JP6549063B2 - Determination apparatus and determination method - Google Patents
Determination apparatus and determination method Download PDFInfo
- Publication number
- JP6549063B2 JP6549063B2 JP2016094442A JP2016094442A JP6549063B2 JP 6549063 B2 JP6549063 B2 JP 6549063B2 JP 2016094442 A JP2016094442 A JP 2016094442A JP 2016094442 A JP2016094442 A JP 2016094442A JP 6549063 B2 JP6549063 B2 JP 6549063B2
- Authority
- JP
- Japan
- Prior art keywords
- character string
- password
- user
- authentication item
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、ユーザ認証に用いられる認証アイテムの強度を判定する判定装置および判定方法に関する。 The present invention relates to a determination apparatus and determination method for determining the strength of an authentication item used for user authentication.
現在、オンラインサービスでは、ユーザ認証のためにパスワードが用いられることが一般的である。このようなパスワードには、安全性の確保のため、英数文字混在で、所定の文字数以上(例えば、6文字以上)とするように求められることが多い(例えば、非特許文献1参照)。また、ユーザの電話番号、自宅郵便番号といった、ユーザに関連する情報を含むパスワードは、第三者による類推が容易であるため、ユーザに関連する情報をパスワードに含めないように、サービス提供者から強制/勧奨されることが多い。 Currently, in online services, it is common to use a password for user authentication. Such a password is often required to have a predetermined number of characters or more (for example, 6 characters or more) in combination of alphanumeric characters in order to ensure security (see, for example, Non-Patent Document 1). Also, the password including information related to the user, such as the user's phone number and home postal code, can be easily guessed by a third party, so that the service provider should not include the information related to the user in the password. Often forced / recommended.
また、近年では、パスワードの強度をチェックする技術も開発されている(例えば、非特許文献2〜4参照)。
Also, in recent years, techniques for checking the strength of passwords have also been developed (see, for example, non-patent
パスワードの安全性の確保のためには、パスワードを長くしたり、頻繁に変更したりすることが望ましい。しかしながら、極端に長いパスワードを設定したり、高頻度にパスワードを変更したりすることはユーザにとって煩雑であり、また、パスワードの失念のリスクがある。そのため、利便性とユーザに関連する情報をパスワードに含めることのリスクとのトレードオフを考慮しつつ、パスワードの一部に自身に関連する文字列(自身に所縁のある文字列)を含め、かつ、そのパスワードを長期間にわたって変更せずに用いているユーザも多いと推測される。 In order to ensure the security of the password, it is desirable to make the password longer or change it frequently. However, setting an extremely long password or changing the password frequently is cumbersome for the user, and there is a risk of forgetting the password. Therefore, in consideration of the trade-off between convenience and the risk of including the information related to the user in the password, part of the password includes a string related to itself (a string that is related to itself), and It is assumed that many users use the password for a long time without changing it.
実際、パスワードの構成として最も多いものは、「ランダムな英数字の組み合わせ」であり、次いで、「ユーザ自身あるいは家族の名前にちなむもの」、「ユーザ自身あるいは家族の誕生日にちなむもの」であるという報告もある(非特許文献5参照)。 In fact, the most common password composition is "a random alphanumeric combination" followed by "the user's own or family's name" and "the user's own or family's birthday date" There is also a report (see Non-Patent Document 5).
パスワードの忘却への対応方法の1つとして、パスワードリマインダを用いた方法がある。この方法では、ユーザ本人しか知らない秘密情報をパスワードリマインダとしてユーザに登録させる。そして、ユーザがパスワードを失念した場合には、パスワードリマインダをパスワードの代わりに入力させ、本人であると認証されると、パスワードの表示あるいは別のパスワードの再発行などを行う。 One method of dealing with password forgetting is to use password reminders. In this method, the user is made to register secret information that only the user himself / herself knows as a password reminder. When the user forgets the password, a password reminder is input instead of the password, and if it is verified that the user is the user, the password is displayed or another password is reissued.
