Sahifa 1 Jarayoniga ochiq kirish Foydalanish mumkin bo'lgan maxfiylik bo'yicha o'n beshinchi simpozium va xavfsizlik usenix tomonidan homiylik qilinadi

menejerlar, shuningdek parol menejerlari bilan bog'liq muammolar

ulardan samarali foydalanishga xalaqit berishi mumkin.

2.1 Parolga oid odatlar va boshqarish

Odamlarning parolga oid odatlarini o'rganadigan tadqiqotlar

uyalar [15 , 31 , 40] tushunishda muhim kontekstni taqdim etish

foydalanuvchilarning parolni boshqarish tanlovi. Oddiy foydalanuvchi bor

16 dan 26 gacha parol bilan himoyalangan deb taxmin qilingan

faol foydalaniladigan hisoblar [11 , 31 , 44] va so'nggi hisobotlarda ko'rsatilgan

o'rtacha ish joyidagi parol menejeri foydalanuvchisi bo'lishi mumkin

yuzlab hisoblar [16]. Parolni qayta ishlatish jiddiy bo'lishi mumkin

ma'lumotlar ta'sirlangan foydalanuvchilar va tashkilotlar uchun oqibatlar

buzilishlar [7 , 22 , 28 , 30 , 34 , 43]. Mutaxassislar shunday foydalanishni tavsiya qiladilar

barcha hisoblar uchun noyob, kuchli parollar [21] yoki hech bo'lmaganda uchun

yuqori qiymatli hisoblar [42].

Biroq, foydalanuvchilar ko'pincha parollarni eslab qolishga qiynalishadi,

kamdan kam ishlatiladigan parollar [13 , 40], parollar

veb-sayt talablarining ayrim turlariga muvofiq amalga oshiriladi [36] va

tasodifiy yaratilgan parollar [45]. Foydalanuvchilar ushbu muammolarni engishadi

parollarni bir necha marta tez-tez qayta ishlatish orqali qisman buyruqlar

hisoblar [9 , 26 , 31 , 44]. Unutilmaslik muammolari bilan bir qatorda,

foydalanuvchilarning parol kuchi va farqi to'g'risida noto'g'ri tasavvurlari

uzoq yoki murakkab parollarni mobil qurilmalarga kiritish madaniyati

ularni kuchsiz parollar yaratishga olib boring [27, 42]. Bularning barchasi

omillar parol menejerlari uchun kuchli sababdir.

2.2 Parol menejerini qabul qilish

Xavfsizlik bo'yicha mutaxassislar ko'pincha parol menejerlari bilan

foydalanuvchilarga ishlashga yordam beradigan saqlash va tasodifiy avlod xususiyatlari

unutilmaslikni talab qilmasdan kuchli va noyob parollar

masalalar [5 , 19 , 20]. Biroq, avvalgi tadqiqotlar shuni ko'rsatdiki

parol menejerlari (xususan, mustaqil dasturlar)

asrab olish darajasi pastligidan aziyat chekmoqda [38, 40], ayniqsa nodavlat

mutaxassislar [21 , 41]. Chuqur tuzilgan intervyulardan foydalanib,

parol menejerining past darajadagi qabul qilinishi uchun mumkin bo'lgan sabablarni o'rganamiz

tion stavkalari, shuningdek, ekspert bo'lmagan foydalanuvchilarning tushunchalari va

parolni boshqarish yondashuvlariga oid fikrlar.

2014 yilda Stobert va Biddl 27 ta yarim tuzilmani o'tkazdilar

paroldan foydalanishning "hayotiy tsikli" ni o'rganish uchun suhbatlar. Ular

sa'y-harakatlarning me'yorini foydalanuvchilarning asosiy mavzusi deb topdilar

parolni boshqarish tanlovi. Ishtirokchilarning deyarli barchasi

Ushbu tadqiqotda vebga o'rnatilgan parol menejerlaridan foydalanish haqida xabar berilgan

brauzerlar, lekin hech kim alohida o'rnatilgan paroldan foydalanmagan

menejerlar [39]. Bizning tadqiqotimiz xuddi shunday intervyu usulini qo'llaydi

yaratish va uchun foydalanuvchilarning strategiyasini o'z ichiga olgan mavzularni o'rganish

parolni sezgi bilan parollarini boshqarish

ba'zi foydalanuvchilar uchun ekotizim yanada murakkablashishi mumkin

2014 yildan beri. Bundan tashqari, biz qasddan foydalanuvchilarni qidirib topdik

va nimani o'rganish uchun parol menejerlaridan foydalanmaydiganlar

omillar ularni ushbu vositalarni qabul qilishga yoki qabul qilmaslikka undaydi.

