Dissertação
Evaluating Password Strength Meters and Password Composition Policies using Guessing Attacks EVALUATED
A utilização de passwords continua a ser o principal método de autenticação usado hoje em dia. Apesar da extensa investigação, existem ainda vários problemas importantes por resolver, tais como evitar a combinação entre a previsibilidade na selecção de passwords por parte dos utilizadores e a reutilização de credenciais em serviços diferentes. Estes problemas permitem que ataques por adivinhação sejam uma potencial ameaça contra a integridade das contas dos utilizadores e sua segurança. Estimadores de Segurança (PSMs) e Políticas de Composição de Passwords (PCPs) são dois dos mecanismos de segurança implementados cujo objectivo é mitigar estes problemas, guiando os utilizadores para melhores hábitos na seleção de passwords e, assim, protegê-lo contra ataques por adivinhação. Enquanto que estudos recentes mostraram a eficácia destes mecanismos, dados rigorosos e novos métodos de avaliação são necessários de forma a obter avaliações mais fidedignas na precisão da sua estimação e eficácia geral contra este tipo de ataques. Nesta tese estendemos trabalhos anteriores através da definição de uma metodologia de avaliação para estudar a relação entre PSMs e PCPs com a sua resistência contra ataques de adivinhação. Mais ainda, mostramos que esta metodologia disponibiliza uma boa medida de precisão e eficácia para PSMs e PCPs actualmente utilizados e também realçamos observações relevantes sobre estes mecanismos de segurança. Finalmente, e tirando partido dos nossos resultados experimentais relativos ao estimador do zxcvbn, identificamos vários problemas no seu mecanismo de estimação e propomos ajustes de maneira a melhorar a sua precisão na estimação de passwords.
outubro 7, 2020, 14:30
Publicação
Obra sujeita a Direitos de Autor
Orientação
ORIENTADOR
João Fernando Peixoto Ferreira
Departamento de Engenharia Informática (DEI)
Professor Auxiliar