JP2013531285A - パスワード生成および検証のための方法、デバイス、およびコンピュータプログラム支援 - Google Patents
パスワード生成および検証のための方法、デバイス、およびコンピュータプログラム支援 Download PDFInfo
- Publication number
- JP2013531285A JP2013531285A JP2013509523A JP2013509523A JP2013531285A JP 2013531285 A JP2013531285 A JP 2013531285A JP 2013509523 A JP2013509523 A JP 2013509523A JP 2013509523 A JP2013509523 A JP 2013509523A JP 2013531285 A JP2013531285 A JP 2013531285A
- Authority
- JP
- Japan
- Prior art keywords
- password
- user
- property
- input
- processor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/02—Input arrangements using manually operated switches, e.g. using keyboards or dials
- G06F3/023—Arrangements for converting discrete items of information into a coded form, e.g. arrangements for interpreting keyboard generated codes as alphanumeric codes, operand codes or instruction codes
- G06F3/0233—Character input methods
- G06F3/0236—Character input methods using selection techniques to select from displayed items
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/048—Interaction techniques based on graphical user interfaces [GUI]
- G06F3/0487—Interaction techniques based on graphical user interfaces [GUI] using specific features provided by the input device, e.g. functions controlled by the rotation of a mouse with dual sensing arrangements, or of the nature of the input device, e.g. tap gestures based on pressure sensed by a digitiser
- G06F3/0489—Interaction techniques based on graphical user interfaces [GUI] using specific features provided by the input device, e.g. functions controlled by the rotation of a mouse with dual sensing arrangements, or of the nature of the input device, e.g. tap gestures based on pressure sensed by a digitiser using dedicated keyboard keys or combinations thereof
- G06F3/04895—Guidance during keyboard input operation, e.g. prompting
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Human Computer Interaction (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
パスワードによって保護されるエンティティへのユーザのログオン中に、パスワードが、パスワードキャラクタを反復して受信すること(310)、および、その受信されたキャラクタが正当なパスワードのための少なくとも1つの要件を設定する、既に定義済のプロパティ(a)を満たすことを確認することによって、確認される。そうでない場合には、そのときこれは、ブルートフォースアタックを示すことができ、適切なアクションが取られ得る。そのプロパティは、ユーザに依存してもよい。対応するデバイス(120)およびコンピュータプログラムプロダクト(140)もまた提供される。
Description
本発明は、概してコンピュータシステムに関し、具体的には、そのようなシステムでのログオン時のパスワードの処理に関する。
本項は、以下に記載および/または請求される本発明の様々な態様に関連し得る、技術分野の様々な態様を読者に紹介するものである。本議論は、本発明の様々な態様のさらなる理解を容易にするための背景情報を読者に提供するのに役立つと考えられる。したがって、これらの記述は、先行技術の承認としてではなく、この観点から読まれるべきであることを理解されたい。
パスワードは、たとえば、ユーザのログオンを認証するために、今日のコンピュータシステムの至る所に存在する。その一般的な定義で、パスワードは、既に定義済のアルファベット内に取り入れられた一連のシンボルで構成される(たとえば、PINコードの4つの数値)。
「強い」パスワードを作成するためには、選択されたパスワードが既に定義済のポリシーを満たすことを必要とするのが一般的である。そのようなポリシーは、たとえば、パスワードが少なくとも8つのキャラクタの長さであるべきであるということと、それが少なくとも1つの大文字と、&、(、=などの、少なくとも1つの特殊キャラクタとを含むべきであるということでもよい。特許文献1および特許文献2は、そのようなパスワードを選択するための解決法を提示する。
しかし、強いパスワードを使用するパスワード保護されたシステムでも、ブルートフォースアタック(あらゆる起こり得る値を反復して試すこと)によって、またはディクショナリーアタック(優先値のサブセットを試すこと)によってのいずれかで攻撃され得る。以下では、これらのアタックを「自動化されたアタック」と呼ぶ。それらの実装を単純化するために、これらのアタックは、認証システムのユーザインターフェースではなくて低レベル層を使用して動作する。これらのツールのうちのいくつかは、たとえば、John the Ripperパスワードクラッカなど、インターネットでも入手可能である。
現在の認証システムは、自動化されたアタックとユーザ誤りを区別することができない。デフォルト設定で、いくつかの認証システムは、2つの連続する要求の間に遅延を挿入することによって、失敗したトライの数を制限することによって、またはその2つの組合せによってのいずれかで、自動化されたアタックのリスクを最小限に抑えるための機構を実装する。PINコードの例では、失敗したトライの数はしばしば3に固定される。