ユーザの属性の変化により、ユーザに関連する情報は年々増えていく。例えば、ユーザが転職した場合の転職先での社員番号、結婚による新たな姓、転居による新たな自宅郵便番号、携帯電話の契約変更による新たな携帯電話番号、子どもの誕生による、その子どもの誕生日、新規の口座開設による口座番号、クレジットカードの取得によるクレジットカード番号、ユーザが使うPC(パーソナルコンピュータ)のMAC(Media Access Control)アドレスなど種々のものがある。そのため、ユーザの属性の変化により、パスワードやパスワードリマインダといったユーザ認証に用いられる認証アイテムが事後的に、ユーザに関連する情報を含むものとなり、第三者による類推が容易となることがある。また、ユーザの属性の他に、外部状況の変化によっても、認証アイテムが事後的に、第三者による類推が容易となることがある。 Due to the change of the user's attribute, the information related to the user increases year by year. For example, the employee number at the job change destination when the user changes jobs, a new surname by marriage, a new home postal code by relocation, a new mobile phone number by contract change of a mobile phone, the birth of the child by birth of a child There are various things such as day, account number by opening a new account, credit card number by acquiring a credit card, MAC (Media Access Control) address of PC (personal computer) used by the user. Therefore, due to the change of the attribute of the user, an authentication item used for user authentication such as a password or a password reminder may include information related to the user after the fact, which may make it easy for a third party to guess. In addition to the attributes of the user, changes in the external situation may make it easier for a third party to guess the authentication item after the fact.
非特許文献2〜4では、パスワードの強度をチェックする技術が開示されているが、これらの技術では、ユーザの属性や外部状況の変化による認証アイテムの事後的な強度の変化については考慮されていない。
Non-patent
上記のような問題点に鑑みてなされた本発明の目的は、ユーザの属性や外部状況の変化があった場合にも、認証アイテムの強度の維持を図ることができる判定装置および判定方法を提供することにある。 SUMMARY OF THE INVENTION The object of the present invention made in view of the above problems is to provide a determination apparatus and a determination method capable of maintaining the strength of an authentication item even when there is a change in user attributes or external conditions. It is to do.
上記課題を解決するため、本発明に係る判定装置は、ユーザの認証に用いられる認証アイテムの強度を判定する判定装置であって、前記認証アイテムへの使用が好ましくない文字列を記憶する記憶部と、前記記憶部に記憶されている文字列に基づき、前記認証アイテムの強度を判定する制御部と、を備え、前記制御部は、前記ユーザの属性および外部状況の少なくとも一方の変化に伴って新たに生じた前記認証アイテムへの使用が好ましくない文字列を前記記憶部に記憶させる。 In order to solve the above-mentioned subject, a judgment device concerning the present invention is a judgment device which judges intensity of an authentication item used for user's authentication, and it is a storage part which memorizes a character string in which use to the authentication item is undesirable. And a control unit that determines the strength of the authentication item based on the character string stored in the storage unit, the control unit changing at least one of the attribute of the user and the external situation A character string that is not desirable for use for the newly generated authentication item is stored in the storage unit.
また、上記課題を解決するため、本発明に係る判定方法は、ユーザの認証に用いられる認証アイテムの強度を判定する判定装置における判定方法であって、記憶部が、前記認証アイテムへの使用が好ましくない文字列を記憶するステップと、制御部が、前記ユーザの属性および外部状況の少なくとも一方の変化に伴って新たに生じた前記認証アイテムへの使用が好ましくない文字列を前記記憶部に記憶させ、前記記憶部に記憶されている文字列に基づき、前記認証アイテムの強度を判定するステップと、を含む。 Further, in order to solve the above problems, the determination method according to the present invention is a determination method in a determination apparatus that determines the strength of an authentication item used for user authentication, and the storage unit uses the authentication item. Storing an undesirable character string, and the control unit stores, in the storage unit, a character string that is undesirable for use in the authentication item newly generated with a change in at least one of the user's attribute and the external situation. And determining the strength of the authentication item based on the character string stored in the storage unit.
本発明に係る判定装置および判定方法によれば、ユーザの属性や外部状況の変化があった場合にも、認証アイテムの強度の維持を図ることができる。 According to the determination apparatus and the determination method according to the present invention, it is possible to maintain the strength of the authentication item even when there is a change in the user's attribute or the external situation.
