JP4156896B2 - パスワード強度検査方法及びその装置と、パスワード強度検査プログラム及びそのプログラムを記録した記録媒体 - Google Patents

パスワード強度検査方法及びその装置と、パスワード強度検査プログラム及びそのプログラムを記録した記録媒体 Download PDF

Info

Publication number
JP4156896B2
JP4156896B2 JP2002298190A JP2002298190A JP4156896B2 JP 4156896 B2 JP4156896 B2 JP 4156896B2 JP 2002298190 A JP2002298190 A JP 2002298190A JP 2002298190 A JP2002298190 A JP 2002298190A JP 4156896 B2 JP4156896 B2 JP 4156896B2
Authority
JP
Japan
Prior art keywords
password
plaintext
strength
input
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2002298190A
Other languages
English (en)
Other versions
JP2004133720A (ja
Inventor
崇 三島
英信 関
伯治 有元
大司 佐内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Azbil Corp
Original Assignee
Azbil Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Azbil Corp filed Critical Azbil Corp
Priority to JP2002298190A priority Critical patent/JP4156896B2/ja
Priority to US10/677,277 priority patent/US7367053B2/en
Publication of JP2004133720A publication Critical patent/JP2004133720A/ja
Priority to US12/076,017 priority patent/US20080216170A1/en
Application granted granted Critical
Publication of JP4156896B2 publication Critical patent/JP4156896B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、パスワードの強度を検査するパスワード強度検査方法及びその装置と、そのパスワード強度検査方法の実現に用いられるパスワード強度検査プログラム及びそのプログラムを記録した記録媒体とに関する。
【0002】
【従来の技術】
ユーザがコンピュータ上で動作するシステムを利用する場合には、ユーザに対して、予めコンピュータに登録させたパスワードと同一のパスワードを入力させるようにすることで、ユーザがシステムを利用できる本人であるのか否かを確認するようにしている。
【0003】
コンピュータに登録されるパスワードは、盗まれる可能性があることから暗号化されており、これから、システムの利用時にユーザから平文のパスワードが入力されると、それを暗号化して、この登録されている暗号化パスワードと一致するのか否かを判断することで、ユーザがシステムを利用できる本人であるのか否かを確認するようにしている。
【0004】
コンピュータに登録されるパスワードは、通常の場合、セキュリティを確保するために、一方向性を有する暗号化方式(暗号化されたものを平文に戻すことが難しい暗号化方式)を使って暗号化されており、これから、悪意のあるユーザは、コンピュータに登録されている暗号化パスワードを入手すると、「John the Ripper 」などのようなパスワード推測ツールを使って、ブルートフォースと呼ばれる攻撃を実行することで、その暗号化パスワードに対応付けられる平文のパスワードを盗み取るようにしている(例えば、非特許文献1参照)。
【0005】
すなわち、図9に示すように、パスワードとして使用できるすべての文字を組み合わせることで平文のパスワード候補を生成して、それを暗号化(ハッシュ化)したものがコンピュータに登録されている暗号化パスワードと一致するのか否か判断することを繰り返していくブルートフォースと呼ばれる攻撃を実行することで、その暗号化パスワードに対応付けられる平文のパスワードを盗み取るようにしているのである。
【0006】
なお、このブルートフォースは、例えば、ユーザがパスワードを忘れてしまったような場合に、そのパスワードを得るために実行されることもある。
【0007】
【非特許文献1】
三島など:“ブルートフォースに勝つ“強いパスワード”とは”,日経ネットワークセキュリティ,Vol.2,pp.36-47(2002).
【0008】