したがって、認証システムが自動化されたアタックを検知し、それによってシステムが適切なポリシーにしたがってそのようなアタックに反応できるようにすることができる解決法が必要とされていることを理解できよう。本発明は、そのような解決法を提供する。
第1の態様では、本発明は、パスワードによって保護されたエンティティへのユーザのログオン中の入力パスワードの検証方法を対象とする。プロセッサは入力パスワードの少なくとも1つのキャラクタを受信し、該少なくとも1つの受信されたキャラクタが、正当なパスワードのための少なくとも1つの要件を設定する、既に定義済のプロパティを満たすことを確認する。
第1の好ましい実施形態では、入力パスワードのすべてのキャラクタおよびその入力パスワードが完成したという指示が受信され、プロセッサは、その完成した入力パスワードがエンティティを保護するパスワードと一致することをさらに確認する。一変形形態では、完成した入力パスワードが第1の部分および第2の部分を有し、プロパティが第2の部分によって表され、および、プロパティの順守が、第1の部分を処理してその処理された第1の部分が第2の部分と一致するかを調べることによって確認される。
第2の好ましい実施形態では、プロパティはユーザに依存する。
第3の好ましい実施形態では、プロセッサは、ユーザのプロパティを順守しない所定数の入力パスワードまたは入力パスワードの部分を検出したときに、ブルートフォースアタックが試みられたと判断する。ブルートフォースアタックが試みられたと判断したときに適切なアクションを取ることは有利である。そのような適切なアクションは、管理者に警告を発行すること、ユーザに警告を発行すること、システムを遮断すること、および、さらなるログオンの試みを受け入れる前に所定の時間待つことのうちの少なくとも1つを含む。
第2の態様では、本発明は、パスワードによって保護されたエンティティへのユーザのログオン中に入力パスワードを確認するためのデバイスを対象とする。本デバイスは、パスワードキャラクタを受信するためのインターフェース、および、少なくとも1つの受信されたパスワードキャラクタが正当なパスワードのための少なくとも1つの要件を設定する、既に定義済のプロパティを満たすことを確認するためのプロセッサを備える。
第1の好ましい実施形態では、そのインターフェースは、さらに、入力パスワードが完成したという指示を受信するためであり、そのプロセッサは、さらに、完成した入力パスワードが、前記エンティティを保護するパスワードと一致することを確認するためである。一変形形態では、完成した入力パスワードは第1の部分および第2の部分を有し、プロパティは第2の部分によって表され、プロセッサは、第1の部分を処理してその処理された第1の部分が第2の部分と一致するかを調べることによって、プロパティの順守を確認するように適合される。
第2の好ましい実施形態では、そのプロパティは、パスワードのユーザに依存する。
第3の好ましい実施形態では、そのプロセッサは、さらに、ユーザのプロパティを順守しない所定数の入力パスワードまたは入力パスワードの部分を検出したときに、ブルートフォースアタックが試みられたと判断するためである。ブルートフォースアタックが試みられたと判断したときに適切なアクションを取ることは有利である。そのような適切なアクションは、管理者に警告を発行すること、ユーザに警告を発行すること、システムを遮断すること、および、さらなるログオンの試みを受け入れる前に所定の時間待つことのうちの少なくとも1つを含む。
第3の態様では、本発明は、パスワードによって保護されたエンティティへのユーザのログオン中にプロセッサによって実行されるときに、入力パスワードの少なくとも1つのキャラクタを受信する、および、その少なくとも1つの受信されたキャラクタが正当なパスワードのための少なくとも1つの要件を設定する、既に定義済のプロパティを満たすことを確認する、ソフトウェアプログラムの命令を記憶するコンピュータプログラムプロダクトを対象とする。
本発明の好ましい特徴が、添付の図面を参照して、非限定的例として、ここで説明される。
図1は、本発明が実装され得る例示的システムを示す。本システムはコンピューティングデバイス(「コンピュータ」)110および認証サーバ120を備え、本発明がコンピュータ110に、認証サーバ120に、またはコンピュータ110および認証サーバ120の両方に実装され得ることを理解できよう。コンピュータ110および認証サーバ120は、標準パーソナルコンピュータ(PC)またはワークステーションなど、計算を実行する能力のある任意の種類の適切なコンピュータまたはデバイスでもよい。コンピュータ110および認証サーバ120は各々好ましくは、少なくとも1つのプロセッサ111、121、RAMメモリ112、122、ユーザと対話するためのユーザインターフェース113、123、および、接続130を介して他のデバイスと対話するための第2のインターフェース114、124を備える。コンピュータ110および認証デバイス120はまた各々、好ましくは、プロセッサによって実行されるときに、以下に記載されるパスワード方法のいずれかを実行する命令を記憶するデジタルデータサポート140からソフトウェアプログラムを読み取るためのインターフェースも備える。図示されたデバイスはわかりやすいように非常に簡略化されており、実際のデバイスは、永続記憶デバイスなどの機能をさらに備えることになることが当業者には理解できよう。
中心となる考え方は、パスワードΩのセットにプロパティα(「規則(rule)」または「関数(function)」とも呼ばれる)を追加することである。これは、完成したパスワード空間を以下の2つの明確なサブセットに分けることになる。
− プロパティを順守する有効なパスワード(すなわち、有効なパスワード空間)のサブセット
− プロパティを順守しない無効なパスワードのサブセット
これが、たとえば1つの大文字および文字もしくは数字以外の1つのキャラクタを含む少なくとも8つのキャラクタをパスワードが有することを要求する、一部の先行技術のシステムにも、既に当てはまることを理解できよう。しかし、重要なのは、この要件がディクショナリーアタックの影響をそれらが受けにくくするためにユーザのパスワードを多様化することのみを意図し、自動化されたアタックの検出を全く可能にしないこと、そして、正当なキャラクタを提案することによって有効なパスワードをユーザに案内することを一切しないことを理解することである。
サブセットは有利には動的であること、および、したがってそれらが経時的に変化し得ることを理解できよう。このダイナミズムの1つの例示的実装は、直前に使用されたnパスワードを無効なサブセットΩiに入れることである。
このサブセットは明確であるが、実装をしやすくするために、それらを定義する規則は重複することがあり、その場合、ある規則が別の規則に優先する必要がある。たとえば、ユーザの生まれた年の使用を禁じる規則は、有利には、その特定の組合せを他の方法で可能にすることになるどんな規則も覆す。
ユーザがユーザインターフェースを介してパスワードを入力するとき、彼は有効なパスワード空間Ωνに制限される。本システムは、無効なパスワード空間Ωi(および場合により第3のサブセットもまた)からの要求をアタックとして考え、それに応じて反応することができる。
プロパティαの選択は、パスワードエントロピ(Ωνのサイズ)とアタックの可検出性(Ωiのサイズ)の間のトレードオフである。