以下、本発明を実施するための形態について、図面を参照しながら説明する。なお、本発明は、以下の実施の形態のみに限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々の変更が可能であることはもちろんである。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. The present invention is not limited to the following embodiments, and it goes without saying that various modifications can be made without departing from the spirit of the present invention.
図1は、本発明の一実施形態に係る判定装置としてのコンピュータ10を含むシステムの構成例を示す図である。
FIG. 1 is a view showing an example of the configuration of a system including a
図1に示すシステムは、コンピュータ10と、入力装置20と、出力装置30とを備える。コンピュータ10は、ユーザによる操作入力が行われる入力装置20およびユーザへの通知などを行うための出力装置30と接続され、入力装置20へのユーザによる操作入力に応じて所定の処理を行い、その処理の結果を出力装置30に出力する。コンピュータ10は、例えば、ユーザがあるオンラインサービスを利用するために用いられる。また、コンピュータ10は、パスワードやパスワードリマインダといったユーザの認証に用いられる認証アイテムの強度を判定し、必要に応じて、認証アイテムの変更を勧奨あるいは強制する。入力装置20の具体例としては、キーボード、マウスなどがある。出力装置30の具体例としては、表示装置、音声出力装置などがある。
The system shown in FIG. 1 includes a
次に、コンピュータ10の構成について説明する。なお、入力装置20および出力装置30の構成は当業者によく知られており、また、本発明と直接関係しないため、説明を省略する。
Next, the configuration of the
図1に示すコンピュータ10は、通信IF(インタフェース)11と、不揮発性メモリ12と、CPU(Central Processing Unit)13とを備える。不揮発性メモリ12は記憶部の一例であり、CPU13は制御部の一例である。
A
通信IF11は、入力装置20および出力装置30と通信を行い、例えば、ユーザによる操作入力に応じて入力装置20が出力した信号をCPU13に出力する。また、通信IF11は、ユーザの操作入力に応じたCPU13の処理結果を出力装置30に出力する。
The communication IF 11 communicates with the
不揮発性メモリ12は、種々の情報を記憶する記憶装置である。例えば、不揮発性メモリ12は、後述するCPU13を動作させるためのプログラムを記憶する。また、不揮発性メモリ12は、コンピュータ10やオンラインサービスの使用におけるユーザ認証に使用されるパスワード、パスワードリマインダといった認証アイテムを記憶する。また、不揮発性メモリ12は、認証アイテムへの使用が好ましくない文字列が格納されたNG文字列リストを記憶する。また、不揮発性メモリ12は、電子メールやアドレス帳などの情報を記憶してもよい。
The
CPU13は、不揮発性メモリ12に記憶されているプログラムを読み込んで動作し、コンピュータ10全体の動作を制御する。例えば、CPU13は、ユーザによる入力装置20への操作入力などに応じて、認証アイテムへの使用が好ましくない文字列と、照合容易性(第三者による類推、照合のされやすさ)に基づく危険度(文字列を認証アイテムに含めることの危険度)とを対応つけて、NG文字列リストに格納する。また、CPU13は、NG文字列リストに基づき、不揮発性メモリ12に記憶されている認証アイテムの強度を判定し、必要に応じて、認証アイテムの変更を勧奨/強制する。
The
次に、CPU13によるNG文字列リストへの文字列の格納について説明する。
Next, storage of a character string in the NG character string list by the
CPU13は、例えば、図2に示すように、ユーザにより入力装置20に誕生日、電話番号などのユーザに関連する情報が入力されると、入力された誕生日、電話番号などに相当する文字列をNG文字列としてNG文字列リストに格納する。また、CPU13は、不揮発性メモリ12に電子メールやアドレス帳が記憶されている場合、これらを検索して、メールアドレス、電話番号といった、ユーザに関連する文字列を抽出し、NG文字列としてNG文字列リストに格納する。また、CPU13は、例えば、コンピュータ10をネットワークに接続するためのネットワークインターフェースカード(NIC)に格納されたコンピュータ10のMACアドレスを、NG文字列としてNG文字列リストに格納する。このように、CPU13は、コンピュータ10の種々の媒体に格納されているユーザに関連する文字列をNG文字列としてNG文字列リストに格納する。
For example, as shown in FIG. 2, when information related to the user such as a birthday and a telephone number is input to the
次に、NG文字列リストの構成について、図3Aを参照して説明する。 Next, the configuration of the NG character string list will be described with reference to FIG. 3A.