【発明が解決しようとする課題】
セキュリティを確保するためには、強いパスワードを付けることが必須である。しかしながら、現在、どのようなパスワードを使えば強いと言えるのか明確な指標はない。
【0009】
これから、ユーザは、どのようなパスワードを付ければよいのかよく分からないというのが実情である。「長いパスワードを使う」とか、「英数字記号を混ぜる」などのアドバイスがあるものの、実際に、どのようなパスワードを付ければよいのかよく分からないというのが実情である。
【0010】
悪意のあるユーザにパスワードを盗まれないようにするためには、ブルートフォースの攻撃に対して、短い時間で解答の平文パスワードが得られないようにしていく必要がある。
【0011】
そこで、パスワード推測ツールを使ったブルートフォースの攻撃を受けたときに、パスワードが盗み取られるまでの時間を測定して、それをパスワードの強度として用いるということが考えられる。
【0012】
このようにして定義されるパスワードの強度はセキュリティの高さを示していることから適切であるものの、パスワード推測ツールを使ったブルートフォースの攻撃では、パスワードとして使用できる文字の組み合わせが天文学的な数値となり、更にそれを暗号化する必要があることで、そのパスワードの強度が求まるまでに数カ月も要するということが起こり実際には採用することができない。
【0013】
このように、従来技術では、パスワードの強度を数値的に表現することが提供されておらず、これがために、ユーザは、自分が強いと考えるパスワードを付けるしかなかった。
【0014】
本発明はかかる事情に鑑みてなされたものであって、実用的な時間内で数値的に表現されるパスワードの強度を算出できるようにすることで、パスワードの強度を客観的かつ正確に検査できるようにする新たなパスワード強度検査技術の提供を目的とする。
【0015】
【課題を解決するための手段】
この目的を達成するために、本発明のパスワード強度検査装置は、パスワードの強度を検査することを実現するために、(1)検査対象のパスワードを入力する入力手段と、(2)平文のパスワードを順次生成してそれを暗号化し、その暗号化したパスワードと推測対象の暗号化パスワードとが一致するのか否かを判断することで、推測対象の暗号化パスワードに対応付けられる平文のパスワードを推定する処理を行うパスワード推測ツールと同一の生成手順に従って、平文のパスワード候補を生成する生成手段と、(3)入力手段の入力したパスワードと生成手段の生成した平文のパスワード候補とが一致するのか否かを判断する判断手段と、(4)判断手段が一致を判断しない場合に、生成手段に対して、次の平文のパスワード候補の生成を指示する指示手段と、(5)判断手段が一致を判断する場合に、その一致が判断された生成手段の生成した平文のパスワード候補がパスワード推測ツールで生成される平文のパスワードの何番目に該当するのかを特定して、その特定結果に基づいて、入力手段の入力したパスワードが暗号化されて使用される場合に示す強度を決定する決定手段と、(6)決定手段の決定したパスワード強度の情報を出力する出力手段とを備えるように構成する。
【0016】
以上の各処理手段が動作することにより実現される本発明のパスワード強度検査方法はコンピュータプログラムで実現できるものであり、このコンピュータプログラムは、半導体メモリなどのような適当な記録媒体に記録して提供することができる。
【0017】
このように構成される本発明のパスワード強度検査装置では、検査対象のパスワードを入力すると、パスワード推測ツールで用いられるものと同一の生成手順に従って、平文のパスワード候補を生成して、その入力したパスワードとその生成した平文のパスワード候補とが一致するのか否かを判断する。
【0018】
そして、この一致を判断しない場合には、次の平文のパスワード候補の生成を指示することで、入力したパスワードと生成した平文のパスワード候補とが一致することになるまで、次々と平文のパスワード候補を生成していく。
【0019】
一方、この一致を判断する場合には、生成した平文のパスワード候補の個数(パスワード推測ツールで生成される平文のパスワードの何番目に該当するのかを示す情報)に従って、例えば、パスワード推測ツールが入力したパスワードを攻撃する場合に要する攻撃時間を推定して、それを入力したパスワードの強度として決定したり、パスワード推測ツールが生成する平文のパスワードの最大個数と生成した平文のパスワード候補の個数との比率値に応じて算出される数値情報を算出して、それを入力したパスワードの強度として決定することにより、入力したパスワードが暗号化されて使用される場合に示す強度を決定して、その決定したパスワード強度の情報を出力する。
【0020】
このとき、決定したパスワード強度の情報の出力に加えて、その決定したパスワード強度により特定されることになる、これまでにパスワード強度を決定した検査対象のパスワードの中における順位情報についても出力することがある。
【0021】