したがって、プロパティαの使用は、ブルートフォースアタックの検出を可能にする。アタッカーがすべてのパスワード値に体系的にトライする場合、これは必ずΩiの要素を含むことになる。加えて、ディクショナリーアタックは、Ωiに知られているまたはありそうな辞書要素を加えることによって、対抗可能である。
プロパティαは複雑な関数でもよい。それは、完成したパスワードに適用可能であるが、好ましくは、ユーザインターフェースによる各シンボル入力について確保されるべきである。この場合、所与のステップで入力可能なシンボルは、前に入力されたシンボルに依存する。
好ましくは、プロパティαは、無効なサブセットからパスワードを使用する無視できない可能性をランダムなパスワードの推測が有することを確保するために、「十分に混合した(well-mixed)」および無視できないサイズの2つのセクションにパスワード空間を分割する。
たとえば、テキストのパスワード入力について、プロパティαは、大文字と小文字とを交互にすることでもよい。この場合、第1のシンボルについて、任意のキャラクタ(大文字または小文字)が、パスワード作成中に選択され得る。次いで、ユーザインターフェースは、前のキャラクタが大文字であった場合には小文字キャラクタのセットを提案し、その逆の場合も同様である。したがって、プロパティαは、パスワードの作成の各ステップで確認される。
たとえば、有効なパスワード空間Ωνと無効なパスワード空間Ωiの間の比率rが非常に低い(r<<1)場合、そのとき、有効なパスワードを見つけ出すことは困難であり、システムはまた、規則についていくらかの知識を有するハッカーからのアタックに対して弱くなることがある。一方で、r>>1の場合、そのとき、ほとんどすべてのパスワードが有効であり、アタックを検知する可能性は低い。したがって、比率r≒1、おそらく0.5<r<2が、経験則として使用され得る、よい妥協案であることが明らかとなろう。
プロパティαは、たとえばユーザ名のような様々な要素に依存し得る。この場合、2人のユーザは、彼らのパスワードを構築するための異なる規則を有することができる。たとえば、ユーザ名のキャラクタの数が奇数(別に偶数)である場合、そのとき、パスワードは大文字(別に小文字)キャラクタのみを含むべきである。大文字と小文字のキャラクタの混合からなる任意の要求は、アタックとして考えられることになる。もう1つの例は、ユーザ名とパスワードのキャラクタの数の合計が偶数(または奇数)になるように求めることである。
プロパティαの定義は、多数のパラメータを考慮して、非常に複雑になり得る。しかし、複雑すぎるプロパティは、以下の欠点を有し得る:結果として生じるパスワードが記憶するには困難となり得、および、有効なパスワードセットΩνのサイズが、十分なエントロピを確保するには小さくなりすぎることがある。
システムのセキュリティの全体のレベルは、プロパティαの機密性に依存する。このプロパティを知るまたは推測することは、有効なパスワード値(Ων)のセットを構築し、検知されることなしに、このセットでディクショナリーアタックを実行することを可能にすることになろう。
アタッカーが有効なサブセットΩνを再構築することをより困難にするために、ログインの瞬間にユーザインターフェースで制約を積極的に強調せず、パスワード構築中にのみ、そうすることが有利である。
さらに、認証システムで使用される伝統的な対抗手段(たとえば、トライの最大数、および誤ったパスワード入力間に課される遅延)は、本発明の解決法と組み合わせてやはり使用可能である。
実施例
本項では、PINコードの研究事例を介して本発明の発想を説明する。本例はまた、たとえばディクショナリーアタックの回避など、伝統的対抗手段の一般化についてハイライトする。
本項では、PINコードの研究事例を介して本発明の発想を説明する。本例はまた、たとえばディクショナリーアタックの回避など、伝統的対抗手段の一般化についてハイライトする。
PINコード、{0,…,9}で選択された一連の4桁を考える。
一般的に、パスワード生成における任意の条件を有さない先行技術は、パスワード空間Ωが、「0000」と「9999」の間のすべての(10進法の)数によって表され、
である。
以下でPINコードはpとして示され、
である。
一般的な場合には、
一般的な場合には、
である。
第1のステップは、たとえば、同じ数字が4回繰り返される(たとえば「7777」)または4桁が増加列(increasing sequence)(たとえば「1234」)である、あまりに頻繁に使用されるまたは単純すぎる組合せの特定のセット、「辞書」、を排除することでもよい。そのようにして実装される本システムは、選択されたPINコードがその辞書の部分でないことをパスワード生成中に確認し、そうである場合には、選択されたPINコードを有効にすることになる。ログイン(または他の種類の認証)中、無効なサブセットΩiからのPINコードが入力された場合、システムは例外を送出し、計画された対抗手段を取る。
シンボルにおいて:
である。
第2のステップは、関数αを統合してパスワード空間Ωを有効なサブセットおよび無効なサブセット(後者は「辞書」と結合されることになる)に分割することでもよい。たとえば、関数αは、前の数字に関連してあらゆる数字のパリティが変わらなければならないことを提示することができる。本システムは、そのインターフェースを修正すること、および、オプションで有効な数字のみを示すことによって、生成段階中にこの規則の順守を、オプションで強制する。パスワード認証中、本システムは、入力されたPINが規則αを順守することをチェックし、そうでない場合には、次いで例外が送出され、本システムは計画された対抗手段を取る。
再び、シンボルにおいて:
である。
この例では、関数α”は、辞書条件によって禁止された幾つかの組合せを許す。
次いで、第3のステップは、パスワード生成時に、インターフェースを介してアクティブ条件を強制すること、または無効なPINコードを単に拒否することである。パスワード認証中、本システムは、ステップ2および3にあるように両方の条件を確認し、そしてそうでない場合には例外を送出する。
有効なPINコードの可変性はαからα”に減るもののPINコードの選択に有用なサイズをまだ維持することが容易に確認され得る。許可されたおよび禁止されたPINコードセットは、無視できないサイズの、「十分に混合した」ものであることもまた観測され得る。この後者のプロパティは、使用される特定のα関数のみではなく、本システムを攻撃するために使用されるツールにもまた依存する。
オプションで、既に述べたように、ユーザ名に依存する関数αに可変性を加えることが可能である。
このPINの例では、PINコードの第1の桁のパリティがユーザ名の長さのパリティと異なることが必要とされる。その場合、loginはユーザによって入力されたユーザ名を示し、#{login}はその長さを示し、さらに、ρ0は#{login}のパリティを示す。
シンボルにおいてαにこの条件を含めると以下になる。
図2は、本発明の好ましい実施形態によるパスワード生成の方法を示す。本方法は、コンピュータ110に、またはコンピュータ110と対話する認証サーバ120に実装され得る。
第1に、本システムは、次のユーザ入力のために、起こり得るキャラク、すなわちプロパティαに準拠するキャラクタを提案することができる、ステップ210。特に第1のキャラクタについて、選択が自由であることを条件として、このステップは飛ばすことができる。本ステップは、その入力キャラクタがプロパティαを満たすことを確認し、そうでない場合には、そのキャラクタを受け入れることを拒否するステップによって置き換えることができることを理解できよう。
