[論文レビュー] When Privacy meets Security: Leveraging personal information for password cracking
本稿では、個人情報(例:名前、誕生日、教育歴)を活用して推測効率を向上させる、マーカフ連鎖モデルに基づくパスワードクレーザー「OMEN+」を提案する。ユーザー固有の属性を確率的ランク付けフレームワークに統合することで、全体で最大5%、個人情報に基づくパスワードでは最大30%のパスワードクレアキング成功率向上を達成し、こうしたパスワードが著しく弱く、避けるべきであることを示している。
Passwords are widely used for user authentication and, despite their weaknesses, will likely remain in use in the foreseeable future. Human-generated passwords typically have a rich structure, which makes them susceptible to guessing attacks. In this paper, we study the effectiveness of guessing attacks based on Markov models. Our contributions are two-fold. First, we propose a novel password cracker based on Markov models, which builds upon and extends ideas used by Narayanan and Shmatikov (CCS 2005). In extensive experiments we show that it can crack up to 69% of passwords at 10 billion guesses, more than all probabilistic password crackers we compared again t. Second, we systematically analyze the idea that additional personal information about a user helps in speeding up password guessing. We find that, on average and by carefully choosing parameters, we can guess up to 5% more passwords, especially when the number of attempts is low. Furthermore, we show that the gain can go up to 30% for passwords that are actually based on personal attributes. These passwords are clearly weaker and should be avoided. Our cracker could be used by an organization to detect and reject them. To the best of our knowledge, we are the first to systematically study the relationship between chosen passwords and users' personal information. We test and validate our results over a wide collection of leaked password databases.
研究の動機と目的
- マーカフ連鎖モデルを活用することで、従来の確率的ツールよりも効果的なパスワードクレーザーを設計すること。
- ユーザーに関する個人情報がパスワードの推測効率を著しく向上させることを調査すること。
- 初めの名前、誕生日、教育歴などのさまざまな個人的属性がパスワードクレアキング成功率に与える影響を体系的に評価すること。
- 推測プロセスにおける個人的ヒントの最適な重み付けを行うパラメータ推定法を開発すること。
- 組織が弱い、個人情報に基づくパスワードを検出・拒否できる実用的ツールを提供すること。
提案手法
- OMEN+ は、マーカフ連鎖モデルに基づくパスワードクレーザー(OMEN)を拡張し、初めの名前、誕生日、教育履歴などのユーザー固有の属性を統合する。
- 各個人的属性が候補パスワードの確率推定に与える寄与を重みづけするために、ブースティングパラメータ α を使用する。
- ブースティングパラメータ α は、既知のパスワード-ヒントペアの二乗誤差和 S* を最小化することで推定される。
- モデルは推定確率に基づいてパスワードの推測順序をランク付けし、尤もらしいパスワードが先に試されるようにする。
- 実世界の大規模なパスワードデータセット(FacebookおよびLZリスト)と、公開可能なユーザー属性を用いた実験が実施された。
- 性能は、与えられた試行回数内にどれだけのパスワードがクレアキングされたかを測定することで評価され、個人情報の有無にかかわらずのバージョンを比較した。
実験結果
リサーチクエスチョン
- RQ1ユーザーに関する個人情報を組み込むことで、マーカフ連鎖モデルに基づくパスワードクレーザーの性能を著しく向上させることができるか?
- RQ2初めの名前、誕生日、メールアドレスなどの個人的属性のうち、どれがパスワードをクレアキングするための試行回数を最も削減するか?
- RQ3確率的パスワード推測モデルにおいて、個人的ヒントをどのように重みづけるとクレアキング効率が最大化されるか?
- RQ4個人情報がパスワードクレアキング成功率に与える定量的影響、特に個人情報に基づくパスワードに対してはいかなるか?
- RQ5従来の非個人化されたパスワードクレーダーと比較して、個人データを組み込むことでどの程度クレアキング性能が向上するか?
主な発見
- OMEN+ は、一般的なパスワードリストにおいて100億回の試行以内に最大69%のクレアキング成功率を達成し、これまでに知られているあらゆる確率的パスワードクレーダーを上回った。
- 試行回数が少ない場合(例:1億回まで)、個人情報の組み込みによりクレアキングパスワード数が最大5%増加したが、10億回の試行では3%程度に安定した。
- 個人情報に基づいて作成されたパスワードに対しては、個人情報の活用によるパフォーマンス向上が最大30%に達し、その本質的な脆弱性が浮き彫りになった。
- 各属性に対して最適なブースティングパラメータ α が推定され、初めの名前の場合 α ≈ 2.3(ブースティングパラメータ1)、eduWork の場合 α ≈ 1.2(ブースティングパラメータ0.1、四捨五入で0)が得られた。
- メールアドレスのローカル部のみといった限られた個人データでも、OMEN+ はLZリストにおいて、より包括的なFacebookデータセットと同等の性能向上を達成した。
- 本研究は、個人情報から派生するパスワードが著しく弱く、実際の運用では積極的に避けるべきであることを確認した。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。