Saranga Komanduri: Of passwords and people: measuring the effect of password-composition policies
タイトル
ソース
Proceedings of the 2011 annual conference on Human factors in computing systems (CHI2011) ページ
2595-2604
年
2011
ISBN
978-1-4503-0228-9
著者
概要
内容
パスワードポリシー(記号を使え, etc.)が実際どれぐらい有効か調べてみた
厳しいポリシーにするとユーザは紙に書いてしまうかもしれないし
「16文字以上のパスワード」と「8文字以上で大文字/小文字/数字/記号」で比較
エントロピーは同じと思われていたが
「16文字以上」の方がはるかによかった
45ビットぐらい
5000人(!)で調査
Mechanical Turkを利用
ひとり50セントぐらい
安っ
5種類のポリシーでパスワードを考えさせた
結果
記号はあまり使われない
数字は意外とエントロピー増大に有効
辞書チェックはフラストレーションが増す
コメント
これを参照してる論文は多い
ポリシーがいかに効くかを調査した基本論文と思われてるのだろう