次いでキャラクタがユーザから受信され、ステップ220、そのパスワードが完成したかが確認される、ステップ230。これはユーザ入力(ユーザがアイコンをクリックするまたは「リターン」を押すかなど)によって指示され得るが黙示的でもよい。パスワードが完成した場合、本方法は次いでステップ240で終了し、そうでない場合には、本方法はステップ210に戻る。
図3は、本発明の好ましい実施形態によるパスワード検証方法を示す。本パスワード検証方法は、ユーザが、確認されることになるパスワードによって保護されたエンティティ(アカウント、デバイス、サーバなど)にログオンするときに、有利には実行される。パスワード生成方法と同様に、本検証方法は、コンピュータ110または認証サーバ120によって実施され得る。キャラクタが受信され、ステップ310、そして、そのキャラクタがプロパティαを満たすかが確認される、ステップ320。そうでない場合には、ブルートフォースアタックが試みられたと判断することができ、そして、適切なアクションがステップ330で取られ得る。適切なアクションは、たとえば、管理者および/またはユーザに警告を発することと、X非準拠パスワードの入力の後にシステムを遮断することと、さらなる試みを受け入れる前の遅延の使用であってもよい。パスワード全体が入力されるまで適切なアクションを保留することが可能であり、その場合に本方法はステップ340で継続することを理解できよう。適切なアクションはまた、ある一定数の誤ったパスワード(すなわち、プロパティαを順守しないパスワード)が入力されるまで延期可能であり、誤ったパスワードの数は、たとえば、最後のY秒間のX個の誤ったパスワードなど、時間を考慮することができる。
ステップ340で、パスワードが完成したかが確認され、それは生成方法のステップ230と同様の方式で行われる。そうでない場合、本方法は次いでステップ210で次のキャラクタの受信を待つが、そうである場合、プロパティαが順守されない場合にはこれは必要ではないことがあるが、したがってパスワードは正しくなり得ないが、入力パスワードが次いで確認される、ステップ350。言い換えれば、入力パスワードが、そのエンティティを保護するパスワードと一致することが確認される。前述のように、適切なアクションがこのとき、並びにそれ以前に取られ得る。プロパティαの順守はこのステップまで延期可能であることにも留意されたい(すなわち、ステップ320は、パスワードの検証前またはパスワードの失敗した検証の後のいずれか、ステップ350まで生じない)。
代替的実施形態
プロパティαを表現するための異なるやり方は、ユーザによって一体的に選択されたパスワードの最後に、「認証パディング」としてサーバによって選択された1つまたは複数のキャラクタを加えることである。それらのキャラクタは、ユーザによって入力されたパスワード、彼のログインおよびサーバ側の秘密パラメータをパラメータとして取る擬似ランダム関数の結果であることが望ましい。この解決法の欠点は、ユーザが彼のパスワードに追加されたさらにいくつかのキャラクタを記憶しなければならないということである。
プロパティαを表現するための異なるやり方は、ユーザによって一体的に選択されたパスワードの最後に、「認証パディング」としてサーバによって選択された1つまたは複数のキャラクタを加えることである。それらのキャラクタは、ユーザによって入力されたパスワード、彼のログインおよびサーバ側の秘密パラメータをパラメータとして取る擬似ランダム関数の結果であることが望ましい。この解決法の欠点は、ユーザが彼のパスワードに追加されたさらにいくつかのキャラクタを記憶しなければならないということである。
この後者の方法の一例はHMAC(ハッシュベースメッセージ認証コード)ベースの解決法であるため、生成段階にユーザは彼のパスワードを入力し、本システムがそのHMACを計算し、ユーザによって入力されたパスワードとHMACの最初のn桁を連鎖することによって構成された「完成した」パスワードを返す。認証段階で、ユーザは、パスワードを入力し、そうするとすぐに本システムはそれが可能なパスワードであるかをチェックし、最後のn桁がHMAC値と一致することを確認する。
本発明が以下のようなパスワードを確認するやり方を提供し得ることを理解できよう:
−ブルートフォースアタックおよびディクショナリーアタックに対し耐性がある、
−システムが、それがアタックにさらされているかを識別することを可能にする、
−既存のパスワードベースの認証システムと互換性がある、
−スケーラブルである(大きなアルファベットを有する長いパスワードで使用可能である)、そして、
− プロパティαが種々の環境(PINコード、テキストのパスワード、グラフィックパスワード)に適合することができる。
−ブルートフォースアタックおよびディクショナリーアタックに対し耐性がある、
−システムが、それがアタックにさらされているかを識別することを可能にする、
−既存のパスワードベースの認証システムと互換性がある、
−スケーラブルである(大きなアルファベットを有する長いパスワードで使用可能である)、そして、
− プロパティαが種々の環境(PINコード、テキストのパスワード、グラフィックパスワード)に適合することができる。
本明細書で開示される各機能、並びに(適切な場合には)特許請求の範囲および図面は、独立して、または任意の適切な組合せで提供可能である。ハードウェアに実装されるものとして記載された機能は、ソフトウェアにも実装可能であり、その逆の場合も同じである。本特許請求の範囲に現れる参照番号は、単に例としてであり、本特許請求の範囲への制限的効果を何ら有さない。
Claims (15)
- パスワードによって保護されたエンティティへのユーザのログオン中の入力パスワードの検証方法であって、プロセッサ(111、121)におけるステップ、
前記入力パスワードの少なくとも1つのキャラクタを受信するステップ(310)、および、
受信された前記少なくとも1つのキャラクタが、正当なパスワードのための少なくとも1つの要件を設定する、既に定義済のプロパティ(α)を満たすことを確認するステップ(320)
を有する、前記方法。 - 前記入力パスワードのすべてのキャラクタおよび前記入力パスワードが完成したという指示が受信され、および、該完成した入力パスワードが前記エンティティを保護するパスワードと一致することを確認するステップ(350)をさらに有する、請求項1に記載の方法。
- 前記完成した入力パスワードが第1の部分および第2の部分を有し、前記プロパティが前記第2の部分によって表され、および、前記プロパティの順守が、前記第1の部分を処理して該処理された第1の部分が前記第2の部分と一致するかを調べることによって確認される、請求項2に記載の方法。
- 前記プロパティが前記ユーザに依存する、請求項1または2に記載の方法。
- 前記ユーザのプロパティを順守しない所定数の入力パスワードまたは入力パスワードの部分を検出したときに、ブルートフォースアタックが試みられたと判断するステップをさらに有する、請求項1から4のいずれか1項に記載の方法。
- ブルートフォースアタックが試みられたと判断したときに適切なアクションを取るステップをさらに有する、請求項5に記載の方法。
- 適切なアクションが、管理者への警告を発行すること、ユーザへの警告を発行すること、システムを遮断すること、および、さらなるログインの試みを受け入れる前に所定の時間待つことのうちの少なくとも1つを含む、請求項6に記載の方法。
- パスワードによって保護されたエンティティへのユーザのログオン中に入力パスワードを確認するためのデバイス(110、120)であって、
