Hyeonhak Jeong: MonoPass: A Password Manager without Master Password Authentication
タイトル
著者
ソース
26th International Conference on Intelligent User Interfaces - Companion
年
2021
月
April
ページ
52–54
概要
Passwords are the most common user authentication methods. Password policies regulate passwords to a certain degree of complexity, which also makes it difficult for users to create and remember passwords. Password managers improve both security and usability by allowing users to memorize only one master password. However, authenticating to the password manager with the master password has the risk of exposing all passwords when the security of the password manager is breached. We present a password manager, MonoPass, that leverages a master password to regenerate consistent passwords across a variety of devices and passes password metadata through a central server. MonoPass enables users to synchronize passwords without storing user data on the server and without using authentication with the master password.
DOI
10.1145/3397482.3450720
URL
キーワード
Password generator, Password manager, Hashing, Password management
出版社
Association for Computing Machinery
内容
コメント
この論文は、「MonoPass: A Password Manager without Master Password Authentication」というタイトルのもと、パスワードマネージャーに関する研究を扱っています。以下に、各セクションごとに内容をまとめてみます。
概要
パスワードは一般的なユーザー認証方法ですが、複雑なパスワードポリシーにより、ユーザーがパスワードを作成・記憶することが困難になることがあります。
既存のパスワードマネージャーは、セキュリティを向上させるが、マスターパスワードの認証が侵害されると全てのパスワードが露見するリスクがあります。
本研究では、MonoPassというパスワードマネージャーを提案しています。これは、マスターパスワードを用いずに、様々なデバイス間で一貫したパスワードを再生成することができます。また、サーバーにユーザーデータを保存せず、マスターパスワードの認証を使用しないで、パスワードを同期できます。
背景
パスワードポリシーによる複雑な要求がユーザーにとっての負担となっていること、また、パスワードの再利用がセキュリティリスクを高めることが指摘されています。
パスワードマネージャーは、複数のパスワードを管理しやすくするが、マスターパスワードのリスクが存在します。
関連研究
パスワード生成アルゴリズムや管理システムに関する既存の研究が概説されています。
セキュリティと使いやすさを両立させるための方法が検討されており、MonoPassはこれらの問題点に対処するために開発されました。
システム概要
MonoPassはパスワードジェネレーター、パスワードマネージャー、中央サーバーの3つのコンポーネントから構成されています。
パスワードジェネレーターは、マスターパスワードとメタデータ(パスワード名、ユーザー名、パスワードバージョンなど)を受け取り、最終的なパスワードを生成します。
パスワードマネージャーは、パスワードメタデータの作成、変更、削除を管理します。
中央サーバーは、デバイス間でのメタデータの同期を管理します。
結論と今後の研究
MonoPassはパスワードの生成、管理、同期を提供し、セキュリティのメリットを持ちますが、中央サーバーを通じた同期のみが可能で、インターネット接続がない場合は別のデバイスにメタデータを伝送できません。
実際の使用シナリオやMonoPassのセキュリティ分析に関するさらなる評価が必要です。
図表の説明
図1: パスワード生成のフローチャートが示されています。ユーザー入力、生成手順、パスワード検証ステップが含まれています。
図2: 実装された画面のスクリーンショットが示されています。左と中央はMonoPass Androidアプリの画面、右側は異なるデバイス(AndroidスマートフォンとWindows PC)でのパスワード生成結果の比較が示されています。