Lior Lazar: Personalized cognitive passwords: an exploratory assessment
タイトル
ソース
Information Management & Computer Security
ページ
25-41
年
2011
Volume
19
Number
1
ISBN
著者
Lior Lazar (Faculty of Management, Tel Aviv University, Tel Aviv, Israel) Omer Tikolsky (Faculty of Management, Tel Aviv University, Tel Aviv, Israel) Chanan Glezer (Department of Industrial Engineering and Management, Ariel University Center of Samaria, Ariel, Israel) Moshe Zviran (Faculty of Management, Tel Aviv University, Tel Aviv, Israel) 概要
Purpose
Cognitive passwords are typically realized using “one size fits all” fact‐based or opinion‐based questions, and as such are prone to guessing attacks. The purpose of this paper is to propose a method of personalizing cognitive passwords to individual users, to close this loophole, and evaluate its performance against rigid cognitive passwords.
Design/methodology/approach
A personalized questionnaire formulated by the subjects was benchmarked against a rigid questionnaire in terms of recall and security. The evaluation employed two constructs used extensively in previous research, namely, Recall – the success in remembering a password, and Secrecy – the likelihood that the password cannot be guessed.
Findings
While the experiment found that personalization increases the recall of cognitive passwords, it showed no improvement in secrecy (reducing guessing rates).
Research limitations/implications
The study was conducted in an academic environment with young freshmen students thereby limiting external validity. Another problem might stem from the difference in the length of the questionnaires between groups in order to minimize drop‐out rates.
Practical implications
Secrecy was and still is the Achilles heel of the cognitive password mechanism and therefore the results imply that some restrictions should be imposed to prevent selection of over‐simplistic cognitive passwords.
Originality/value
This study is important because it is the first of its kind – benchmarking recall and secrecy of two types of cognitive authentication methods – rigid and personalized.
内容
秘密の質問は自分で作る方が「母親の旧姓は?」みたいなお仕着せ問題より良いんじゃね? と思って実験した 自分で頑張って作った質問の方が忘れないだろうし
自分で頑張って作った質問の方が難しいだろうし
お仕着せ問題と自作問題でどれぐらい違うか調べた
recallは良くなったがセキュリティは改善しなかった!
親戚の推測が結構あたってしまった
というかお仕着せ問題の場合と同じようなものだった
コメント 増井俊之.icon
Personalizeするとか当たり前に思えるのだが、それまでやってなかったのだろうか??
Personalizeといっても、完全にゼロから問題を作るのではなくて、小学校の名前を聞くのか生まれた場所を聞くのか選べる、といった程度であった
であれば他人からの推測が可能だったのもあたりまえに思えた
お仕着せの問題を出すシステムが多い理由は超々単純な問題を設定されたくないからなんだそうな
超々簡単なパスワードを許したくないのと同じような話らしい
いろいろな研究はあるのだろうけど、cognitive password方式からパスワード文字列を作るというものは発見できてないし、そういう研究があったということも聞いていない
そこが不思議なところなのだが...
EpisoPass方式は、あまりにもあたりまえに思えるにもかかわらず、それと同じ文献がみつからないのであった 参考文献
DOI