パスワードのキャラクタを受信するためのインターフェース(113、114、123、124)、および、
受信された少なくとも1つのパスワードキャラクタが正当なパスワードのための少なくとも1つの要件を設定する、既に定義済のプロパティ(α)を満たすことを確認するためのプロセッサ(111、121)
を備える、前記デバイス。 - 前記インターフェースは、さらに、前記入力パスワードが完成したという指示を受信するためであり、前記プロセッサは、さらに、該完成した入力パスワードが、前記エンティティを保護するパスワードと一致することを確認するためである、請求項8に記載のデバイス。
- 前記完成した入力パスワードが第1の部分および第2の部分を有し、前記プロパティが前記第2の部分によって表され、前記プロセッサが、前記第1の部分を処理して該処理された第1の部分が前記第2の部分と一致するかを調べることによって、前記プロパティの順守を確認するようになされる、請求項9に記載のデバイス。
- 前記プロパティが前記パスワードのユーザに依存する、請求項8または9に記載のデバイス。
- 前記プロセッサは、さらに、前記ユーザのプロパティを順守しない所定数の入力パスワードまたは入力パスワードの部分を検出したときに、ブルートフォースアタックが試みられたと判断するためである、請求項8から11のいずれか1項に記載のデバイス。
- 前記プロセッサが、ブルートフォースアタックが試みられたと判断したときに、適切なアクションをさらに取る、請求項12に記載のデバイス。
- 適切なアクションが、管理者に警告を発行すること、ユーザに警告を発行すること、システムを遮断すること、および、さらなるログオンの試みを受け入れる前に所定の時間待つことのうちの少なくとも1つを含む、請求項13に記載のデバイス。
- ソフトウェアプログラムの命令を記憶したコンピュータプログラムプロダクト(140)であって、前記命令が、プロセッサ(111、121)によって実行されるとき、パスワードによって保護されたエンティティへのユーザのログオン中に、
入力パスワードの少なくとも1つのキャラクタを受信するステップ(310)、および、
受信された前記少なくとも1つのキャラクタが、正当なパスワードのための少なくとも1つの要件を設定する、既に定義済のプロパティ(α)を満たすことを確認するステップ(320)
を実行する、前記コンピュータプログラムプロダクト。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP10305498.7 | 2010-05-11 | ||
| EP10305498A EP2386973A1 (en) | 2010-05-11 | 2010-05-11 | Methods, devices and computer program supports for password generation and verification |
| PCT/EP2011/057345 WO2011141388A1 (en) | 2010-05-11 | 2011-05-06 | Methods, devices and computer program supports for password generation and verification |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2013531285A true JP2013531285A (ja) | 2013-08-01 |
| JP2013531285A5 JP2013531285A5 (ja) | 2015-05-14 |
| JP5833640B2 JP5833640B2 (ja) | 2015-12-16 |
Family
ID=42835301
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013509523A Expired - Fee Related JP5833640B2 (ja) | 2010-05-11 | 2011-05-06 | パスワード生成および検証のための方法、デバイス、およびコンピュータプログラム支援 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9384343B2 (ja) |
| EP (2) | EP2386973A1 (ja) |
| JP (1) | JP5833640B2 (ja) |
| KR (1) | KR20130072210A (ja) |
| WO (1) | WO2011141388A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10291630B2 (en) | 2015-02-19 | 2019-05-14 | Fujitsu Limited | Monitoring apparatus and method |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103186750B (zh) * | 2011-12-28 | 2017-04-12 | 富泰华工业(深圳)有限公司 | 可防盗的触摸型便携式装置及防盗方法 |
| US20150295913A1 (en) * | 2012-11-14 | 2015-10-15 | Thomson Licensing | Enhanced server/client login model |
| CN108256317B (zh) * | 2017-12-05 | 2023-04-18 | 西安交大捷普网络科技有限公司 | 一种弱密码检测方法 |
| US11055398B2 (en) | 2018-11-02 | 2021-07-06 | Rsa Security Llc | Monitoring strength of passwords |
| US11095668B2 (en) * | 2019-04-03 | 2021-08-17 | International Business Machines Corporation | Transaction authentication and risk analysis |
| CN114499972B (zh) * | 2021-12-28 | 2023-09-05 | 重庆医药高等专科学校 | 一种采购管理登录数据工作系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000029838A (ja) * | 1998-07-10 | 2000-01-28 | Hitachi Ltd | パスワード確認方式 |
| JP2003006163A (ja) * | 2001-06-21 | 2003-01-10 | Dainippon Printing Co Ltd | ログインパスワードの生成登録方法 |
| JP2006004333A (ja) * | 2004-06-21 | 2006-01-05 | Nomura Research Institute Ltd | ユーザ認証システム、ログイン要求判定装置および方法 |
| US20060136737A1 (en) * | 2004-12-16 | 2006-06-22 | International Business Machines Corporation | System and method for password validation |
