- ข้อความ
- ประวัติศาสตร์
To prevent attackers from predictin
To prevent attackers from predicting users’ text-based passwords,
and hence impersonating users, system administrators
typically require that users select passwords according
to a password-composition policy designed to make users’ passwords harder to predict. Such a policy may require, for
example, that passwords exceed a minimum length, that they
contain uppercase letters and symbols, and that they do not
contain dictionary words.
Unfortunately, it is difficult to define precisely the relationship
between the components of a password-composition
policy and the predictability of the resulting passwords, in
large part because of a lack of empirical data on passwords
and the policies under which they were created. Even the
best current guidelines for designing password-composition
policies, for instance, are based on theoretical estimates [4]
or small-scale laboratory studies (e.g., [12, 20]).
What makes designing an appropriate password-composition
policy even trickier is that such policies affect not only the
passwords users create, but also users’ behavior. For example,
certain password-composition policies that lead to
more-difficult-to-predict passwords may also lead users to
write down their passwords more readily, or to become more
averse to changing passwords because of the additional effort
of memorizing the new ones. Such behavior may also
affect an adversary’s ability to predict passwords and should
therefore be taken into account when selecting a policy.
With this paper, we take a significant step toward improving
our understanding of how password-composition policies in-
fluence the predictability of passwords, as well as how they
affect user behavior and sentiment. We describe the results
of a two-part user study with more than 5,000 participants.
In the first part we required each participant to create a password
under one of four different password-composition policies.
In the second part we asked participants to recall their
passwords at least two days later. We also surveyed users
to capture their sentiment toward a password-composition
policy, as well as to to learn about their password-related behavior
(e.g., whether and how they recorded the password)
Using the collected data, we characterize the predictability
of passwords created under various password-composition
policies by computing their entropy. Our results are the
first entropy estimates derived from a large-scale empirical
study that allow for comparison of entropy across different
password-composition policies. Combined with the
survey data we collected, we compare the effects of different
password-composition policies more comprehensively than
has been done previously, yielding a number of interesting
findings. For instance, we compared two password-composition
policies: one required only that passwords be at least 16
characters long; the other required at least eight characters
but also an uppercase letter, a number, a symbol, and a dictionary
check. According to the best available guidelines [4],
these two policies should result in passwords of approximately
the same entropy. We find, however, that the 16-
character policy yields significantly less predictable passwords,
and that it is, by several metrics, less onerous for
users. We believe this and other findings will be useful both
to security professionals seeking to establish or review passwordcomposition
policies, and to researchers interested in examining
how to make passwords more secure and usable.
In the next section, we provide background and survey related
work. Next, we describe the methodology of our study,
followed by the demographics of our participants and an explanation
of how we analyzed our data. We then individually
describe the results we derive for password entropy and for
user behavior (including password-composition strategies,
password storage and memorability, user sentiment, and ecological
validity). We conclude with a discussion in which we
weave together the individual results to give a more complete
picture of the effects of different password-composition policies,
and we also draw out the most significant findings.
and hence impersonating users, system administrators
typically require that users select passwords according
to a password-composition policy designed to make users’ passwords harder to predict. Such a policy may require, for
example, that passwords exceed a minimum length, that they
contain uppercase letters and symbols, and that they do not
contain dictionary words.
Unfortunately, it is difficult to define precisely the relationship
between the components of a password-composition
policy and the predictability of the resulting passwords, in
large part because of a lack of empirical data on passwords
and the policies under which they were created. Even the
best current guidelines for designing password-composition
policies, for instance, are based on theoretical estimates [4]
or small-scale laboratory studies (e.g., [12, 20]).
What makes designing an appropriate password-composition
policy even trickier is that such policies affect not only the
passwords users create, but also users’ behavior. For example,
certain password-composition policies that lead to
more-difficult-to-predict passwords may also lead users to
write down their passwords more readily, or to become more
averse to changing passwords because of the additional effort
of memorizing the new ones. Such behavior may also
affect an adversary’s ability to predict passwords and should
therefore be taken into account when selecting a policy.
With this paper, we take a significant step toward improving
our understanding of how password-composition policies in-
fluence the predictability of passwords, as well as how they
affect user behavior and sentiment. We describe the results
of a two-part user study with more than 5,000 participants.
In the first part we required each participant to create a password
under one of four different password-composition policies.
