasi

327. Ijtimoiy hayotning xavfsizligi va xavfsizligi bo'yicha o'n beshinchi simpozium

11-bet

tez-tez kiritiladigan parollar, mobil qurilmalarga kirish yoki

parol menejeri mavjud bo'lmagan holatlar:

Yaqinda telefonimni zavod holatiga qaytarishim kerak edi va menda ham bor edi

mening Google hisobimga kirish uchun. Va, agar menda bo'lmaganida edi

bu parol miyamda, shunda menga yoqishi kerak edi

mening noutbukimga o'ting, keyin 1Password-ni oching va keyin

buni 20 ta belgi qatori kabi o'qing va keyin yozing ...

har doim juda zerikarli.

P23, 1Password-ning generatori taklif qilmaganligini eslatib o'tdi

ba'zi veb-saytlarning parol talablariga javob beradigan darajada boshqarish.

P18, KeePass foydalanuvchisi, unga ega bo'lish "bezovta qiluvchi" ekanligini xabar qildi

uning parol ma'lumotlar bazasini qo'lda sinxronlashtirish uchun. U shuningdek eslatib o'tdi

KeePass-ning bulutli ombori yo'qligi va u buni ta'kidladi

parollariga Android telefonidan kirish oson emas.

(Yozish paytida, KeePass mahalliy sifatida a sifatida mavjud

Windows mijozi yoki ko'chma dastur. KeePass-ni yoqish uchun

macOS, Linux yoki Android kabi boshqa operatsion tizimlar

norasmiy ko'chirilgan versiyadan foydalanishni talab qiladi [35].)

P20 va P30 o'zlarining asosiy parollarini unutishdan qo'rqdilar. P20

dedi: “Agar uni unutgan bo'lsangiz, uni qayta tiklashingiz mumkinligini bilmayman .... va

bu erda dahshatli narsa bor ».

P20 va P30 ni qabul qilish motivatsiyasi limita-

bu asosiy motivator sifatida. P30 xotiraga duch keldi

noyob parollardan foydalanishga urinishdan keyingi qiyinchiliklar.

P18, P19, P20, P23 va P30 keng istaklarni tasvirlab berdi

muhim motivator sifatida xavfsizlikni oshirdi. P30 paroli -

xavfsizlik masalalari ko'ngilli ish tufayli kuchaytirildi

u boshqalarning ma'lumotlari uchun javobgar edi. P22 ham

parollarni qo'lda yozishdan qochishga bo'lgan aniq istakni keltirdi

(keyloggerlar haqida xavotirni nazarda tutadi) va pass-passga bo'lgan ishonch

so'z menejerlari tomonidan "shifrlashda zamonaviy kriptografiya" dan foydalanish.

P17, P18 va P19 axborot manbalari xabardorlikka erishdilar

parol menejerlarining IT yoki texnologiyada ishlashidan.

P17 kompaniyasi parol menejeridan foydalanishni va pullik qilishni rag'batlantirdi

xodimlarning mashhur premium versiyalariga obuna bo'lishlari uchun

parol menejerlari va P17 1Password-ni tanladi, chunki IT

uning kompaniyasining xodimlari buni tavsiya qildilar.

P20 ayniqsa pass haqida hikoyani eshitganini esladi

NPR-dagi so'z menejerlari. P23 bir qator mumkin bo'lgan narsalarni sanab o'tdi

u parol haqida birinchi marta eshitgan joylar -

agerlar, shu jumladan Reddit va Hacker News.

5 munozara

Bizning topilmalarimiz qulaylik va

parolni boshqarish va parol menejerida xavfsizlik

asrab olish. Biz farzand asrab olishdagi to'siqlarni tasdiqlaymiz va kontekstlashtiramiz

va parol menejerlaridan samarali foydalanish

qo'shimcha ishlarni olib borishda, o'tgan ishda yoritilgan.

Shuningdek, biz samaradorlikni oshirish uchun amaliy takliflarni taqdim etamiz

parol-menejerdan uchta foydalanuvchilar guruhiga yo'naltirilgan foydalanish.

5.1 Xavfsizlik va qulaylik

Tijorat va sa'y-harakatlarni baholash izchil mavzu

parol menejeri foydalanuvchilaridan va foydalanuvchilardan paydo bo'ldi

xavfsizlik va qulaylik o'rtasidagi kelishuvdir. Ko'pchilik

bizning ishtirokchilarimiz xavfsizlik masalasida murosaga kelishgani haqida xabar berishdi

ularning harakatlariga, hatto ishtirokchilariga ham ratsion berish uchun

Xavfsizlik haqida nisbatan xavotirda va kim juda xavfsiz edi

umumiy amaliyot. Bizning topilmalarimiz Stobertning pas bilan ishlash ishlarini takrorladi.

so'zlarni hayotiy tsikllari, bu "harakatni me'yorlash" bo'lganligini xabar qildi

parol bilan bog'liq har xil odatlarning asosiy motivatori [40].