この構成を採るときにあって、パスワードとしての性質を持たないパスワードが検査対象となっても意味がないことから、そのようなパスワードの検査を排除すべく、ユーザに見えないような形でパスワードの入力状態をユーザに提示しつつ、ユーザに対して、再度パスワードの入力を要求して、その入力した2つのパスワードが一致することを条件にして、検査対象のパスワードを入力するように処理することがある。
【0022】
また、ユーザ属性と一致するパスワードについては極めて脆弱なパスワードであることを考慮して、パスワードの入力時に、電話番号などのようなユーザの属性情報についても入力するようにして、その入力したユーザの属性情報と入力したパスワードとが一致する場合には、その入力したパスワードの強度検査に入らないように制御するように処理することがある。
【0023】
このように、本発明では、検査対象のパスワードがブルートフォースの攻撃で用いられるパスワード推測ツールで生成される平文のパスワード候補の何個目のパスワードに該当するのかということを測定して、その何個目という数に従ってパスワードの強度を決定して出力するという構成を採ることから、実用的な時間内で数値的に表現されるパスワードの強度を算出できるようになることで、パスワードの強度を客観的かつ正確に検査できるようになる。
【0024】
【発明の実施の形態】
以下、実施の形態に従って本発明を詳細に説明する。
【0025】
図1に、本発明のパスワード強度検査装置1の装置構成の一実施形態例を図示する。
【0026】
この図に示す本発明のパスワード強度検査装置1は、例えば、ユーザに強いパスワードの付けかたを学習させるために使われるものであって、この図に示すように、ユーザとの対話手段となる入出力装置10と、「John the Ripper 」などのようなパスワード推測ツールで用いられて、平文のパスワード候補を生成するパスワード候補生成ルーチン11と、そのパスワード候補生成ルーチン11を使って、検査対象のパスワードの強度を検査するパスワード強度検査プログラム12と、そのパスワード強度検査プログラム12による検査結果を記録する順位テーブル13とを備える。
【0027】
このパスワード候補生成ルーチン11は、後述する処理フローから分かるように、入出力装置10から検査対象のパスワードを入力する機能と、パスワード候補生成ルーチン11に対してパスワード候補の生成を依頼する機能と、入力したパスワードとパスワード候補生成ルーチン11の生成したパスワード候補とが一致するのか否かを判断する機能と、パスワード候補生成ルーチン11の生成したパスワードの個数に従って、入力したパスワードの強度を決定する機能と、決定したパスワード強度を出力する機能とを有する。
【0028】
パスワード候補生成ルーチン11は、「John the Ripper 」などのようなパスワード推測ツールで用いられて、例えば、最初は、辞書に記載された文字列を使って平文のパスワード候補を生成し、続いて、パスワードとして使用できるすべての文字列を使って平文のパスワード候補を生成していくことで、7兆を超える平文のパスワード候補を規定の順番に従って生成するように処理する。
【0029】
順位テーブル13は、パスワード強度検査プログラム12による検査結果を記録するものであって、図2に示すように、例えば、パスワード強度を示す得点(100点が満点となる)の高い順に、これまでに検査したパスワードと、そのパスワードを入力したユーザ名と、そのパスワードの得点とを記録する。
【0030】
図3及び図4に、パスワード強度検査プログラム12の実行する処理フローの一実施形態例を図示する。
【0031】
次に、この処理フローに従って、本発明によるパスワード強度の検査処理について詳細に説明する。
【0032】
パスワード強度検査プログラム12は、本発明のパスワード強度検査装置1の電源が投入されることで起動されると、図3及び図4の処理フローに示すように、先ず最初に、ステップ1で、順位テーブル13をクリアする。
【0033】
続いて、ステップ2で、入出力装置10のディスプレイに、図5に示すようなパスワード検査画面を表示する。
【0034】
この図5に示すように、パスワード検査画面は、「ユーザ名」の入力域と、「パスワード」の入力域と、「パスワード確認」と呼ばれるパスワードの入力域という3つの入力域を有するとともに、順位テーブル13に記録される検査結果の情報(但し、パスワードについては除く)の表示域を有している。
【0035】
なお、図中に示す「Checkボタン」は、入力されたパスワードの検査の実行を指示するために用意され、「Retry」ボタンは、「ユーザ名」に入力されたユーザ名については残したままで、「パスワード」及び「パスワード確認」に入力されたパスワードをクリアすることを指示するために用意され、「Newボタン」は、「ユーザ名」に入力されたユーザ名と「パスワード」及び「パスワード確認」に入力されたパスワードとをクリアすることを指示するために用意される。
【0036】
このパスワード検査画面の表示に応答して、ユーザは、図6に示すように、「ユーザ名」の入力域にユーザ名を入力し、「パスワード」の入力域にパスワードを入力し、「パスワード確認」の入力域に「パスワード」の入力域に入力したパスワードと同一のパスワードを入力してから、「Checkボタン」を操作することで、入力したパスワードの検査要求を発行してくる。