| JP2006209198A (ja) * | 2005-01-25 | 2006-08-10 | Kyocera Mita Corp | 画像形成装置及び画像セキュリティプログラム |
| JP2006209175A (ja) * | 2005-01-25 | 2006-08-10 | Konica Minolta Photo Imaging Inc | 認証システム、プログラム、および認証システムにおける不正行為防止方法 |
Family Cites Families (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4821203A (en) * | 1987-05-12 | 1989-04-11 | Marq Packaging Systems, Inc. | Computer adjustable case handling machine |
| WO1996034328A1 (en) * | 1995-04-27 | 1996-10-31 | Herman Weisz | Method and security system for ensuring the security of a device |
| US6065120A (en) * | 1997-12-09 | 2000-05-16 | Phone.Com, Inc. | Method and system for self-provisioning a rendezvous to ensure secure access to information in a database from multiple devices |
| US6643784B1 (en) * | 1998-12-14 | 2003-11-04 | Entrust Technologies Limited | Password generation method and system |
| US8020199B2 (en) * | 2001-02-14 | 2011-09-13 | 5th Fleet, L.L.C. | Single sign-on system, method, and access device |
| US7383570B2 (en) * | 2002-04-25 | 2008-06-03 | Intertrust Technologies, Corp. | Secure authentication systems and methods |
| US7367053B2 (en) * | 2002-10-11 | 2008-04-29 | Yamatake Corporation | Password strength checking method and apparatus and program and recording medium thereof, password creation assisting method and program thereof, and password creating method and program thereof |
| JP3956130B2 (ja) * | 2002-12-25 | 2007-08-08 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 認証装置、認証システム、認証方法、プログラム、及び記録媒体 |
| US7299359B2 (en) * | 2003-04-23 | 2007-11-20 | Apple Inc. | Apparatus and method for indicating password quality and variety |
| US8769680B2 (en) | 2003-06-12 | 2014-07-01 | International Business Machines Corporation | Alert passwords for detecting password attacks on systems |
| EP1639421A1 (en) * | 2003-06-19 | 2006-03-29 | Koninklijke Philips Electronics N.V. | Method and apparatus for authenticating a password |
| US7386892B2 (en) | 2003-07-17 | 2008-06-10 | International Business Machines Corporation | Method and apparatus for detecting password attacks using modeling techniques |
| US20040230843A1 (en) * | 2003-08-20 | 2004-11-18 | Wayne Jansen | System and method for authenticating users using image selection |
| US7193632B2 (en) * | 2003-11-06 | 2007-03-20 | Behr Process Corporation | Distributed color coordination system |
| US7373516B2 (en) * | 2004-08-19 | 2008-05-13 | International Business Machines Corporation | Systems and methods of securing resources through passwords |
| US7233648B2 (en) * | 2004-09-22 | 2007-06-19 | Sbc Knowledge Ventures, L.P. | Method and apparatus for a telephone user interface control for enabling and disabling a web interface |
| US7907542B2 (en) * | 2004-12-22 | 2011-03-15 | 5th Fleet, L.L.C. | Apparatus, system, and method for generating and authenticating a computer password |
| US20060277287A1 (en) * | 2005-06-07 | 2006-12-07 | Azaleos Corporation | Maintenance and administration user interface |
| CA2623990C (en) * | 2005-10-14 | 2013-09-03 | Research In Motion Limited | Specifying a set of forbidden passwords |
| US8769127B2 (en) * | 2006-02-10 | 2014-07-01 | Northrop Grumman Systems Corporation | Cross-domain solution (CDS) collaborate-access-browse (CAB) and assured file transfer (AFT) |