In the second part we asked participants to recall their
passwords at least two days later. We also surveyed users
to capture their sentiment toward a password-composition
policy, as well as to to learn about their password-related behavior
(e.g., whether and how they recorded the password)
Using the collected data, we characterize the predictability
of passwords created under various password-composition
policies by computing their entropy. Our results are the
first entropy estimates derived from a large-scale empirical
study that allow for comparison of entropy across different
password-composition policies. Combined with the
survey data we collected, we compare the effects of different
password-composition policies more comprehensively than
has been done previously, yielding a number of interesting
findings. For instance, we compared two password-composition
policies: one required only that passwords be at least 16
characters long; the other required at least eight characters
but also an uppercase letter, a number, a symbol, and a dictionary
check. According to the best available guidelines [4],
these two policies should result in passwords of approximately
the same entropy. We find, however, that the 16-
character policy yields significantly less predictable passwords,
and that it is, by several metrics, less onerous for
users. We believe this and other findings will be useful both
to security professionals seeking to establish or review passwordcomposition
policies, and to researchers interested in examining
how to make passwords more secure and usable.
In the next section, we provide background and survey related
work. Next, we describe the methodology of our study,
followed by the demographics of our participants and an explanation
of how we analyzed our data. We then individually
describe the results we derive for password entropy and for
user behavior (including password-composition strategies,
password storage and memorability, user sentiment, and ecological
validity). We conclude with a discussion in which we
weave together the individual results to give a more complete
picture of the effects of different password-composition policies,
and we also draw out the most significant findings.
0/5000
เพื่อป้องกันการโจมตีจากการคาดการณ์ของผู้ใช้ข้อความรหัสผ่านและแอบอ้างผู้ใช้ ผู้ดูแลระบบดังนั้นจำเป็นที่ผู้ใช้เลือกใช้รหัสผ่านตามนโยบายรหัสผ่านองค์ประกอบออกแบบเพื่อให้รหัสผ่านของผู้ใช้ยากที่จะทำนาย นโยบายดังกล่าวอาจ สำหรับตัวอย่าง ให้รหัสผ่านเกินความยาวต่ำสุด ที่พวกเขาประกอบด้วยอักษรตัวพิมพ์ใหญ่ และสัญลักษณ์ และพวกเขาทำไม่ประกอบด้วยคำในพจนานุกรมอับ มันเป็นเรื่องยากที่จะกำหนดความสัมพันธ์ชัดเจนระหว่างส่วนประกอบของรหัสผ่านองค์ประกอบนโยบายและแอพพลิเคชันของรหัสผ่านได้ ในส่วนใหญ่เนื่องจากขาดข้อมูลประจักษ์ในรหัสผ่านและนโยบายที่พวกเขาสร้างขึ้น