図3Aに示すように、NG文字列リストは、項番、NG文字列、危険度スコア、重み付け係数、補正後の危険度スコア(危険度)および備考からなる。 As shown in FIG. 3A, the NG character string list includes an item number, an NG character string, a risk score, a weighting coefficient, a risk score after correction (risk), and remarks.
項番は、NG文字列を識別するための番号である。 The item number is a number for identifying an NG character string.
NG文字列は、認証アイテムへの使用が好ましくない文字列であり、例えば、ユーザの姓、名、生年月日といったユーザに関連する情報(ユーザに所縁のある情報)に相当する文字列である。 The NG character string is a character string that is not preferable for use in the authentication item, and is a character string corresponding to information related to the user (information related to the user) such as the user's surname, first name, date of birth, for example. .
危険度スコアは、NG文字列に属性(姓、名、生年月日など)を付与した場合(NG文字列を単なる文字列としてではなく、ある属性に対応する意味を持つ文字列として捉えた場合)に、そのNG文字列を認証アイテムに用いた場合の危険度を数値化したものである。例えば、図3Aに示す例では、項番「001」のNG文字列「Yamamoto」に「姓」という属性を付与した場合(NG文字列「Yamamoto」を「姓」として捉えた場合)に、NG文字列「Yamamoto」を認証アイテムに用いた場合の危険度スコアを「50」と評価している。 The risk score indicates that an attribute (surname, first name, date of birth, etc.) is given to the NG character string (when the NG character string is regarded as a character string having a meaning corresponding to a certain attribute, not as a simple character string) The numerical value of the risk when using the NG character string for the authentication item is quantified. For example, in the example shown in FIG. 3A, when an attribute of “surname” is added to the NG character string “Yamamoto” of item number “001” (when the NG character string “Yamamoto” is regarded as “surname”), NG When the character string "Yamamoto" is used as an authentication item, the risk score is evaluated as "50".
重み付け係数は、NG文字列の第三者による類推、照合のされやすさ(照合容易性)に応じた重み付けにより危険度スコアを補正するための係数である。重み付け係数は、例えば、NG文字列の長さ(文字数)によって決定される。また、重み付け係数は、例えば、NG文字列が姓を示す場合には、よく使われる姓のランキングなどに応じて決定される。重み付け係数の算出例については後述する。 The weighting factor is a factor for correcting the risk score by weighting according to the third party analogy of the NG character string and the ease of matching (ease of matching). The weighting factor is determined, for example, by the length (number of characters) of the NG string. Also, the weighting factor is determined, for example, in accordance with the ranking of commonly used surnames when the NG character string indicates a surname. An example of calculation of the weighting factor will be described later.
補正後の危険度スコアは、重み付け係数を用いて危険度スコアを補正した値であり、NG文字列の照合容易性に基づく危険度を示すものである。補正後の危険度スコアは、危険度スコアに重み付け係数を乗じて算出される。したがって、例えば、項番「001」のNG文字列「Yamamoto」の補正後の危険度スコアは「75(=50×1.5)」となる。 The risk score after correction is a value obtained by correcting the risk score using a weighting factor, and indicates the risk based on the easiness of matching of the NG character string. The corrected risk score is calculated by multiplying the risk score by a weighting factor. Therefore, for example, the risk score after correction of the NG character string “Yamamoto” of the item number “001” is “75 (= 50 × 1.5)”.
備考は、NG文字列に付与された属性などを示す。 The remark indicates an attribute or the like given to the NG character string.
なお、NG文字列の一部を変更したような、NG文字列から派生した文字列(派生文字列)を認証アイテムに用いた場合にも、元の文字列を基に類推される可能性が高い。したがって、NG文字列リストには、派生文字列もNG文字列として格納してもよい。図3Bは、派生文字列もNG文字列として格納したNG文字列リストの例を示す図である。 It should be noted that even if a string derived from an NG string (a derived string), such as changing a part of the NG string, is used as an authentication item, it may be analogized based on the original string. high. Therefore, the derived character string may be stored as the NG character string in the NG character string list. FIG. 3B is a diagram showing an example of the NG character string list in which the derived character string is also stored as the NG character string.
