Blase Ur、Fumiko Noma、Jonathan Bees、Sean M.Segreti、Richard Shay、Lujo Bauer、Nicolas Christin和Lorrie Faith Cranor,卡内基梅隆大学
用户经常使用容易被攻击者猜测的密码。之前的研究已经记录了导致容易猜到密码的特征,但还没有探究用户为什么要伪造弱密码。为了了解常见密码模式的起源,并揭示普通用户对密码强度的误解,我们进行了一项定性访谈研究。在我们的实验室中,49名参与者在大声思考的同时为虚拟银行、电子邮件和新闻网站帐户创建了密码。然后我们采访了他们的总体策略和灵感。大多数参与者都有一个明确定义的密码创建过程。在某些情况下,参与者有意识地使用弱密码。然而,在其他情况下,错误观念导致了弱密码,例如认为在密码末尾添加“!”会立即使其安全,或者认为拼写困难的单词比容易拼写的单词更安全。参与者通常预期只有非常有针对性的攻击,他们认为如果这些数据不在脸书上,那么使用生日或姓名是安全的。相反,一些参与者使用不可预知的短语或非标准的大写字母来设置安全密码。根据我们的数据,我们确定密码创建的各个方面已经成熟,可以改进指导或自动干预。
USENIX致力于开放访问我们活动上展示的研究。活动开始后,所有人都可以免费获得论文和会议记录。活动结束后发布的任何视频、音频和/或幻灯片也免费向所有人开放。支持USENIX以及我们对开放存取的承诺。