แม้แต่การแนวทางปัจจุบันที่สุดสำหรับการออกแบบองค์ประกอบรหัสผ่านนโยบาย เช่น ยึดทฤษฎีประเมิน [4]หรือศึกษาในห้องปฏิบัติที่ระบุ (เช่น, [12, 20])สิ่งที่ทำให้การออกแบบมีรหัสผ่านองค์ประกอบที่เหมาะสมนโยบาย trickier แม้จะมีผลต่อนโยบายดังกล่าวที่ไม่เพียงแต่การรหัสผ่านผู้ใช้สร้าง แต่ยังทำงานของผู้ใช้ ตัวอย่างบางนโยบายรหัสผ่านองค์ประกอบที่นำไปสู่เพิ่มเติมยากจะทำนายผ่านยังอาจให้ผู้ใช้จดรหัสผ่านเพิ่มเติมพร้อม หรือมาเป็นaverse เปลี่ยนรหัสผ่านเนื่องจากความพยายามเพิ่มเติมของการจดจำแบบใหม่ พฤติกรรมดังกล่าวอาจจะผลของปฏิปักษ์สามารถทำนายรหัสผ่าน และควรดังนั้น จะนำมาพิจารณาเมื่อเลือกนโยบายมีกระดาษนี้ เราใช้ขั้นตอนที่สำคัญเพื่อปรับปรุงเราเข้าใจว่านโยบายรหัสผ่านองค์ประกอบในfluence แอพพลิเคชันของรหัสผ่าน เป็นเช่นไรกับพวกเขาส่งผลกระทบต่อลักษณะการทำงานของผู้ใช้และความเชื่อมั่น เราอธิบายผลเรียนผู้ใช้สองส่วนมีผู้เข้าร่วมกว่า 5000ในส่วนแรก ที่เราต้องการแต่ละผู้เข้าร่วมในการสร้างรหัสผ่านภายใต้หนึ่งของนโยบายรหัสผ่านองค์ประกอบที่แตกต่างกัน 4ในส่วนสอง เราถามผู้เข้าร่วมการเรียกคืนของพวกเขารหัสผ่านอย่างน้อยสองวันต่อมา เรายังสำรวจผู้ใช้การจับภาพความเชื่อมั่นของพวกเขาไปยังรหัสผ่านองค์ประกอบนโยบาย เช่นเป็นเพื่อเรียนรู้เกี่ยวกับพฤติกรรมของพวกเขาที่เกี่ยวข้องกับรหัสผ่าน(เช่น และวิธีที่บันทึกรหัสผ่าน)เราใช้ข้อมูลที่รวบรวม ลักษณะของแอพพลิเคชันที่รหัสผ่านที่สร้างภายใต้รหัสผ่านองค์ประกอบต่าง ๆนโยบาย โดยการคำนวณของเอนโทรปี ผลของการเอนโทรปีแรกประเมินจากขนาดใหญ่เป็นประจักษ์การศึกษาที่อนุญาตให้สำหรับการเปรียบเทียบของเอนโทรปีในแตกต่างกันนโยบายรหัสผ่านประกอบด้วย รวมกับการเราเก็บรวบรวมข้อมูล สำรวจเราเปรียบเทียบผลของการแตกต่างกันเพิ่มเติมองค์ประกอบรหัสผ่านนโยบายสาธารณชนมากกว่าแล้วก่อนหน้านี้ จำนวนผลผลิตที่น่าสนใจผลการวิจัย เช่น เราเปรียบเทียบรหัสผ่านองค์ประกอบที่สองนโยบาย: หนึ่งต้องเท่านั้นที่ผ่านได้น้อย 16ตัวยาว อื่น ๆ ที่จำเป็นน้อยแปดอักขระแต่ยังอักษรตัวพิมพ์ใหญ่ ตัวเลข สัญลักษณ์ และพจนานุกรมตรวจสอบ ตามส่วนว่างแนวทาง [4],นโยบายเหล่านี้สองควรทำรหัสผ่านของประมาณเอนโทรปีเดียวกัน เราค้นหา อย่างไรก็ตาม ที่ 16 -นโยบายอักขระทำให้ผ่านได้น้อยมากและที่มัน วัดต่าง ๆ onerous น้อยสำหรับผู้ใช้ เราเชื่อว่านี้ และผลการวิจัยอื่น ๆ จะเป็นประโยชน์ทั้งให้ผู้เชี่ยวชาญด้านความปลอดภัยที่กำลังสร้าง หรือตรวจสอบ passwordcompositionนโยบาย และนักวิจัยที่สนใจในการตรวจสอบวิธีการทำรหัสผ่านที่ปลอดภัย และใช้งานได้มากขึ้นในส่วนถัดไป เรามีพื้นหลังและการสำรวจที่เกี่ยวข้องทำงาน ถัดไป เราอธิบายวิธีการศึกษาของเราตามลักษณะประชากรของผู้เข้าร่วมของเราและคำอธิบายของวิธีเราสามารถวิเคราะห์ข้อมูล เรา แล้วละอธิบายผลลัพธ์ที่เราได้รับรหัสผ่านเอนโทรปี และสำหรับลักษณะในการทำงานของผู้ใช้ (รวมทั้งองค์ประกอบผ่านกลยุทธ์จัดเก็บรหัสผ่านและ memorability ความเชื่อมั่นของผู้ใช้ และระบบนิเวศมีผลบังคับใช้) เราสรุป ด้วยการสนทนาที่เราทอกันผลลัพธ์แต่ละรายการให้สมบูรณ์มากขึ้นรูปภาพของผลกระทบของนโยบายรหัสผ่านที่แตกต่างองค์ประกอบและเรายังวาดออกค้นพบครั้งสำคัญที่สุด
การแปล กรุณารอสักครู่..