【0037】
ここで、「パスワード」及び「パスワード確認」の入力域に入力されていくパスワードそのものについては表示せずに、“*”のような記号を使って、その入力状態が分かるような表示方法を用いている。
【0038】
これから、ステップ2でパスワード検査画面を表示すると、続くステップ3で、ユーザからパスワードの検査要求が発行されたのか否かを判断する。
【0039】
この判断処理に従って、ユーザからパスワードの検査要求が発行されないことを判断するときには、ステップ4に進んで、ユーザから検査処理の終了要求が発行されたのか否かを判断して、ユーザから検査処理の終了要求が発行されたことを判断するときには、処理を終了し、ユーザから検査処理の終了要求が発行されないことを判断するときには、ステップ3に戻っていくことで、ユーザからパスワードの検査要求が発行されるのを待つ。
【0040】
すなわち、ユーザがパスワードの検査処理を終了するときには、パスワード検査画面の持つ「終了ボタン」を操作してくるので、その「終了ボタン」が操作された場合には、ユーザから処理終了要求が発行されたことを判断して、処理を終了するのである。
【0041】
一方、ステップ3で、ユーザからパスワードの検査要求が発行されたことを判断するときには、ステップ5に進んで、「ユーザ名」の入力域に入力されたユーザ名と、「パスワード」の入力域に入力されたパスワードと、「パスワード確認」の入力域に入力されたパスワードとを抽出する。
【0042】
続いて、ステップ6で、ステップ5で抽出した2つのパスワードが一致するのか否かを判断して、2つのパスワードが一致しないことを判断するときには、ステップ7に進んで、パスワード検査画面にパスワードの再入力を指示してから、ステップ3に戻っていくことで、ユーザからパスワードの検査要求が発行されるのを待つ。
【0043】
すなわち、ユーザが「パスワード」の入力域と「パスワード確認」の入力域とに同一のパスワードを入力できないということは、ユーザが記憶不可能な文字列(パスワードとして使用できない文字列)であることが想定されるので、そのようなパスワードについては検査対象としないために、図7に示すように、パスワード検査画面にパスワードの再入力を指示してから、ステップ3に戻っていくことで、ユーザからパスワードの検査要求が発行されるのを待つのである。
【0044】
一方、ステップ6で、ステップ5で抽出した2つのパスワードが一致することを判断するときには、ステップ8に進んで、ステップ5で抽出したユーザ名とステップ5で抽出したパスワードとが一致するのか否かを判断する。
【0045】
この判断処理により、ステップ5で抽出したユーザ名とステップ5で抽出したパスワードとが一致することを判断するときには、ステップ9に進んで、パスワード検査画面に論外のパスワードであることを出力するとともに、パスワードの再入力を指示してから、ステップ3に戻っていくことで、ユーザからパスワードの検査要求が発行されるのを待つ。
【0046】
すなわち、ユーザ名と一致するパスワードは簡単に盗まれることになるので、そのようなパスワードについては論外のパスワードであることを出力するとともに、パスワードの再入力を指示してから、ステップ3に戻っていくことで、ユーザからパスワードの検査要求が発行されるのを待つのである。
【0047】
一方、ステップ8で、ステップ5で抽出したユーザ名とステップ5で抽出したパスワードとが一致しないことを判断するときには、ステップ10に進んで、パスワード候補生成ルーチン11に対して、パスワード候補の生成を指示する。
【0048】
このパスワード候補の生成指示を受け取ると、パスワード候補生成ルーチン11は、パスワード推測ツールで用いられるときと同様の手順に従って、今回初めてパスワード候補を生成するときには、最初のパスワード候補(平文)を生成し、前回パスワード候補を生成しているときには、前回生成したパスワード候補に続くパスワード候補(平文)を1つ作成する。
【0049】
これから、続いて、ステップ11で、パスワード候補生成ルーチン11から、その生成されたパスワード候補を受け取り、続くステップ12で、入力したパスワード(ステップ5で抽出したパスワード)とその受け取ったパスワード候補とが一致するのか否かを判断する。
【0050】
この判断処理により、入力したパスワードとパスワード候補生成ルーチン11から受け取ったパスワード候補とが一致することを判断するときには、ステップ13に進んで、その一致が得られるまでにパスワード候補生成ルーチン11が生成したパスワード候補の個数と、パスワード候補生成ルーチン11が最大生成可能とするパスワード候補の個数との比率値t(0≦t≦1)
t=(パスワード候補生成個数)/(パスワード候補最大生成可能個数)
を算出する。
【0051】
続いて、ステップ14で、
得点=100×t
の算出式に従って、入力したパスワードの強度を示す得点を算出し、続くステップ15で、
推定解析時間=τ×(生成したパスワード候補の個数)