| US8613097B2 (en) * | 2006-08-31 | 2013-12-17 | Red Hat, Inc. | Methods and systems for detecting an access attack |
| WO2008033416A2 (en) * | 2006-09-11 | 2008-03-20 | Pelco, Inc. | Method of and apparatus for facilitating password access to a device |
| US20080066167A1 (en) * | 2006-09-12 | 2008-03-13 | Andri Michael J | Password based access including error allowance |
| KR100830866B1 (ko) * | 2006-09-25 | 2008-05-21 | 삼성전자주식회사 | 전자기기에서 금지키를 이용한 불법 접근 방지 방법 및장치 |
| WO2009034415A2 (en) * | 2006-12-05 | 2009-03-19 | Alberto Mourao Bastos | Continuous governance, risk and compliance management |
| US8234499B2 (en) | 2007-06-26 | 2012-07-31 | International Business Machines Corporation | Adaptive authentication solution that rewards almost correct passwords and that simulates access for incorrect passwords |
| US8397077B2 (en) * | 2007-12-07 | 2013-03-12 | Pistolstar, Inc. | Client side authentication redirection |
| US8826396B2 (en) * | 2007-12-12 | 2014-09-02 | Wells Fargo Bank, N.A. | Password reset system |
| JP2009169615A (ja) | 2008-01-15 | 2009-07-30 | Hitachi Computer Peripherals Co Ltd | データ漏洩防止方法及び該方法を適用した磁気ディスク装置 |
| CN101521780A (zh) * | 2008-02-29 | 2009-09-02 | 鸿富锦精密工业(深圳)有限公司 | 信息化录像设备及其预约录像方法 |
| US8108932B2 (en) * | 2008-06-12 | 2012-01-31 | International Business Machines Corporation | Calculating a password strength score based upon character proximity and relative position upon an input device |
| US7800252B2 (en) * | 2008-06-27 | 2010-09-21 | Igo, Inc. | Load condition controlled wall plate outlet system |
| EP2157526B1 (en) * | 2008-08-14 | 2014-04-30 | Assa Abloy Ab | RFID reader with embedded attack detection heuristics |
| US8826450B2 (en) * | 2008-09-19 | 2014-09-02 | Yahoo! Inc. | Detecting bulk fraudulent registration of email accounts |
| CN101784017B (zh) * | 2009-01-16 | 2014-01-15 | 鸿富锦精密工业(深圳)有限公司 | 在手机上实现网上聊天的方法及系统 |
| CN101557406B (zh) * | 2009-06-01 | 2012-04-18 | 杭州华三通信技术有限公司 | 一种用户终端的认证方法、装置及系统 |
| CN101604366B (zh) | 2009-07-13 | 2013-03-06 | 中山爱科数字科技股份有限公司 | 一种密码分割式动态验证方法 |
| US8776214B1 (en) * | 2009-08-12 | 2014-07-08 | Amazon Technologies, Inc. | Authentication manager |
| US8620824B2 (en) * | 2010-05-28 | 2013-12-31 | Ca, Inc. | Pin protection for portable payment devices |
| US20120016862A1 (en) * | 2010-07-14 | 2012-01-19 | Rajan Sreeranga P | Methods and Systems for Extensive Crawling of Web Applications |
| US8677464B2 (en) * | 2011-06-22 | 2014-03-18 | Schweitzer Engineering Laboratories Inc. | Systems and methods for managing secure communication sessions with remote devices |
| US8539567B1 (en) * | 2012-09-22 | 2013-09-17 | Nest Labs, Inc. | Multi-tiered authentication methods for facilitating communications amongst smart home devices and cloud-based servers |
-
2010
- 2010-05-11 EP EP10305498A patent/EP2386973A1/en not_active Withdrawn
-
2011
- 2011-05-06 WO PCT/EP2011/057345 patent/WO2011141388A1/en active Application Filing
- 2011-05-06 KR KR1020127029352A patent/KR20130072210A/ko not_active Application Discontinuation
- 2011-05-06 EP EP11718990.2A patent/EP2569725B1/en not_active Not-in-force
- 2011-05-06 US US13/697,135 patent/US9384343B2/en not_active Expired - Fee Related
- 2011-05-06 JP JP2013509523A patent/JP5833640B2/ja not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000029838A (ja) * | 1998-07-10 | 2000-01-28 | Hitachi Ltd | パスワード確認方式 |