เพื่อป้องกันการโจมตีจากการคาดการณ์ของผู้ใช้รหัสผ่านข้อความ, และด้วยเหตุนี้ผู้ใช้ปลอมตัวเป็นผู้ดูแลระบบมักจะต้องให้ผู้ใช้เลือกรหัสผ่านตามนโยบายรหัสผ่านองค์ประกอบการออกแบบเพื่อให้ผู้ใช้รหัสผ่านที่ยากที่จะคาดการณ์ นโยบายดังกล่าวอาจต้องใช้สำหรับตัวอย่างเช่นว่ารหัสผ่านที่มีความยาวเกินกว่าขั้นต่ำที่พวกเขามีตัวอักษรพิมพ์ใหญ่และสัญลักษณ์และที่พวกเขาไม่ได้มีคำพจนานุกรม. แต่น่าเสียดายที่มันเป็นเรื่องยากที่จะกำหนดได้อย่างแม่นยำความสัมพันธ์ระหว่างองค์ประกอบของรหัสผ่านที่องค์ประกอบของนโยบายและการคาดการณ์ของรหัสผ่านที่เกิดขึ้นในส่วนใหญ่เพราะขาดข้อมูลเชิงประจักษ์ในรหัสผ่านและนโยบายตามที่พวกเขาสร้างขึ้น แม้แนวทางปฏิบัติในปัจจุบันที่ดีที่สุดสำหรับการออกแบบรหัสผ่านองค์ประกอบนโยบายเช่นอยู่บนพื้นฐานของการประมาณการทางทฤษฎี[4] หรือขนาดเล็กศึกษาในห้องปฏิบัติการ (เช่น [12, 20]). สิ่งที่ทำให้การออกแบบรหัสผ่านองค์ประกอบที่เหมาะสมนโยบายแม้ trickier คือว่านโยบายดังกล่าวส่งผลกระทบไม่เพียง แต่ผู้ใช้รหัสผ่านที่สร้างแต่ยังพฤติกรรมของผู้ใช้ ยกตัวอย่างเช่นนโยบายรหัสผ่านองค์ประกอบบางอย่างที่นำไปสู่การมากขึ้นที่ยากต่อการคาดการณ์รหัสผ่านยังอาจนำไปสู่ผู้ใช้สามารถเขียนลงรหัสผ่านของตนมากขึ้นอย่างรวดเร็วหรือที่จะกลายเป็นเกลียดชังเพราะการเปลี่ยนรหัสผ่านของความพยายามที่เพิ่มขึ้นของการจำใหม่ พฤติกรรมดังกล่าวอาจส่งผลกระทบต่อความสามารถของฝ่ายตรงข้ามที่จะทำนายรหัสผ่านและควรจึงต้องนำมาพิจารณาเมื่อมีการเลือกนโยบาย. ด้วยบทความนี้เราจะใช้ขั้นตอนอย่างมีนัยสำคัญต่อการปรับปรุงความเข้าใจของเราว่านโยบายรหัสผ่านองค์ประกอบหfluence การคาดการณ์ของรหัสผ่าน เช่นเดียวกับวิธีที่พวกเขาส่งผลกระทบต่อพฤติกรรมของผู้ใช้และความเชื่อมั่น เราอธิบายผลของการศึกษาที่ใช้สองส่วนที่มีมากกว่า 5,000 เข้าร่วม. ในส่วนแรกที่เราต้องเข้าร่วมแต่ละคนเพื่อสร้างรหัสผ่านภายใต้หนึ่งในสี่ของนโยบายรหัสผ่านองค์ประกอบที่แตกต่างกัน. ในส่วนที่สองที่เราถามผู้เข้าร่วมในการจำของพวกเขารหัสผ่านอย่างน้อยสองวันต่อมา นอกจากนี้เรายังให้ผู้ใช้สำรวจการจับภาพความเชื่อมั่นของพวกเขาที่มีต่อรหัสผ่านองค์ประกอบนโยบายเช่นเดียวกับการที่จะเรียนรู้เกี่ยวกับพฤติกรรมของรหัสผ่านที่เกี่ยวข้องกับพวกเขา(เช่นไม่ว่าจะเป็นและวิธีการที่พวกเขาบันทึกรหัสผ่าน) โดยใช้ข้อมูลที่เก็บรวบรวมเราให้ลักษณะการคาดการณ์ของรหัสผ่านที่สร้างขึ้นภายใต้รหัสผ่านองค์ประกอบต่างๆนโยบายโดยการคำนวณเอนโทรปีของพวกเขา ผลของเราเป็นประมาณการเอนโทรปีแรกที่ได้มาจากขนาดใหญ่เชิงประจักษ์การศึกษาที่ช่วยให้การปฎิบัติการเปรียบเทียบข้ามที่แตกต่างกันนโยบายรหัสผ่านองค์ประกอบ ร่วมกับข้อมูลจากการสำรวจเราเก็บเราเปรียบเทียบผลของการที่แตกต่างกันนโยบายรหัสผ่านองค์ประกอบครอบคลุมมากขึ้นกว่าที่เคยทำมาก่อนหน้านี้ที่ให้ผลผลิตจำนวนที่น่าสนใจผลการวิจัย