の算出式に従って、悪意のあるユーザがパスワード推測ツールを使って入力したパスワードをブルートフォース攻撃をしたときに要する解析時間を推定する。
【0052】
ここで、τは、1個のパスワード候補を生成してハッシュ化し、それをブルートフォース攻撃対象の暗号化パスワードと比較して、両者が一致するのか否かを判断するまでの処理を行うのに要する時間を示している。
【0053】
続いて、ステップ16で、入力したパスワードを順位テーブル13に登録することで、順位テーブル13のテーブルデータを更新する。このとき、図2に示す順位テーブル13のテーブルデータから分かるように、算出した得点に従ってソートする形で、入力したパスワードの情報(ユーザ名、得点、パスワード)を順位テーブル13に登録することになる。
【0054】
続いて、ステップ17で、図8に示すように、パスワード検査画面に対して、算出した得点および推定解析時間を出力するとともに、順位テーブル13の情報を出力してから、次のパスワードの検査を行うべくステップ3に戻る。
【0055】
ここで、図8に示すパスワード検査画面では、算出した得点および推定解析時間の他に、得点範囲に対応付けて定義される「弱すぎです」といったようなコメント情報や、これまでに入力したパスワードの中での得点順位を示す「4/6位」といったようなランキング情報や、パスワード候補生成ルーチン11が最大生成可能とするパスワード候補の個数や、入力したパスワードとの一致が得られるまでに生成したパスワード候補の個数についても出力するという例を示している。
【0056】
一方、ステップ12の判断処理により、入力したパスワードとパスワード候補生成ルーチン11から受け取ったパスワード候補とが一致しないことを判断するときには、ステップ18に進んで、これまでに生成したパスワード候補の個数と、パスワード候補生成ルーチン11が最大生成可能とするパスワード候補の個数とが一致したのか否かを判断して、一致しないことを判断するときには、次のパスワード候補を生成すべくステップ10に戻る。
【0057】
一方、ステップ18の判断処理により、これまでに生成したパスワード候補の個数と、パスワード候補生成ルーチン11が最大生成可能とするパスワード候補の個数とが一致したことを判断するときには、これ以上パスワード候補を生成することが不可能であるので、ステップ13に進んで、上述の比率値t(このルートを通る場合にはt=1となる)を算出してから、ステップ14〜ステップ17の処理を実行して、次のパスワードの検査を行うべくステップ3に戻る。
【0058】
このようにして、パスワード強度検査プログラム12は、検査対象のパスワードがブルートフォースの攻撃で用いられるパスワード推測ツールで生成される平文のパスワード候補の何個目のパスワードに該当するのかということを測定して、その何個目という数に従ってパスワードの強度を決定して出力するように処理するのである。
【0059】
この実施形態例では、ユーザの属性情報としてユーザ名を入力させるようにして、入力されたユーザ名と入力されたパスワードとが一致する場合には、そのようなパスワードについては論外のパスワードであることを出力するように処理したが、電話番号や社員番号などのようなユーザ名以外のユーザの属性情報についても入力させるようにして、入力されたユーザ属性情報と入力されたパスワードとが一致する場合には、そのようなパスワードについては論外のパスワードであることを出力するように処理してもよい。
【0060】
また、この実施形態例では、論外のパスワードについては順位テーブル13に登録しないように処理したが、例えば、−100点のような得点を割り当てて順位テーブル13に登録するように処理してもよい。
【0061】
【発明の効果】
以上説明したように、本発明では、検査対象のパスワードがブルートフォースの攻撃で用いられるパスワード推測ツールで生成される平文のパスワード候補の何個目のパスワードに該当するのかということを測定して、その何個目という数に従ってパスワードの強度を決定して出力するという構成を採ることから、実用的な時間内で数値的に表現されるパスワードの強度を算出できるようになることで、パスワードの強度を客観的かつ正確に検査できるようになる。
【0062】
これから、本発明を用いることで、社員などに対して、どのようなパスワードが強いパスワードであるのかを客観的に教育できるようになることで、社内情報などのセキュリティを高めることができるようになる。
【図面の簡単な説明】
【図1】本発明の一実施形態例である。
【図2】順位テーブルの説明図である。
【図3】パスワード強度検査プログラムの実行する処理フローの一実施形態例である。
【図4】パスワード強度検査プログラムの実行する処理フローの一実施形態例である。
【図5】パスワード検査画面の説明図である。
【図6】パスワード検査画面の説明図である。
【図7】パスワード検査画面の説明図である。
【図8】パスワード検査画面の説明図である。
【図9】パスワードに対して行われるブルートフォース攻撃の説明図である。
【符号の説明】
1 パスワード強度検査装置
10 入出力装置
11 パスワード候補生成ルーチン
12 パスワード強度検査プログラム
13 順位テーブル