Bir nechta ishtirokchilar quyidagi tavsiyalarni aytib o'tdilar:

yuqori stavkali (masalan, moliyaviy) hisoblarni davolash usullarini,

pastroq bo'lganlar uchun qayta ishlatilgan va / yoki kuchsiz parollardan foydalanish paytida

qiymat hisoblari. Ko'pchilik parollarni qayta ishlatishni ham eslatib o'tishdi

ratsion bo'yicha harakatlar.

Bundan tashqari, bizning tadqiqimiz ushbu fikrlash satrini kengaytirdi

alohida o'rnatilgan parol menejerlari foydalanuvchilari

Stobert va boshqalarning tadqiqotida mavjud emas. Parol menejerlari edi

ba'zan xotira kuchini tejaydigan echimlar deb ta'riflanadi

va / yoki vaqt, lekin boshqa holatlarda ular bizning bo'limimiz tomonidan tavsiflangan

ishtirokchilar qo'shimcha kuch talab qiladigan vositalar sifatida. Qachon bu

vositalar maqsadga muvofiq ishlamaydi, biz foydalanuvchilarning ratsionini ko'rib turibmiz

ushbu noqulayliklarni chetlab o'tish va murojaat qilish yo'li bilan harakatlar

ko'pincha kamroq xavfsiz bo'lgan boshqa usullarga. Sepa- dan foydalanuvchilar

yaqinda o'rnatilgan vositalar tasodifiy ishlab chiqarishni istamaydi

parollar, lekin foydalanuvchi interfeysi bo'lganda eski zaif parollarni qayta ishlating

muammolar kirishni saqlashni qiyinlashtirdi yoki elektron pochta orqali pass-

sinxronlash paytida o'zlariga so'zlar mavjud emas edi. Foydalanuvchilar

o'rnatilgan vositalar parollarni pa-da yozib olishga murojaat qiladi.

matnli fayllarda yoki brauzerlariga ishonib bo'lmaydigan bo'lsa

parollarni ishonchli saqlash. Bunga ehtiyoj borligiga ishonamiz

yaxshi foydalanuvchi tajribasini loyihalash va qulaylikni sinab ko'rish,

ayniqsa, burchakdagi holatlar uchun uzoq muddatli foydalanuvchi tadqiqotlari. Biz ham

texnik ma'lumotlarga ega bo'lmagan foydalanuvchilarning

Alohida o'rnatilgan ularni ishlatishda ko'proq muammolarga qarshi kurashish

parol menejerlari, moslashtirilgan dizayn va foydalanishga chaqirish

ekspert bo'lmagan foydalanuvchilarga yo'naltirilgan test.

Motivatsiyalar Lyastani va boshq. pastki parol kuzatilgan

brauzer paroli foydalanuvchilari orasida kuch va undan ko'p foydalanish

alohida o'rnatilgan vositalar foydalanuvchilariga qaraganda menejerlar. The

mualliflar brauzer parollari menejerlarini, aksincha

parollarni yaratish bo'yicha normal ish bilan generatorlarni birlashtirish

oqimlar, parolni yanada kuchaytirishi mumkin26]. Bizning qayta

sultlar o'rnatilgan parol menejerlari foydalanuvchilari va

alohida o'rnatilgan parol menejerlari foydalanuvchilari ko'pincha

bir-biridan tubdan farq qiluvchi motivlar va farqlar

parol menejeri interfeyslari yagona sabab emas

qayta ishlatish naqshlari Lyastani va boshq. kuzatilgan. Ko'pchilik

o'rnatilgan parol menejerlari foydalanuvchilari parollarni saqlashni boshladilar

tezkor yoki qulaylik tufayli, alohida foydalanuvchilar esa

O'rnatilgan vositalar xavfsizlik nuqtai nazaridan, cheklovlarning cheklanganligini ta'kidladi

noyob parollarga va generator kabi xususiyatlarga a'zo bo'lish

328 foydalanish mumkin bo'lgan maxfiylik va xavfsizlik bo'yicha o'n beshinchi simpozium

USENIX assotsiatsiyasi