ยกตัวอย่างเช่นเราเมื่อเทียบกับสองรหัสผ่านองค์ประกอบนโยบายหนึ่งที่จำเป็นเท่านั้นว่ารหัสผ่านไม่น้อยกว่า 16 ตัวอักษร; อื่น ๆ ที่จำเป็นต้องใช้อย่างน้อยแปดตัวอักษรแต่ยังเป็นอักษรตัวพิมพ์ใหญ่จำนวนสัญลักษณ์และพจนานุกรมการตรวจสอบ ตามแนวทางที่ดีที่สุด [4] ทั้งสองนโยบายจะส่งผลให้รหัสผ่านที่ประมาณเอนโทรปีเดียวกัน เราพบ แต่ที่ 16 อัตราผลตอบแทนนโยบายตัวอักษรรหัสผ่านที่คาดเดาได้อย่างมีนัยสำคัญน้อยลงและว่ามันเป็นโดยตัวชี้วัดหลายภาระน้อยลงสำหรับผู้ใช้ เราเชื่อว่านี่และผลการวิจัยอื่น ๆ ที่จะเป็นประโยชน์ทั้งในการรักษาความปลอดภัยที่กำลังมองหามืออาชีพที่จะสร้างหรือตรวจทานpasswordcomposition นโยบายและนักวิจัยที่สนใจในการตรวจสอบวิธีการทำรหัสผ่านที่ปลอดภัยมากขึ้นและสามารถใช้งานได้. ในส่วนถัดไปเราจะมีพื้นหลังและที่เกี่ยวข้องกับการสำรวจการทำงาน ต่อไปเราจะอธิบายวิธีการของการศึกษาของเราตามมาด้วยกลุ่มผู้เข้าชมของผู้เข้าร่วมของเราและคำอธิบายที่ว่าเราวิเคราะห์ข้อมูลของเรา จากนั้นเราจะเป็นรายบุคคลอธิบายผลที่เราได้รับมาสำหรับเอนโทรปีรหัสผ่านและพฤติกรรมของผู้ใช้(รวมถึงกลยุทธ์รหัสผ่านองค์ประกอบการจัดเก็บรหัสผ่านและ memorability ความเชื่อมั่นของผู้ใช้และระบบนิเวศที่ถูกต้อง) เราสรุปด้วยการอภิปรายในที่ที่เราสานเข้าด้วยกันผลของแต่ละบุคคลที่จะให้สมบูรณ์มากขึ้นภาพของผลกระทบของนโยบายรหัสผ่านองค์ประกอบที่แตกต่างกันและเรายังวาดออกการค้นพบที่สำคัญที่สุด
การแปล กรุณารอสักครู่..
เพื่อป้องกันไม่ให้แฮกเกอร์จากการประมาณการของผู้ใช้ข้อความรหัสผ่าน
จึงปลอมตัวเป็นผู้ใช้ผู้ดูแลระบบ
มักจะต้องใช้ที่ผู้ใช้เลือกรหัสผ่านรหัสผ่านนโยบายตาม
เป็นองค์ประกอบที่ออกแบบมาเพื่อให้รหัสผ่านของผู้ใช้ยากที่จะคาดเดาได้ นโยบายดังกล่าวอาจต้องการสำหรับ
ตัวอย่างที่เกินความยาวรหัสผ่านขั้นต่ำที่พวกเขา
ประกอบด้วยตัวอักษรตัวพิมพ์ใหญ่และสัญลักษณ์และ ที่พวกเขาไม่ประกอบด้วยคำพจนานุกรม
.
แต่มันเป็นเรื่องยากที่จะกำหนดแน่นอนความสัมพันธ์ระหว่างองค์ประกอบของรหัสผ่าน
องค์ประกอบนโยบายและความสามารถในการทำนายของผลรหัสผ่านใน
ส่วนใหญ่ เนื่องจากขาดข้อมูลเชิงประจักษ์ในรหัสผ่าน
และนโยบายที่พวกเขาถูกสร้างขึ้น แม้แต่
ที่ดีที่สุดในปัจจุบันแนวทางการออกแบบองค์ประกอบ
รหัสผ่านนโยบาย ตัวอย่างเช่นจะขึ้นอยู่กับทฤษฎีการประเมิน [ 4 ]
หรือการศึกษาในห้องปฏิบัติการขนาดเล็ก ( เช่น [ 12 , 20 ] )
สิ่งที่ทำให้การออกแบบเหมาะสมองค์ประกอบ
นโยบายรหัสผ่านแม้ trickier คือ นโยบายดังกล่าวส่งผลกระทบไม่เฉพาะ
รหัสผ่านผู้ใช้สร้าง แต่ยังผู้ใช้ " พฤติกรรม . ตัวอย่างเช่น
รหัสผ่านนโยบายบางองค์ประกอบที่นำไปสู่
มากขึ้นยากที่จะทำนาย อาจจะทำให้ผู้ใช้รหัสผ่าน
เขียนลงรหัสผ่านของตนพร้อมมากขึ้น หรือกลายเป็น
รังเกียจที่จะเปลี่ยนรหัสผ่านเพราะเพิ่มความพยายาม
ของจำใหม่ พฤติกรรมดังกล่าวอาจส่งผลกระทบต่อความสามารถของศัตรู
เดารหัสผ่านและควรจึงจะนำมาพิจารณาเมื่อเลือกนโยบาย .