図3Bに示すように、項番「001」のNG文字列「Yamamoto」に派生して、項番「001a」のNG文字列「YAMAMOTO」と、項番「001b」のNG文字列「yamamoto」とが格納されている。 As shown in FIG. 3B, an NG character string "Yamamoto" of item number "001a" and an NG character string "yamamoto" of item number "001b" are derived from an NG character string "Yamamoto" of item number "001". And are stored.
NG文字列「YAMAMOTO」は、元のNG文字列「Yamamoto」を全て大文字表記したものである。また、NG文字列「yamamoto」は、元のNG文字列「Yamamoto」を全て小文字表記したものである。 The NG character string "YAMAMOTO" is obtained by capitalizing the original NG character string "Yamamoto". Also, the NG character string "yamamoto" is the original NG character string "Yamamoto" written in lower case.
図3Bに示す例では、NG文字列「YAMAMOTO」,「yamamoto」それぞれに、「姓」という属性を付与し、危険度スコアを、元のNG文字列「Yamamoto」と同じく、「50」と評価している。また、NG文字列「YAMAMOTO」,「yamamoto」はそれぞれ、大文字あるいは小文字のみで構成されている。そのため、ユーザからすれば、文字列の入力に際して、大文字入力と小文字入力とを切り替えるためのCaps操作を行う必要が無いため、利便性が増す。一方で、NG文字列「YAMAMOTO」,「yamamoto」はそれぞれ、大文字あるいは小文字のみで構成されているため、認証アイテムを類推しようとする第三者からは大文字/小文字を混在させる必要が無く、類推が容易となる。そのため、図3Bに示すように、NG文字列「YAMAMOTO」,「yamamoto」の重み付け係数は「1.6」とし、NG文字列「Yamamoto」の重み付け係数「1.5」よりも大きくなっている。したがって、NG文字列「YAMAMOTO」,「yamamoto」の補正後の危険度スコアは「80」となり、NG文字列「Yamamoto」の補正後の危険度スコア「75」よりも大きくなる。 In the example shown in FIG. 3B, the NG character strings "YAMAMOTO" and "yamamoto" are each assigned the attribute "surname", and the risk score is evaluated as "50" like the original NG character string "Yamamoto". doing. Also, the NG character strings "YAMAMOTO" and "yamamoto" are respectively composed of only upper case letters or lower case letters. Therefore, from the user's point of view, there is no need to perform a Caps operation to switch between upper-case and lower-case input when inputting a character string, which increases convenience. On the other hand, since the NG character strings "YAMAMOTO" and "yamamoto" are respectively composed of only upper case letters and lower case letters, there is no need to mix upper and lower case letters from a third party who tries to infer an authentication item. Becomes easy. Therefore, as shown in FIG. 3B, the weighting factor of the NG character strings "YAMAMOTO" and "yamamoto" is "1.6", which is larger than the weighting factor "1.5" of the NG character string "Yamamoto". . Therefore, the danger score after correction of the NG character strings "YAMAMOTO" and "yamamoto" is "80", which is larger than the danger score "75" after correction of the NG character string "Yamamoto".