| JP2003006163A (ja) * | 2001-06-21 | 2003-01-10 | Dainippon Printing Co Ltd | ログインパスワードの生成登録方法 |
| JP2006004333A (ja) * | 2004-06-21 | 2006-01-05 | Nomura Research Institute Ltd | ユーザ認証システム、ログイン要求判定装置および方法 |
| US20060136737A1 (en) * | 2004-12-16 | 2006-06-22 | International Business Machines Corporation | System and method for password validation |
| JP2006209198A (ja) * | 2005-01-25 | 2006-08-10 | Kyocera Mita Corp | 画像形成装置及び画像セキュリティプログラム |
| JP2006209175A (ja) * | 2005-01-25 | 2006-08-10 | Konica Minolta Photo Imaging Inc | 認証システム、プログラム、および認証システムにおける不正行為防止方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10291630B2 (en) | 2015-02-19 | 2019-05-14 | Fujitsu Limited | Monitoring apparatus and method |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20130072210A (ko) | 2013-07-01 |
| EP2386973A1 (en) | 2011-11-16 |
| US9384343B2 (en) | 2016-07-05 |
| WO2011141388A1 (en) | 2011-11-17 |
| JP5833640B2 (ja) | 2015-12-16 |
| EP2569725A1 (en) | 2013-03-20 |
| EP2569725B1 (en) | 2018-04-04 |
| US20130067554A1 (en) | 2013-03-14 |
| CN102884534A (zh) | 2013-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5833640B2 (ja) | パスワード生成および検証のための方法、デバイス、およびコンピュータプログラム支援 | |
| JP4421892B2 (ja) | ランダム部分的パターン認識に基づく認証システム及びその方法 | |
| US8176332B2 (en) | Computer security using visual authentication | |
| Kontaxis et al. | Sauth: Protecting user accounts from password database leaks | |
| WO2007070014A1 (en) | Antiphishing login techniques | |
| Archana et al. | Survey on usable and secure two-factor authentication | |
| AU2020220152A1 (en) | Interception-proof authentication and encryption system and method | |
| CN106471512B (zh) | 用于发起用户的登录的方法和系统 | |
| JP5602054B2 (ja) | オフライン二要素ユーザ認証システム、その方法、およびそのプログラム | |
| Chowdhury et al. | Salty Secret: Let us secretly salt the secret | |
| Karp | Site-specific passwords | |
| Hanif et al. | A new shoulder surfing and mobile key-logging resistant graphical password scheme for smart-held devices | |
| LIM | Multi-grid background Pass-Go | |
| KR20090013616A (ko) | 서버 인증 코드를 이용한 서버 인증 시스템 및 방법 | |
| Kumar et al. | PassPattern System (PPS): a pattern-based user authentication scheme | |
| AU2004323374B2 (en) | Authentication system and method based upon random partial digitized path recognition | |
| CN102884534B (zh) | 密码生成和验证的方法以及装置 | |
| EP1416666A1 (en) | Method to simplify the management and enhance the security of passwords | |
| Anitha et al. | User Privileged CAPTCHA as Graphical Password for Multistage Authentication | |
| Yadav et al. | Graphical Password Knowledge Based Authentication System Enhancement using Persuasive Technology | |
| Mohammed et al. | A Reliable 3-Factor Authentication for Secured User Logins |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140507 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140507 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150323 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150526 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150602 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150902 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150929 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151029 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5833640 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |