Sahifa 5
yosh va bizning ishtirokchilarimizning aksariyati bakalavr darajalariga ega edilar
yoki undan yuqori. Bizda ham nomutanosib ravishda yuqori foiz bor edi
texnik ma'lumotlarga ega bo'lgan ishtirokchilar, asosan
biz alohida o'rnatilgan foydalanuvchilarni jalb qilishni qiyinlashtirdik
texnik ma'lumotlarga ega bo'lmagan parol menejerlari.
Biz hech qanday umumlashtiriladigan statistik ma'lumotlarga da'vo qilmaymiz
ushbu tadqiqot: bizning maqsadimiz ba'zi foydalanuvchi turlarini tavsiflashdir
parol menejerlarini loyihalashtirish va sotishda e'tiborga oling,
shuningdek, farzandlikka olish va ulardan samarali foydalanish yo'lidagi ba'zi to'siqlar.
Bizning skrining so'rovi va maqsadga muvofiq tanlanishimiz tufayli
usullari, ehtimol intervyuga ishtirokchilar ishonishgan -
biz parolni qiziqtirgan xavfsizlik tadqiqotchilari ekanligimizni bilamiz -
boshqaruv vositalari. Bu astarlama haqida tashvish tug'dirishi mumkin
va Hawthorne ta'siri, ya'ni ishtirokchilar ko'rsatishi mumkin
parol menejerlari uchun aslida mavjud bo'lganidan ko'ra ko'proq yaqinlik.
Shunga qaramay, ko'plab ishtirokchilar odatdagi odatlar haqida bizga aytib berishdi
ular xavfsiz deb hisoblanmasligini va buning sabablari haqida bilar edilar
ular parol menejerlarini yoqtirmagan yoki ulardan foydalanishni xohlamagan.
Biz, shuningdek, foydalanuvchilarning imkoni bo'lmasligi mumkinligini tan olamiz
yoki o'zlarining parollari haqida o'zlari haqida aniq xabar berishga tayyor
barcha holatlar. Biroq, mavjud bo'lgan in-situ ma'lumotlariga qo'shimcha ravishda,
ushbu o'z-o'zini hisobotlar ongga nisbatan hal qiluvchi tushunchalarni taqdim etadi
asosiy foydalanuvchilarning kuzatilgan xatti-harakatlari.
4 natijalar
So'ralgan ko'plab foydalanuvchilar murakkab parol strategiyasiga ega edilar.
gies, shu jumladan bir nechta parolni saqlash usullari. Biroq,
biz intervyu beruvchilarni ularning pri yoki yo'qligiga qarab turkumladik.
parollarni eslab qolish uchun Mari yondashuvlari
parolga xos usullar, o'rnatilgan parol menejerlari yoki
alohida o'rnatilgan parol menejerlari. Bu erda biz tasvirlab beramiz
ushbu guruhlar hozirgi parol odatlarini qanday tavsifladilar
va ularning parolni boshqarish variantlariga munosabati.
4.1 Parolni boshqarish usullari
Parolga xos vositalarni jalb qilmaydigan yondashuvlar
ishtirokchilarning birinchi guruhi, biz ishlatilgan yondashuvlarni muhokama qilamiz
bu maxsus ishlab chiqilgan har qanday vositani o'z ichiga olmaydi
ularning asosiy usuli sifatida parolni boshqarish uchun. Bu in-
parollarni yodlash, parollarni yozish (yoki ko'rsatmalar)
parollar) qog'ozda, elektron pochta xabarlarini yoki ovozli xabarlarni yuborish
parollarni o'z ichiga olgan, parollarni shifrlanmagan komplektda ro'yxatlash
puter fayllari (masalan, Microsoft Word fayli) yoki parollar ro'yxati
yozuvlarni yozish dasturlarida (masalan, iPhone Notes dasturi). Biroz
ishtirokchilar, shuningdek, unutilganlarni qayta tiklash qobiliyatiga katta ishonishdi
parollar. To'qqiz suhbatdosh ushbu guruhda edi.
Ushbu ishtirokchilarning ba'zilari parol menejerlaridan foydalanishgan
tasodifan yoki o'tmishda. Masalan, P27, u haqida xabar bergan
Android smartfonidagi bir nechta dasturlarga kirishga muvaffaq bo'ldi
uning barmoq izi bilan, ehtimol u Google-dan foydalanganligini ko'rsatmoqda
Smart Lock cheklangan darajada. Biroq, uning asosiy strategiyasi
parollarini yodlashi kerak edi. P28-da ba'zi parollar mavjud edi
brauzerda kamdan kam ishlatiladigan uyda saqlangan
kompyuter, lekin u bularning eskirganligini va shu haqida xabar berdi
u endi so'ralganda parollarni saqlamadi.
Ichki parol menejerlari Ikkinchi guruh zarralari -
Quyida muhokama qilingan ipantslar asosan ishlatilgan parol menejerlari
brauzerlarga o'rnatilgan (masalan, Apple Safari, Google Chrome va
Mozilla Firefox) yoki operatsion tizimlar (masalan, macOS Keychain
Access & iCloud Anahtarlık yoki Google Smart Lock uchun An-
droid va ChromeOS) ba'zi birlarini yoki barchasini saqlash va avtomatik to'ldirish uchun
parollar. Ushbu vositalarning farqlovchi xususiyati
quyida muhokama qilingan boshqa parollarni boshqarish vositalari
ular brauzerda yoki operatsion tizimda mavjud
standart xususiyatlar. Ushbu vositalarga kirish uchun foydalanuvchilarga kerak bo'lishi mumkin
operatsion tizimlariga o'rnatilmagan brauzerlarni o'rnatish,
lekin ularga qo'shimcha parolga xos qo'shimcha o'rnatish shart emas
ilovalar yoki kengaytmalar. O'n ikkitasi ushbu guruhga tegishli.
Ko'pgina hollarda, brauzerga asoslangan va operatsion tizimga asoslangan
bitta kompaniyaning vositalari bir-biri bilan birlashtirilgan:
masalan, Safari-da saqlangan parollarni ko'rish mumkin
MacOS-dagi keychain Access-ni sinxronlash uchun sozlash mumkin
bulut va iCloud Keychain-dan foydalanadigan iOS qurilmalariga (barchasi Apple)
mahsulotlar). Shu sababli, biz ushbu o'rnatilgan vositalarning barchasini muhokama qilamiz
brauzerga asoslangan vositalarni farqlash o'rniga
operatsion tizimga asoslangan vositalar.
Alohida o'rnatilgan parol menejerlari Uchinchisi
biz muhokama qiladigan ishtirokchilar guruhi foydalanganlar
alohida o'rnatilgan parol menejerining ba'zi turlari, ya'ni vositalar
brauzerlarga yoki operatsion tizimlarga o'rnatilmagan va kerak
alohida dastur va / yoki brauzer sifatida kengaytirilgan
sionlar. Ushbu guruhdagi etti foydalanuvchidan intervyu oldik: to'rt foydalanuvchidan
1Password, LastPass-ning ikkita foydalanuvchisi va bitta KeePass-ning foydalanuvchisi.
Boshqa yondashuvlar Ikki ishtirokchini joylashtirish qiyin edi
yuqorida ko'rsatilgan toifalarda. P29, kim uni ta'riflagan
"qorong'ulik bilan xavfsizlik" sifatida yondashish, kombinatsiyalashgan holda xabar berilgan
xotira, mnemonika va brauzer parolini saqlash
parollarni muntazam ravishda boshqarish uchun, lekin u asosan saqlanadi
u Cardfile deb nomlangan dastur yordamida uning parol ro'yxati
"Windows 3.1 bajariladigan dasturi" deb ta'riflangan. U ushbu faylni yangiladi
Windows XP bilan ishlaydigan uy mashinasida qo'lda. P21 cre-
parollarini saqlash uchun PGP yordamida o'z shifrlangan faylini ishlatdi,
va ish paytida SSH orqali ularga kirishdi.
4.2 Parolning amaldagi odatlari
Hisob raqamlari qancha parol so'ralganda
deyarli barcha ishtirokchilarda (bundan mustasno) himoyalangan hisob qaydnomalari
alohida o'rnatilgan parol menejerlarining beshta foydalanuvchisi uchun) berdi
100 yoshgacha bo'lgan javoblar. Foydalanmaydigan ko'pchilik ishtirokchilar
parol menejerlari 50 yoshgacha javob berishdi va ikkita javob
50 dan ortiq, ammo 100 tagacha hisob raqamiga ega. Foydalanuvchilar uchun
322 Foydalanish mumkin bo'lgan maxfiylik va xavfsizlik bo'yicha o'n beshinchi simpozium
USENIX assotsiatsiyasi
o'rnatilgan parol menejerlari, eng ko'p taxmin qilishadi
15 dan 50 gacha bo'lgan hisob raqamlariga to'g'ri keldi. Alohida foydalanuvchilar uchun
o'rnatilgan parol menejerlari, beshtasi texnik ishlarga ega
parol bilan himoyalangan 100 dan ortiq akkauntga ega ekanligini xabar qildi,
bitta hisobotda 1000 dan ortiq hisob mavjud. Qolganlari; qolgan
ikkita foydalanuvchi 20-50 ta akkauntga ega ekanligini xabar qildi.