กับงานวิจัยนี้ เราได้เอาขั้นตอนที่สําคัญต่อการปรับปรุง
ความเข้าใจของเราวิธีการองค์ประกอบของนโยบายรหัสผ่าน --
fluence สามารถคาดการณ์ของรหัสผ่านเช่นเดียวกับวิธีที่พวกเขา
ต่อพฤติกรรมผู้ใช้และความเชื่อมั่น เราอธิบายผลของการศึกษาของผู้ใช้ทั้งสอง
มีมากกว่า 5000 คนในส่วนแรกเราต้องเข้าร่วมกันเพื่อสร้างรหัสผ่าน
ภายใต้หนึ่งของรหัสผ่านที่แตกต่างกันสี่องค์ประกอบของนโยบาย .
ในส่วนที่สองเราขอเข้าร่วมเพื่อเรียกคืนรหัสผ่านของพวกเขา
อย่างน้อยสองวันต่อมา นอกจากนี้เรายังทำการสำรวจผู้ใช้
จับภาพความเชื่อมั่นต่อองค์ประกอบ
รหัสผ่านนโยบาย ตลอดจนเพื่อเรียนรู้เกี่ยวกับรหัสผ่านที่เกี่ยวข้องกับพฤติกรรม
ของพวกเขา ( เช่นว่าและวิธีการที่พวกเขาบันทึกรหัสผ่าน )
ใช้เก็บข้อมูล เราวิเคราะห์ทำนาย
ของรหัสผ่านที่สร้างขึ้นภายใต้นโยบายของรหัสผ่านต่าง ๆ โดยการคำนวณค่า
. ผลลัพธ์ของเรา
เอนโทรปีแรกประมาณการที่ได้มาจากการศึกษาเชิงประจักษ์
ขนาดใหญ่ที่อนุญาตให้ใช้ในการเปรียบเทียบค่าองค์ประกอบของนโยบายรหัสผ่านที่แตกต่างกัน
รวมกับการสำรวจข้อมูลที่เราเก็บ เราเปรียบเทียบผลของนโยบายของรหัสผ่านที่แตกต่างกันมากขึ้นกว้างกว่า
ได้ทำมาก่อนหน้านี้ ที่มีจำนวนของข้อมูลที่น่าสนใจ
ตัวอย่างเช่น เราเปรียบเทียบนโยบายองค์ประกอบ
รหัสผ่าน : หนึ่งต้องเท่านั้นที่รหัสผ่านอย่างน้อย 16
ตัวอักษร ; อื่น ๆต้องใช้เวลาอย่างน้อยแปดตัวอักษร
แต่ยังเป็นตัวพิมพ์ใหญ่ตัวอักษร , ตัวเลขสัญลักษณ์และการตรวจสอบพจนานุกรม
ตามที่ดีที่สุดของแนวทาง [ 4 ] ,
2 นโยบายน่าจะประมาณ
เอนโทรปีรหัสผ่านเดียวกัน เราพบ , อย่างไรก็ตาม , ที่ 16 -
ตัวละครนโยบายผลตอบแทนน้อยกว่าคาดเดารหัสผ่าน
และก็หลายวัดภาระน้อยลง
ผู้ใช้ เราเชื่อว่านี้จะเป็นประโยชน์ทั้ง
พบอื่น ๆผู้เชี่ยวชาญด้านการรักษาความปลอดภัย การแสวงหาเพื่อสร้างหรือทบทวน passwordcomposition
นโยบาย และนักวิจัยที่สนใจในการศึกษา
วิธีการสร้างรหัสผ่านความปลอดภัยมากขึ้นและใช้งาน .