Alkaldi va Renaud veb-so'rov o'tkazdilar, shuningdek ana-

Google Play-da parol-menejer ilovalari uchun sharhlar

Farzandlikka olishning ko'plab kuzatilgan sabablarini saqlang va keng ro'yxatda keltiring

va asrab olmaslik [1]. Fagan va boshq. 248 kishini so'roq qildi

Parolni ishlatish yoki ishlatmaslik sabablarini tekshirish uchun MTurk

menejerlar, shuningdek ulardan foydalanish bilan bog'liq his-tuyg'ular

parol menejerlari. Xuddi shu kabi Alkaldi va

Renaud, ushbu so'rovnoma ishtirokchilaridan ochiq savollar bilan so'radi.

nima uchun ular parol menejeridan foydalanishni tanladilar. Bu

ishda bir qator keng sabablar, jumladan,

qiziqish tashvishlari "," ehtiyoj yo'qligi "va" motivatsiya / vaqt etishmasligi ".

Ular parol-menejer foydalanuvchilari "kon

asrab olishning asosiy sabablari sifatida venience "va" foydalilik ",

va "foydalanuvchi bo'lmaganlar" taqqoslaganda shubhali his qilishlari mumkin

"foydalanuvchilarga" [10]. Xuddi shunday, Aurigemma va boshq. o'tkazilgan

ular haqida xabar bergan 283 bakalavriat talabalari bilan so'rovnoma

vaqt etishmasligi sababli parol menejerlarini qabul qilmadi

o'rnatish uchun, shoshilinch tuyg'u yoki qanday qilib xabardor bo'lish

parol menejerlari ishladilar [3]. Alkaldi va Reno ham

Android dasturini qayta tiklash uchun sinovdan o'tkazish uchun yana bir tadqiqot o'tkazdi.

parol menejerlarini foydalanuvchilarga tavsiya eting va shunday deb toping

aralashish foydalanuvchilarga murojaat qilganda eng samarali bo'lishi mumkin

muxtoriyat (boshqaruv hissi) va qarindoshlik (kom-tuyg'u hissi)

boshqalar bilan munitsipalitet) [2018-04-02 121 2]. Bizning tadqiqimiz ushbu tadqiqotlarni to'ldiradi

batafsilroq rasmini taqdim etish uchun intervyular bilan

nima uchun va qanday qilib odamlar foydalanish yoki qilmaslik to'g'risida qarorlariga kelishadi

parol menejerlaridan foydalanish.

2.3 Parol menejerlari bilan bog'liq muammolar

2006 yilda Chiasson va boshq. ikkita parol menejerini va

quyidagi sabablarga ko'ra foydalanish uchun bir nechta muammolarni aniqladi: i) foydalanuvchilarning noto'g'ri

yoki asbobning to'liq bo'lmagan aqliy modellari va ii) foydalanuvchilarning hissiyotlari

ularga parol menejerlari va istamaslik kerak emasligi

boshqaruvni topshirish [6]. 2011 yilda Karole va boshq. baholandi

veb-saytda ishlaydigan parol menejerlarining qulayligi,

mobil qurilmada yoki USB qurilmada. Ular buni topdilar

texnik bo'lmagan foydalanuvchilar o'zlarida parollarni boshqarishni afzal ko'rishdi

veb-ga asoslangan boshqaruvdan voz kechish o'rniga mobil qurilmalar

parol menejeri [23].

Yuqorida aytib o'tilgan foydalanish muammolari bilan bir qatorda, avvalgi ishlar

paroldagi ba'zi xavfsizlik zaifliklarini ta'kidladi

menejerlar, garchi mutaxassislar umuman parolni ko'rib chiqsalar ham

menejerlar aniq ijobiy [12, 18]. Li va boshq. aniqlangan turli xil

beshta mashhur veb-ga asoslangan parol bilan bog'liq nerability

menejerlar [25]. Kumush va boshq. avtomatik to'ldirish funktsiyasining xavfini aniqladi

ko'plab mashhur parol menejerlari tomonidan taqdim etilgan tionallik [37].

Tadqiqotlar, shuningdek, mahalliy ma'lumotlar xavfsizligi bilan bog'liq muammolarni ko'rsatdi.

Grey va boshq. shifrlanmagan parol ma'lumotlari bo'lishi mumkinligini aniqladi

vaqtinchalik papkalarda topilgan [17]. Belekno va boshq. [ 4] va Gasti

va boshq. [14] tajovuzkorlar bo'lganida mavjud bo'lgan xatarlarni tasvirlab berdi

foydalanuvchilarning qurilmalariga yoki parol ma'lumotlar bazalariga jismoniy kirish.

2018 yilda Lyastani va boshq. joyida parol ma'lumotlari to'plangan

MTurkers-ning Chrome plaginlari orqali. Ular buni topdilar

320 foydalanish mumkin bo'lgan maxfiylik va xavfsizlik bo'yicha o'n beshinchi simpozium

USENIX assotsiatsiyasi