2 人のコンピューター サイエンスの専門家が、このアイデアが多くのエンド ユーザーの間で「軽蔑」を生むと予測しながらも、Web サイトが協力してパスワードの再利用をブロックすることを提案しました。
彼らの予想は経験に基づいています。Troy Hunt の HaveIBeenPwned は、非常に多くの人がパスワードを再利用することから役立ち、現在 50 億件以上の侵害されたアカウントを記録していると主張しています。
カロライナ大学のケ・コビー・ワンとマイケル・リッターが arXiv の論文で述べているように、パスワードの再利用はユーザーを危険にさらすだけではありません。「侵害されたアカウントと盗まれた価値を防止、検出、クリーンアップすることは、サービスプロバイダーにとっても大きなコストです。」
OAuth のようなシングル サインオン スキームはユーザーの間ではそこそこ普及していますが、この論文ではその普及を阻む 2 つの問題を指摘しています。
Facebook ログインを廃止すべき時: 顧客のデータを保護する必要があるなら、なぜそれをザッカーバーグに渡すのか?
続きを読む
まず、ユーザーの OAuth 認証情報が侵害された場合 (2 要素認証などの追加の保護を実行していない場合)、攻撃者は関連するすべてのアカウントにアクセスできるようになります。
第二に、この論文では「こうしたスキームにおけるアイデンティティプロバイダーは通常、ユーザーが訪問した依存先を学習する」と述べており、これは最近のプライバシースキャンダルによって悪評を買っている。
たとえユーザーが「サイトごとに1つのパスワード」というルールに従うことに抵抗を感じていたとしても、2人はユーザーの抵抗に耐えてパスワードの使い回しを阻止する価値はあると考えています。問題は、どのようにすればいいのかということです。
概要レベルでは簡単です。ユーザーが新しいアカウントを登録しているサーバー (リクエスター) が、他のサイト (レスポンダー) に、その個人が同じパスワードを使用しているかどうかを問い合わせます。
しかし、彼らは、それはパスワードを保護する方法で行われなければならない(サイトはパスワードを渡すことなく「はい」か「いいえ」としか言えない);サイトはまた正しいユーザーを識別する必要がある;そしてその方式は認証サーバーに過度のオーバーヘッドを課すことを避けなければならない、と書いている。
インターネットで転送されるあらゆる種類のディレクトリ検索ではディレクトリの保護が求められるため、Wang/Ritter プロトコルでは準同型暗号化 (ElGamal と呼ばれる方式) が提案されています。つまり、検索ではデータベースを復号化せずにクエリを実行して「ヒット/ミス」を決定できます。
ワン氏とリッター氏は、もし彼らのようなスキームが、比較的小規模な主要ウェブサイト(YouTube、Facebook、WhatsApp、Gmail、Instagram、Tumblr、iCloudなど)に採用されたとしても、ユーザーは覚えられる以上のパスワードを持つことになり、提案の最も重要な目的、つまり、あらゆるオンラインサービスで複雑で新しいパスワードを強く要求するパスワードマネージャーをユーザーに使用させるという目的が達成されるだろうと考えています。®