ในส่วนถัดไป , เราให้บริการสำรวจพื้นหลัง และที่เกี่ยวข้องกับ
งาน ต่อไปเราจะอธิบายวิธีการศึกษาของเรา
ตามด้วยประชากรของผู้เข้าร่วมและคำอธิบาย
ของวิธีการที่เราวิเคราะห์ข้อมูลของเราเราก็แบบ
อธิบายผลลัพธ์ที่เราได้รับรหัสผ่านสำหรับเอนโทรปีและพฤติกรรมผู้ใช้ ( รวมทั้งรหัสผ่านและรหัสผ่านกระเป๋า
องค์ประกอบกลยุทธ์การจดจำ ใช้ความรู้สึก และนิเวศวิทยา
ความถูกต้อง ) เราสรุปได้ด้วยการสนทนาที่เรา
สานกันผลของแต่ละบุคคลเพื่อให้ภาพที่สมบูรณ์มากขึ้นของผลกระทบของนโยบาย
องค์ประกอบรหัสผ่านที่แตกต่างกันและเรายังให้ข้อมูลสำคัญที่สุด
จึงปลอมตัวเป็นผู้ใช้ผู้ดูแลระบบ
มักจะต้องใช้ที่ผู้ใช้เลือกรหัสผ่านรหัสผ่านนโยบายตาม
เป็นองค์ประกอบที่ออกแบบมาเพื่อให้รหัสผ่านของผู้ใช้ยากที่จะคาดเดาได้ นโยบายดังกล่าวอาจต้องการสำหรับ
ตัวอย่างที่เกินความยาวรหัสผ่านขั้นต่ำที่พวกเขา
ประกอบด้วยตัวอักษรตัวพิมพ์ใหญ่และสัญลักษณ์และ ที่พวกเขาไม่ประกอบด้วยคำพจนานุกรม
.
แต่มันเป็นเรื่องยากที่จะกำหนดแน่นอนความสัมพันธ์ระหว่างองค์ประกอบของรหัสผ่าน
องค์ประกอบนโยบายและความสามารถในการทำนายของผลรหัสผ่านใน
ส่วนใหญ่ เนื่องจากขาดข้อมูลเชิงประจักษ์ในรหัสผ่าน
และนโยบายที่พวกเขาถูกสร้างขึ้น แม้แต่
ที่ดีที่สุดในปัจจุบันแนวทางการออกแบบองค์ประกอบ
รหัสผ่านนโยบาย ตัวอย่างเช่นจะขึ้นอยู่กับทฤษฎีการประเมิน [ 4 ]
หรือการศึกษาในห้องปฏิบัติการขนาดเล็ก ( เช่น [ 12 , 20 ] )
สิ่งที่ทำให้การออกแบบเหมาะสมองค์ประกอบ
นโยบายรหัสผ่านแม้ trickier คือ นโยบายดังกล่าวส่งผลกระทบไม่เฉพาะ
รหัสผ่านผู้ใช้สร้าง แต่ยังผู้ใช้ " พฤติกรรม . ตัวอย่างเช่น
รหัสผ่านนโยบายบางองค์ประกอบที่นำไปสู่
มากขึ้นยากที่จะทำนาย อาจจะทำให้ผู้ใช้รหัสผ่าน
เขียนลงรหัสผ่านของตนพร้อมมากขึ้น หรือกลายเป็น
รังเกียจที่จะเปลี่ยนรหัสผ่านเพราะเพิ่มความพยายาม
ของจำใหม่ พฤติกรรมดังกล่าวอาจส่งผลกระทบต่อความสามารถของศัตรู
เดารหัสผ่านและควรจึงจะนำมาพิจารณาเมื่อเลือกนโยบาย .
กับงานวิจัยนี้ เราได้เอาขั้นตอนที่สําคัญต่อการปรับปรุง
ความเข้าใจของเราวิธีการองค์ประกอบของนโยบายรหัสผ่าน --
fluence สามารถคาดการณ์ของรหัสผ่านเช่นเดียวกับวิธีที่พวกเขา
ต่อพฤติกรรมผู้ใช้และความเชื่อมั่น เราอธิบายผลของการศึกษาของผู้ใช้ทั้งสอง
มีมากกว่า 5000 คนในส่วนแรกเราต้องเข้าร่วมกันเพื่อสร้างรหัสผ่าน
ภายใต้หนึ่งของรหัสผ่านที่แตกต่างกันสี่องค์ประกอบของนโยบาย .