Claims (9)

  1. ユーザの作成した検査対象のパスワードの強度を検査する、入力手段と生成手段と判断手段と指示手段と決定手段と出力手段とを備えるパスワード強度検査装置が実行するパスワード強度検査方法であって、
    上記入力手段が、検査対象のパスワードを入力し、
    上記生成手段が、平文のパスワードを順次生成してそれを暗号化し、その暗号化したパスワードと推測対象の暗号化パスワードとが一致するのか否かを判断することで、推測対象の暗号化パスワードに対応付けられる平文のパスワードを推定する処理を行うパスワード推測ツールと同一の生成手順に従って、平文のパスワード候補を生成し、
    上記判断手段が、上記入力手段の入力したパスワードと上記生成手段の生成した平文のパスワード候補とが一致するのか否かを判断し、
    上記指示手段が、上記判断手段が一致を判断しない場合に、上記生成手段に対して、次の平文のパスワード候補の生成を指示し、
    上記決定手段が、上記判断手段が一致を判断する場合に、その一致が判断された上記生成手段の生成した平文のパスワード候補が上記パスワード推測ツールで生成される平文のパスワードの何番目に該当するのかを特定して、その特定結果に基づいて、上記入力手段の入力したパスワードが暗号化されて使用される場合に示す強度を決定し、
    上記出力手段が、上記決定手段の決定したパスワード強度の情報を出力することを、
    特徴とするパスワード強度検査方法。
  2. 請求項1記載のパスワード強度検査方法において、
    上記入力手段は、ユーザに見えないような形でパスワードの入力状態をユーザに提示しつつ、ユーザに対して、再度パスワードの入力を要求して、その入力した2つのパスワードが一致することを条件にして、検査対象のパスワードを入力することを、
    特徴とするパスワード強度検査方法。
  3. 請求項1又は2記載のパスワード強度検査方法において、
    上記入力手段は、ユーザの属性情報についても入力して、その入力したユーザの属性情報と上記入力したパスワードとが一致する場合には、その入力したパスワードの強度検査に入らないように制御することを、
    特徴とするパスワード強度検査方法。
  4. 請求項1ないし3のいずれか1項に記載のパスワード強度検査方法において、
    上記決定手段は、上記何番目に該当するのかの特定結果に基づいて、上記パスワード推測ツールが検査対象のパスワードを攻撃する場合に要する攻撃時間を推定して、それをパスワード強度として決定することを、
    特徴とするパスワード強度検査方法。
  5. 請求項1ないし3のいずれか1項に記載のパスワード強度検査方法において、
    上記決定手段は、上記パスワード推測ツールが生成する平文のパスワードの最大個数と上記何番目に該当するのかの特定結果との比率値に応じて算出される数値情報を算出して、それをパスワード強度として決定することを、
    特徴とするパスワード強度検査方法。
  6. 請求項1ないし5のいずれか1項に記載のパスワード強度検査方法において、
    上記出力手段は、更に、上記決定手段の決定したパスワード強度により特定されることになるこれまでにパスワード強度を決定した検査対象のパスワードの中における順位情報についても出力することを、
    特徴とするパスワード強度検査方法。
  7. ユーザの作成した検査対象のパスワードの強度を検査するパスワード強度検査装置であって、
    検査対象のパスワードを入力する入力手段と、
    平文のパスワードを順次生成してそれを暗号化し、その暗号化したパスワードと推測対象の暗号化パスワードとが一致するのか否かを判断することで、推測対象の暗号化パスワードに対応付けられる平文のパスワードを推定する処理を行うパスワード推測ツールと同一の生成手順に従って、平文のパスワード候補を生成する生成手段と、
    上記入力手段の入力したパスワードと上記生成手段の生成した平文のパスワード候補とが一致するのか否かを判断する判断手段と、
    上記判断手段が一致を判断しない場合に、上記生成手段に対して、次の平文のパスワード候補の生成を指示する指示手段と、
    上記判断手段が一致を判断する場合に、その一致が判断された上記生成手段の生成した平文のパスワード候補が上記パスワード推測ツールで生成される平文のパスワードの何番目に該当するのかを特定して、その特定結果に基づいて、上記入力手段の入力したパスワードが暗号化されて使用される場合に示す強度を決定する決定手段と、
    上記決定手段の決定したパスワード強度の情報を出力する出力手段とを備えることを、
    特徴とするパスワード強度検査装置。
  8. ユーザの作成した検査対象のパスワードの強度を検査するパスワード強度検査装置の実現に用いられるパスワード強度検査プログラムであって、