Paroldan foydalanmaydigan ishtirokchilarning paroldan qayta foydalanishi -
boshqaruv vositalari, ettitasida bir nechta xavfli parol ko'rsatilgan
parollarni juda ko'p ishlatishni o'z ichiga olgan odatlar, kam yoki yo'q
noyob parollar. Biroq, bitta foydalanuvchi hech biri yo'qligini xabar qildi
uning parollari aniq qayta ishlatilgan, lekin u qayta ishlatgan
parollar yaratishda substrings (har doim har xil bo'lsa ham
parollardagi aniq pozitsiyalar). Bu haqda boshqa foydalanuvchi xabar berdi
uning ko'pgina parollari noyob edi, lekin u ham uning ekanligini ma'lum qildi
parollarni yaratish strategiyasi bilan bog'liq so'zlardan foydalanish edi
"Bolalar", "ismlar", shaharlar yoki shtatlar, so'ngra raqamlarni qo'shing
uning parollari juda taxmin qilingan bo'lishi mumkinligini taxmin qilmoqda.
Faqatgina ichki o'rnatilgan passga ishongan bitta ishtirokchi -
so'z menejerlari noyob bo'lish uchun qilingan sa'y-harakatlar haqida alohida xabar berishdi
barcha muhim hisoblar uchun parollar. Boshqalarning taxminan yarmi
o'rnatilgan parol-menejer foydalanuvchilari og'ir qayta ishlatilishini ko'rsatdilar
ularning barcha hisoblari uchun bitta parol. Qolganlari ish bilan ta'minlangan
ularning parolini kamaytirish uchun turli xil strategiyalar
qayta ishlatish: ba'zilari noyob paroldan foydalangan holda darajadagi tizimni qo'llagan
shunga o'xshash ahamiyatga ega hisoblar uchun, ba'zilari esa bunga harakat qilishdi
muhim hisoblar uchun noyob parollar, ammo hanuzgacha ishlaydi
ularning parollarini qayta ishlatish kabi xavfli amaliyotlarda yoki
parollarida unutilmas shaxsiy ma'lumotlardan foydalanish.
Alohida o'rnatilgan pass foydalanadigan etti ishtirokchidan
so'z menejerlari, barchasi boshqalari parolga o'tish haqida xabar berishdi
menejer asta-sekin foydalanadi, faqat bitta ishtirokchi (P23) hisobot bilan-
barcha parollarni tasodifiy ishlab chiqarilganlarga o'zgartirish uchun harakat qilish,
parol menejeridan foydalanish boshlanishida noyob parollar.
P23, bu davomida kamida besh soat davom etganligini xabar qildi
u uch kunlik 40 ta hisobni ko'chirish uchun
suhbatdan uch-to'rt yil oldin bo'lgan vaqt.
(Suhbat chog'ida u taxminan borligini taxmin qildi
300 ta akkaunt.) Boshqa bir ishtirokchi (P19) majburiyat olmagan
boshida uning barcha parollarini o'zgartirish. Biridan keyin
uning qayta ishlatilgan parollari fosh qilindi, u yuzlab yangilandi
uning parollari noyob va tasodifiy ravishda yaratilgan bo'lishi kerak.
Parol ishlab chiqaruvchilari Ishongan foydalanuvchilarning faqat bittasi
birinchi navbatda foydalanish tasvirlangan o'rnatilgan parol menejerlarida
parol yaratish xususiyatlari. P10 Safari-dan foydalanganligi haqida xabar berdi
parol yaratish vositasi - tasodifiy parollarni yaratish uchun
portativ hisoblar. U Apple-ning Keychain funksiyasidan foydalangan
ushbu parollarni yozib olish va to'ldirish uchun. (U qayta ishlatishni tasvirlab berdi
ba'zi bir past qiymatli hisoblarda zaif parol.)