また、図3Bに示す例では、項番「003」のNG文字列「19631120」に派生して、項番「003a」のNG文字列「1120」と、項番「003b」のNG文字列「1963NOV1120」と、項番「003c」のNG文字列「S381120」と、項番「003d」のNG文字列「20111963」とが格納されている。
Further, in the example shown in FIG. 3B, the NG character string "19631120" of the item number "003" is derived, and the NG character string "1120" of the item number "003a" and the NG character string "of the item number" 003b " 1963
NG文字列「1120」は、元のNG文字列「19631120」のうち、西暦にあたる文字列「1963」を削除したもの、すなわち、「生年月日」を「月日」のみに短縮したものである。NG文字列「1963NOV1120」は、元のNG文字列「19631120」のうち、「月(11月)」の英語略称(NOV)を追加したものである。NG文字列「S381120」は、元のNG文字列「19631120」のうち、「年(1963年)」を和暦表記(S38(昭和38年))したものである。NG文字列「20111963」は、元のNG文字列「19631120」を、欧州表記したものである。
The NG character string "1120" is the original NG character string "19631120" from which the character string "1963" corresponding to the Christian era is deleted, that is, "birth date" is shortened to "month and day" only. . The NG character string "1963
図3Bに示す例では、例えば、NG文字列「19631120」から派生した、NG文字列「1120」,「1963NOV1120」,「S381120」,「20111963」それぞれの危険度スコアを、元のNG文字列「19631120」と同じ、「100」と評価している。
In the example shown in FIG. 3B, for example, the NG character strings “1120”, “1963
一方、例えば、NG文字列「1120」は、NG文字列「19631120」を短縮したものであり、より類推しやすくなっている。そのため、NG文字列「1120」の重み付け係数は「1.8」となり、元のNG文字列「19631120」の重み付け係数「1.5」よりも大きくなっている。 On the other hand, for example, the NG character string “1120” is a shortened version of the NG character string “19631120” and is easier to guess. Therefore, the weighting coefficient of the NG character string “1120” is “1.8”, which is larger than the weighting coefficient “1.5” of the original NG character string “19631120”.
このようにNG文字列リストでは、NG文字列毎に、属性を付与した場合の危険度スコアと、そのNG文字列の類推のされやすさに応じた重み付け係数とが設定され、危険度スコアが重み付け係数により補正された補正後の危険度スコア(照合容易性に基づく危険度)が算出される。 As described above, in the NG character string list, for each NG character string, a danger score when an attribute is given and a weighting coefficient according to the likelihood of analogy of the NG character string are set, and the danger score is A corrected risk score (a risk based on the ease of matching) corrected by the weighting factor is calculated.
図4は、重み付け係数の算出方法の一例を説明するための図である。図4においては、よく使われる姓のランキングおよび文字数に応じて重み付け係数を算出する例について説明する。なお、重み付け係数の算出は、例えば、CPU13が行う。 FIG. 4 is a diagram for explaining an example of a method of calculating weighting coefficients. In FIG. 4, an example of calculating a weighting factor in accordance with the ranking and the number of characters of frequently used surnames will be described. In addition, CPU13 performs calculation of a weighting coefficient, for example.
図4に示す例では、ランキング上位の姓(漢字表記)から順に配列されている。また、各姓(漢字表記)のローマ字表記が付されている。このようなランキングは、例えば、インターネットから取得することができる。 In the example shown in FIG. 4, the surnames (ranked in kanji) at the top of the rankings are arranged in order. In addition, Roman letters are written for each surname (kanji notation). Such a ranking can be obtained, for example, from the Internet.
そして、各姓に対応して、ランキングに基づいた重み付け係数αが設定される。重み付け係数αは、ランキングが上位の姓ほど大きくなるように設定される。これは、ランキングが上位の姓ほど、パスワードリスト攻撃に遭う可能性が高いと考えられるためである。 Then, a weighting factor α based on the ranking is set corresponding to each surname. The weighting factor α is set so that the ranking is higher for the surnames of higher ranks. This is because surnames ranked higher are considered to be more likely to encounter a password list attack.
また、各姓に対応して、ローマ字表記の文字数に基づいた重み付け係数βが設定される。重み付け係数βは、ローマ字表記の文字数が少ない姓ほど、大きくなるように設定される。例えば、重み付け係数βは、最小値を1とし、文字数が8文字の場合には「1.2」となり、4文字の場合には「1.8」となり、3文字の場合は「2.0」となる。 In addition, a weighting factor β is set based on the number of characters in roman script corresponding to each surname. The weighting factor β is set to be larger as the surname having a smaller number of roman characters. For example, the weighting coefficient β has a minimum value of 1, and is “1.2” when the number of characters is eight, “1.8” when the number is four, and “2.0” when the number is three. It becomes ".