    コンピュータを、
    検査対象のパスワードを入力する入力手段と、
    平文のパスワードを順次生成してそれを暗号化し、その暗号化したパスワードと推測対象の暗号化パスワードとが一致するのか否かを判断することで、推測対象の暗号化パスワードに対応付けられる平文のパスワードを推定する処理を行うパスワード推測ツールと同一の生成手順に従って、平文のパスワード候補を生成する生成手段と、
    上記入力手段の入力したパスワードと上記生成手段の生成した平文のパスワード候補とが一致するのか否かを判断する判断手段と、
    上記判断手段が一致を判断しない場合に、上記生成手段に対して、次の平文のパスワード候補の生成を指示する指示手段と、
    上記判断手段が一致を判断する場合に、その一致が判断された上記生成手段の生成した平文のパスワード候補が上記パスワード推測ツールで生成される平文のパスワードの何番目に該当するのかを特定して、その特定結果に基づいて、上記入力手段の入力したパスワードが暗号化されて使用される場合に示す強度を決定する決定手段と、
    上記決定手段の決定したパスワード強度の情報を出力する出力手段として機能させるためのパスワード強度検査プログラム。
  9. ユーザの作成した検査対象のパスワードの強度を検査するパスワード強度検査装置の実現に用いられるパスワード強度検査プログラムを記録した記録媒体であって、
    コンピュータを、
    検査対象のパスワードを入力する入力手段と、
    平文のパスワードを順次生成してそれを暗号化し、その暗号化したパスワードと推測対象の暗号化パスワードとが一致するのか否かを判断することで、推測対象の暗号化パスワードに対応付けられる平文のパスワードを推定する処理を行うパスワード推測ツールと同一の生成手順に従って、平文のパスワード候補を生成する生成手段と、
    上記入力手段の入力したパスワードと上記生成手段の生成した平文のパスワード候補とが一致するのか否かを判断する判断手段と、
    上記判断手段が一致を判断しない場合に、上記生成手段に対して、次の平文のパスワード候補の生成を指示する指示手段と、
    上記判断手段が一致を判断する場合に、その一致が判断された上記生成手段の生成した平文のパスワード候補が上記パスワード推測ツールで生成される平文のパスワードの何番目に該当するのかを特定して、その特定結果に基づいて、上記入力手段の入力したパスワードが暗号化されて使用される場合に示す強度を決定する決定手段と、
    上記決定手段の決定したパスワード強度の情報を出力する出力手段として機能させるためのパスワード強度検査プログラムを記録した記録媒体。
JP2002298190A 2002-10-11 2002-10-11 パスワード強度検査方法及びその装置と、パスワード強度検査プログラム及びそのプログラムを記録した記録媒体 Expired - Lifetime JP4156896B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2002298190A JP4156896B2 (ja) 2002-10-11 2002-10-11 パスワード強度検査方法及びその装置と、パスワード強度検査プログラム及びそのプログラムを記録した記録媒体
US10/677,277 US7367053B2 (en) 2002-10-11 2003-10-03 Password strength checking method and apparatus and program and recording medium thereof, password creation assisting method and program thereof, and password creating method and program thereof
US12/076,017 US20080216170A1 (en) 2002-10-11 2008-03-12 Password strength checking method and appartatus and program and recording medium thereof, password creation assisting method and program thereof, and password creating method and program thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002298190A JP4156896B2 (ja) 2002-10-11 2002-10-11 パスワード強度検査方法及びその装置と、パスワード強度検査プログラム及びそのプログラムを記録した記録媒体