ในส่วนที่สองเราขอเข้าร่วมเพื่อเรียกคืนรหัสผ่านของพวกเขา
อย่างน้อยสองวันต่อมา นอกจากนี้เรายังทำการสำรวจผู้ใช้
จับภาพความเชื่อมั่นต่อองค์ประกอบ
รหัสผ่านนโยบาย ตลอดจนเพื่อเรียนรู้เกี่ยวกับรหัสผ่านที่เกี่ยวข้องกับพฤติกรรม
ของพวกเขา ( เช่นว่าและวิธีการที่พวกเขาบันทึกรหัสผ่าน )
ใช้เก็บข้อมูล เราวิเคราะห์ทำนาย
ของรหัสผ่านที่สร้างขึ้นภายใต้นโยบายของรหัสผ่านต่าง ๆ โดยการคำนวณค่า
. ผลลัพธ์ของเรา
เอนโทรปีแรกประมาณการที่ได้มาจากการศึกษาเชิงประจักษ์
ขนาดใหญ่ที่อนุญาตให้ใช้ในการเปรียบเทียบค่าองค์ประกอบของนโยบายรหัสผ่านที่แตกต่างกัน
รวมกับการสำรวจข้อมูลที่เราเก็บ เราเปรียบเทียบผลของนโยบายของรหัสผ่านที่แตกต่างกันมากขึ้นกว้างกว่า
ได้ทำมาก่อนหน้านี้ ที่มีจำนวนของข้อมูลที่น่าสนใจ
ตัวอย่างเช่น เราเปรียบเทียบนโยบายองค์ประกอบ
รหัสผ่าน : หนึ่งต้องเท่านั้นที่รหัสผ่านอย่างน้อย 16
ตัวอักษร ; อื่น ๆต้องใช้เวลาอย่างน้อยแปดตัวอักษร
แต่ยังเป็นตัวพิมพ์ใหญ่ตัวอักษร , ตัวเลขสัญลักษณ์และการตรวจสอบพจนานุกรม
ตามที่ดีที่สุดของแนวทาง [ 4 ] ,
2 นโยบายน่าจะประมาณ
เอนโทรปีรหัสผ่านเดียวกัน เราพบ , อย่างไรก็ตาม , ที่ 16 -
ตัวละครนโยบายผลตอบแทนน้อยกว่าคาดเดารหัสผ่าน
และก็หลายวัดภาระน้อยลง
ผู้ใช้ เราเชื่อว่านี้จะเป็นประโยชน์ทั้ง
พบอื่น ๆผู้เชี่ยวชาญด้านการรักษาความปลอดภัย การแสวงหาเพื่อสร้างหรือทบทวน passwordcomposition
นโยบาย และนักวิจัยที่สนใจในการศึกษา
วิธีการสร้างรหัสผ่านความปลอดภัยมากขึ้นและใช้งาน .
ในส่วนถัดไป , เราให้บริการสำรวจพื้นหลัง และที่เกี่ยวข้องกับ
งาน ต่อไปเราจะอธิบายวิธีการศึกษาของเรา
ตามด้วยประชากรของผู้เข้าร่วมและคำอธิบาย
ของวิธีการที่เราวิเคราะห์ข้อมูลของเราเราก็แบบ
อธิบายผลลัพธ์ที่เราได้รับรหัสผ่านสำหรับเอนโทรปีและพฤติกรรมผู้ใช้ ( รวมทั้งรหัสผ่านและรหัสผ่านกระเป๋า
องค์ประกอบกลยุทธ์การจดจำ ใช้ความรู้สึก และนิเวศวิทยา
ความถูกต้อง ) เราสรุปได้ด้วยการสนทนาที่เรา
สานกันผลของแต่ละบุคคลเพื่อให้ภาพที่สมบูรณ์มากขึ้นของผลกระทบของนโยบาย
องค์ประกอบรหัสผ่านที่แตกต่างกันและเรายังให้ข้อมูลสำคัญที่สุด
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- Nothing
- ให้เวลากับฉัน
- หัวเราะ
- Must
- that man was fined for throwing cigaratt
- 1.เมื่อมีการเปลี่ยนแปลงลักษณะงาน2.มีการเ
- Keep the pig shit
- 会計
- his huge pectorals were spread wide.
- Grazing management The number of animais
- if they get know that I am living alone
- คุณลืมอะไรหรือเปล่า
- pointerA common misconception is that th
- ิฺBIG BAY
- Various English stuff
- ไม้แขวน
- Connection
- คุณเป็นผู้ชายที่น่ากลัวมาก
- แฟนคุณเธออยู่ที่ไหน
- ตลาดนัดเลียบด่วน-
- Bore?
- นำมาเป็นพื้นฐานในการร่างกฎหมายเช่นกัน เพ
- นักวิชาการ
- To start
