論文の概要: "Make Them Change it Every Week!": A Qualitative Exploration of Online Developer Advice on Usable and Secure Authentication
- arxiv url: http://arxiv.org/abs/2309.00744v2
- Date: Sun, 26 Nov 2023 21:25:17 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-19 06:53:05.909719
- Title: "Make Them Change it Every Week!": A Qualitative Exploration of Online Developer Advice on Usable and Secure Authentication
- Title(参考訳): Make Them Change It Every Week!:A Qualitative Exploration of Online Developer Advice on Usable and Secure Authentication
- Authors: Jan H. Klemmer, Marco Gutfleisch, Christian Stransky, Yasemin Acar, M. Angela Sasse, Sascha Fahl,
- Abstract要約: 我々は、オンラインアドバイスのアクセシビリティと品質を理解し、オンラインアドバイスが安全および(使用不能な)認証にどのように貢献するかについての洞察を提供することを目指している。
18名のプロのWeb開発者を対象に調査を行い,406件の文書と272件のアドバイスを質的に分析した。
最も一般的なアドバイスはパスワードベースの認証だが、より現代的な代替案はほとんどない。
- 参考スコア(独自算出の注目度): 21.58767421554059
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Usable and secure authentication on the web and beyond is mission-critical. While password-based authentication is still widespread, users have trouble dealing with potentially hundreds of online accounts and their passwords. Alternatives or extensions such as multi-factor authentication have their own challenges and find only limited adoption. Finding the right balance between security and usability is challenging for developers. Previous work found that developers use online resources to inform security decisions when writing code. Similar to other areas, lots of authentication advice for developers is available online, including blog posts, discussions on Stack Overflow, research papers, or guidelines by institutions like OWASP or NIST. We are the first to explore developer advice on authentication that affects usable security for end-users. Based on a survey with 18 professional web developers, we obtained 406 documents and qualitatively analyzed 272 contained pieces of advice in depth. We aim to understand the accessibility and quality of online advice and provide insights into how online advice might contribute to (in)secure and (un)usable authentication. We find that advice is scattered and that finding recommendable, consistent advice is a challenge for developers, among others. The most common advice is for password-based authentication, but little for more modern alternatives. Unfortunately, many pieces of advice are debatable (e.g., complex password policies), outdated (e.g., enforcing regular password changes), or contradicting and might lead to unusable or insecure authentication. Based on our findings, we make recommendations for developers, advice providers, official institutions, and academia on how to improve online advice for developers.
- Abstract(参考訳): ウェブ以降で使用可能なセキュアな認証は、ミッションクリティカルだ。
パスワードベースの認証はまだ普及しているが、ユーザーは数百のオンラインアカウントとパスワードを扱うのに苦労している。
多要素認証のような代替や拡張には独自の課題があり、限定的な採用しか見つからない。
セキュリティとユーザビリティの適切なバランスを見つけることは、開発者にとっては難しい。
以前の調査では、開発者はオンラインリソースを使用してコードを記述する際のセキュリティ上の決定を通知していた。
他の分野と同様、Stack Overflowに関する議論、OWASPやNISTといった機関によるガイドラインなど、開発者の認証アドバイスがオンラインで公開されている。
エンドユーザのセキュリティに影響を及ぼす認証に関する,開発者のアドバイスを最初に検討しています。
18名のプロのWeb開発者を対象に調査を行い,406件の文書と272件のアドバイスを質的に分析した。
我々は、オンラインアドバイスのアクセシビリティと品質を理解し、オンラインアドバイスが安全および(使用不能な)認証にどのように貢献するかについての洞察を提供することを目指している。
アドバイスは散在しており、推奨され、一貫したアドバイスを見つけることは、開発者にとっても問題である。
最も一般的なアドバイスはパスワードベースの認証だが、より現代的な代替案はほとんどない。