Publications (2)

Publication Number Publication Date
JP2004133720A JP2004133720A (ja) 2004-04-30
JP4156896B2 true JP4156896B2 (ja) 2008-09-24

Family

ID=32287681

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002298190A Expired - Lifetime JP4156896B2 (ja) 2002-10-11 2002-10-11 パスワード強度検査方法及びその装置と、パスワード強度検査プログラム及びそのプログラムを記録した記録媒体

Country Status (1)

Country Link
JP (1) JP4156896B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008165343A (ja) * 2006-12-27 2008-07-17 Dainippon Printing Co Ltd 電子ペン、記入情報判別システムおよびプログラム
US8621642B2 (en) 2008-11-17 2013-12-31 Digitalpersona, Inc. Method and apparatus for an end user identity protection suite
JP6413628B2 (ja) * 2014-10-27 2018-10-31 株式会社リコー 情報処理システム、情報処理装置、情報処理方法、及びプログラム
WO2017149779A1 (ja) * 2016-03-04 2017-09-08 株式会社オプティム 機器監視システム、機器監視方法及びプログラム
KR101832861B1 (ko) * 2016-09-26 2018-04-13 연세대학교 산학협력단 패스워드 평가 방법 및 장치
CN112105017B (zh) * 2020-08-12 2024-05-31 杭州安恒信息安全技术有限公司 物联网设备的密码探测方法、装置、电子装置和存储介质

Also Published As

Publication number Publication date
JP2004133720A (ja) 2004-04-30

Similar Documents

Publication Publication Date Title
US11308189B2 (en) Remote usage of locally stored biometric authentication data
US10963571B2 (en) Privacy risk assessments
Mazurek et al. Measuring password guessability for an entire university
US20080216170A1 (en) Password strength checking method and appartatus and program and recording medium thereof, password creation assisting method and program thereof, and password creating method and program thereof
CN104392221B (zh) 一种多元身份识别系统及多维多元身份识别方法
CN108009199A (zh) 一种计量校准检定证书的检索方法及系统
JP6047463B2 (ja) セキュリティ上の脅威を評価する評価装置及びその方法
CN110263507A (zh) 应用程序的被动安全
WO2016161704A1 (zh) 医疗检测设备的使用控制方法、系统和医疗检测设备
US8310358B2 (en) Authentication apparatus, authentication method, and authentication program
CN107563176A (zh) 基于u盘的登录认证方法、系统、可读存储介质和计算机
CN108199832A (zh) 一种cloc认证加密算法抵御差分故障攻击的检测方法
JP4156896B2 (ja) パスワード強度検査方法及びその装置と、パスワード強度検査プログラム及びそのプログラムを記録した記録媒体
US20160034120A1 (en) Information processing apparatus and information processing system
Brunty Validation of forensic tools and methods: A primer for the digital forensics examiner
Wei et al. Fingerprint based identity authentication for online examination system
JP3910952B2 (ja) ユーザ認証システム
JP6976194B2 (ja) 脆弱性判定システム、脆弱性判定方法及びコンピュータプログラム
US20230128345A1 (en) Computer-implemented method and system for the automated learning management
JP4160373B2 (ja) パスワード作成方法及びパスワード作成プログラム
JP4202740B2 (ja) パスワード作成支援方法及びパスワード作成支援プログラム
Smith et al. Proposing SQL statement coverage metrics
AL-Mesbahi et al. Web based attendance system with OTP implementation
KR101486056B1 (ko) 모션감지센서를 포함하는 이동통신 단말을 기반으로 하는 시험에서의 시험 정보관리 시스템 및 그 방법
Mahalim et al. Building “Passwle” System Based on Siamese Neural Network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041224

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080324

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080408

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080604

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080708

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080710

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110718

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4156896

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120718

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130718

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130718

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140718

Year of fee payment: 6

EXPY Cancellation because of completion of term