U turtki sifatida yaqinda hisob buzilishini ko'rsatdi
ushbu strategiya: ilgari u o'zining ko'pchiligini qayta ishlatar edi
parollari va keyin tajovuzkor bo'limga kirish huquqini qo'lga kiritdi
do'kon hisobi, shuningdek uning elektron pochtasi. U buni quyidagicha ta'rifladi
zudlik bilan xohishni keltirib chiqaradigan shikast tajriba
uning odatlarini o'zgartiring:
Mening barcha ma'lumotlarim shunchaki olingan. Bu dahshatli edi,
shuning uchun har bir kishi uchun yangi bank kartasini olishim kerak
narsa, yangi kredit kartalarini olish kerak ... Ana shunda
Men qayta baholashim kerakligini tushunib etdim. Ana shunda
Men ishlashim kerak bo'lgan har bir parolni o'zgartirdim -
dom raqamlari. Hatto ikki marta o'ylamadim ham. Men shunday edim,
«Biror narsani o'zgartirish kerak va u o'zgarishi kerak
mening oxirida ”.
Ushbu intervyular vaqtida Safari parolni taklif qildi
generator, ammo Safari-dan foydalangan oltita ishtirokchi
ularning ba'zi qurilmalari ushbu xususiyatdan foydalanilganligi haqida xabar bermadilar. Google
Chrome yangi 69-ni o'z ichiga olgan Chrome 69-ni chiqarishni boshladi
parol yaratish xususiyati, 2018 yilning kuzida [8, 33]. Ba'zilarimiz
intervyular Chrome 69 chiqarilgandan so'ng o'tkazildi, ammo
hech qanday Chrome foydalanuvchisi ushbu xususiyatdan xabardorligini yoki ishlatilishini eslatib o'tmagan.
Parol menejerlarining alohida o'rnatilgan barcha etti foydalanuvchisi
yaratishda tasodifiy ravishda yaratilgan parollardan foydalanish haqida xabar berilgan
yangi hisoblar va ushbu ishtirokchilarning aksariyati noyoblardan foydalanganlar
yangi yaratilgan hisoblar uchun parollar (bundan mustasno
P22, uning strategiyasi quyida batafsilroq tavsiflangan). P30
oldin tasodifiy parollar yaratish uchun veb-saytlardan foydalanganligi haqida xabar bergan
LastPass-da bunday qobiliyat borligini anglab etish.
P22 strategiyasi boshqa partiyalar strategiyasidan ajralib turardi.
shim. Birinchidan, u o'rnatilgan parol generatoridan foydalanmadi
1Parol: u buning o'rniga boshqa generatorlardan foydalanishni afzal ko'rdi
u xabar bergan Symantec tomonidan taklif qilinganidek, shunchaki a
"odat" masalasi. Ikkinchidan, u yaratilgan pass-dan foydalanmadi
so'zlar asl shaklida, lekin o'rniga o'zgartirishlar kiritdi
o'rtasiga belgilar qo'shish va / yoki olib tashlash orqali o'zi
parollarni saqlashdan oldin ba'zi belgilar
ularni "xavfsizroq" va "tasodifiy".
Bundan tashqari, P22 u parollarni qayta ishlatganligi haqida xabar berdi
hisoblar uchun noyob parollarni saqlashdan ko'ra, darajalar. Uchun
Masalan, u xuddi shu paroldan foydalanishi mumkinligini aytdi
barcha ijtimoiy media hisoblari uchun. U bundan xavotirlanib shunday qildi
u parol menejeriga aniq kirish huquqiga ega bo'lmasligi mumkin
vaziyatlar yoki boshqa birovning qurilmasini qarz olayotgan bo'lsa.
Asosiy parollar sepadan foydalanadigan etti ishtirokchi.
tez orada o'rnatilgan parol menejerlari bir qator ishlaydilar
ularning asosiy parollari bilan ishlash uchun turli xil yondashuvlar. Hammasi
ammo etti kishidan biri (P20) noyob paroldan foydalanganligi haqida xabar berdi
ularning asosiy paroli sifatida. P20 uning xo'jayini o'tayotgani haqida xabar berdi
So'z uning qayta ishlatilgan uchta parolidan biri edi. Biroz
ishtirokchilar (P18, P23) parollarni o'zlari kabi ishlatganliklari haqida xabar berishdi
"filmdan iqtibos" (P23) yoki "sen-" kabi asosiy parollar
mantiqsiz tent »(P18). Ba'zilar (P17, P19, P22,
P30) ularning asosiy parollari tasodifiy gen ekanligini ko'rsatdi
ko'tarildi. P17, P19 va P22 da so'raydigan 1Password ishlatilgan
foydalanuvchilar tasodifiy ravishda yaratilgan asosiy parolni yodlashlari uchun
qayd yozuvini yaratishda. LastPass-dan foydalangan P30 xabar berdi
USENIX assotsiatsiyasi
323. Qanday bo'lmasin, shaxsiy hayot va xavfsizlikka oid o'n beshinchi simpozium
Do'stlaringiz bilan baham: |