残念ながら、多くのアドバイスはデバタブル(複雑なパスワードポリシーなど)、時代遅れ(例えば、通常のパスワード変更を強制)、あるいは矛盾し、使用不能または安全でない認証につながる可能性がある。
調査の結果から,開発者,アドバイス提供者,公式機関,学界に対して,開発者のオンラインアドバイスを改善する方法について提言する。
関連論文リスト
- Nudging Users to Change Breached Passwords Using the Protection Motivation Theory [58.87688846800743]
我々は保護動機理論(PMT)に基づいて、侵入したパスワードの変更を促すナッジを設計する。
本研究は, PMTのセキュリティ研究への応用に寄与し, 漏洩したクレデンシャル通知を改善するための具体的な設計上の意味を提供する。
論文 参考訳(メタデータ) (2024-05-24T07:51:15Z) - Evaluating the Influence of Multi-Factor Authentication and Recovery Settings on the Security and Accessibility of User Accounts [0.0]
本稿では,Google および Apple ユーザのアカウント設定について検討する。
多要素認証設定とリカバリオプションを考慮して,アカウントのセキュリティとロックアウトリスクを分析した。
以上の結果から,Google と Apple のアカウント間のセキュリティ上の大きな違いを示すとともに,認証デバイスを1つ失うと,多くのユーザがアカウントへのアクセスを逃してしまうことが判明した。
論文 参考訳(メタデータ) (2024-03-22T10:05:37Z) - Passwords Are Meant to Be Secret: A Practical Secure Password Entry Channel for Web Browsers [7.049738935364298]
悪質なクライアントサイドスクリプトとブラウザ拡張機能は、マネージャによってWebページにオートフィルされた後、パスワードを盗むことができる。
本稿では,パスワードマネージャがユーザ動作の変更を必要とせず,自動記入証明書の盗難を防止する上でどのような役割を果たせるかを検討する。
論文 参考訳(メタデータ) (2024-02-09T03:21:14Z) - User Consented Federated Recommender System Against Personalized
Attribute Inference Attack [55.24441467292359]
本稿では,ユーザの異なるプライバシーニーズを柔軟に満たすために,ユーザ合意型フェデレーションレコメンデーションシステム(UC-FedRec)を提案する。
UC-FedRecは、ユーザーが様々な要求を満たすためにプライバシー設定を自己定義し、ユーザーの同意を得てレコメンデーションを行うことを可能にする。
論文 参考訳(メタデータ) (2023-12-23T09:44:57Z) - A Review of Password-less User Authentication Schemes [0.0]
レビューでは、2004年にパスワードにネイルが配置されて以来提案されてきたパスワードレス認証方式について検討している。
ユーザエクスペリエンス、全体的なセキュリティ、デプロイの容易性に対する影響に基づいて、真にパスワードレスで実用的なスキームを評価します。
論文 参考訳(メタデータ) (2023-12-05T15:57:40Z) - An Exploration Into Web Session Security- A Systematic Literature Review [0.0]
Webセッションに対する最も一般的な攻撃は、例えば、信頼されたWebブラウザアプリケーションで法的にセッションを作成しようとする、Webブラウザの正直なユーザに対する攻撃である。
我々は、既存のセキュリティソリューションをレビューすることで、特定のソリューションの有効性を判断する4つの異なる方法を評価した。
私たちが特定したガイドラインは、より構造化され包括的な方法でWebセキュリティを進める創造的なソリューションに役立ちます。
論文 参考訳(メタデータ) (2023-10-14T16:22:07Z) - SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。
SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。
我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文 参考訳(メタデータ) (2023-09-26T08:11:38Z) - Exploring Security Practices in Infrastructure as Code: An Empirical
Study [54.669404064111795]
クラウドコンピューティングは、Infrastructure as Code (IaC)ツールが広く使われていることで人気を博している。
スクリプティングプロセスは、実践者が自動的に設定ミスや脆弱性、プライバシリスクを導入するのを防ぐものではない。
セキュリティの確保は、実践者が明確な方針、ガイドライン、ベストプラクティスを理解し、採用することに依存する。
論文 参考訳(メタデータ) (2023-08-07T23:43:32Z) - Tales from the Git: Automating the detection of secrets on code and
assessing developers' passwords choices [8.086010366384247]
これは、異なるプログラミング言語とコンテキストにわたるパスワード選択における開発者の特性を調査する最初の研究である。
デベロッパーは、公開リポジトリのコードを不注意にリークしたかもしれないが、われわれの調査結果は、より安全なパスワードを使う傾向があることを示している。
論文 参考訳(メタデータ) (2023-07-03T09:44:10Z) - Provable Safe Reinforcement Learning with Binary Feedback [62.257383728544006]
状態, アクションペアの安全性に対するバイナリフィードバックを提供するオフラインオラクルへのアクセスを与えられた場合, 証明可能な安全なRLの問題を考える。
我々は,その設定に対してブラックボックスPAC RLアルゴリズムに与えられた任意のMDP設定に適用可能な,新しいメタアルゴリズムSABREを提案する。
論文 参考訳(メタデータ) (2022-10-26T05:37:51Z) - Smart Home, security concerns of IoT [91.3755431537592]
IoT(モノのインターネット)は、国内環境において広く普及している。
人々は自宅をスマートホームにリニューアルしているが、インターネットに接続された多くのデバイスを常時オンの環境センサーで所有するというプライバシー上の懸念はいまだに不十分だ。
デフォルトパスワードと弱いパスワード、安価な材料とハードウェア、暗号化されていない通信は、IoTデバイスの主要な脅威と脆弱性として識別される。
論文 参考訳(メタデータ) (2020-07-06T10:36:11Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。