さらに、姓の出現頻度にローマ字表記の文字数を加味した重み付け係数を算出するために、各姓に対応して、重み付け係数αと重み付け係数βとの積(α×β)が算出される。この積の値が、各姓を示すNG文字列の重み付け係数として付与される。なお、パスワードの入力に漢字が用いられることは稀であり、パスワードには、姓をローマ字表記した文字列が含まれることが多いと想定される。そのため、図4に示すように、姓をローマ字表記した文字数に応じた重み付け係数βを加味することで、より精度の高い危険度スコアを算出することができる。 Furthermore, in order to calculate a weighting factor in which the number of characters written in Roman characters is added to the appearance frequency of the family name, the product (α × β) of the weighting factor α and the weighting factor β is calculated corresponding to each family name. The product value is given as a weighting factor of the NG string indicating each surname. It should be noted that kanji characters are rarely used to input a password, and it is assumed that a password often contains a character string in which a surname is written. Therefore, as shown in FIG. 4, a risk score with higher accuracy can be calculated by adding the weighting coefficient β according to the number of characters in which the surname is written in Roman characters.
上述したように、CPU13は、ユーザの属性や外部状況の変化に応じて、NG文字列リストを更新する。以下では、外部状況の変化に応じたNG文字列リストの更新について、図5を参照して説明する。なお、以下では、図3Bに示すNG文字列リストを更新する場合を例として説明する。
As described above, the
Webサイト上などで、パスワードなどへの使用が危険な文字列が公開されている。このような文字列は、時間の経過とともに変わっていくことが考えられる。このような外部状況の変化に応じて、CPU13は、NG文字列リストを更新する。
On websites, etc., strings that are dangerous to use for passwords etc. are disclosed. Such character strings are considered to change over time. The
パスワードなどへの使用が危険な文字列が公開されたWebサイトがユーザにより検索され、そのWebサイト上で公開された文字列がユーザにより入力装置20を用いて入力される。CPU13は、入力された文字列をNG文字列リストに格納する。図5においては、項番「0004」のNG文字列「password」と、項番「0005」のNG文字列「abcdefg」と、項番「0006」のNG文字列「qwerty」とが追加されている。
The user searches for a web site where a character string that is dangerous to use for a password or the like is published, and the character string published on the web site is input by the user using the
CPU13は、追加したNG文字列に対して、危険度スコアを設定する。追加された各文字列は、危険な文字列としてWebサイト上に公開されているものであるため、追加したNG文字列に対して、ユーザの姓などと比べてより高い危険度スコア(危険度スコア「100」)が設定される。
The
さらに、CPU13は、追加したNG文字列に対して、重み付け係数を設定する。ここでは、CPU13は、NG文字列の文字数に基づいた重み付け係数を設定する。具体的にはCPU13は、文字数が少ないNG文字列ほど、高い重み付け係数を設定する。そして、CPU13は、危険度スコアに重み付け係数を乗算することで、NG文字列の補正後の危険度スコアを算出する。
Furthermore, the
上述した例では、ユーザがWebサイト上の危険な文字列を抽出し、入力装置20に入力する例を用いて説明したが、これに限られるものではない。例えば、検索エンジンを用いて、Webサイト上に公開された危険な文字列を抽出してもよい。
In the above-mentioned example, although a user extracted and explained the example which extracts the dangerous character string on a website and inputs into
次に、ユーザの属性の変化に応じたNG文字列リストの更新について、図6を参照して説明する。なお、図6においては、転職をユーザの属性の変化の例として説明する。また、ユーザの転職前には、図3Bに示すNG文字列リストが記憶されており、このNG文字列リストを更新する場合を例として説明する。 Next, the update of the NG character string list according to the change of the attribute of the user will be described with reference to FIG. Note that, in FIG. 6, job change is described as an example of the change of the attribute of the user. Further, before the user changes jobs, the NG character string list shown in FIG. 3B is stored, and the case of updating the NG character string list will be described as an example.
ユーザが「SSN株式会社」に転職したとする。この場合、例えば、転職先の会社名がユーザにより入力装置20に入力され、CPU13は、転職先の会社名を構成する「SSN」という文字列をNG文字列としてNG文字列リストに追加する。すなわち、図6に示すように、CPU13は、NG文字列リストに、項番「004」のNG文字列「SSN」を追加する。
It is assumed that the user changes jobs to “SSN Co., Ltd.”. In this case, for example, the company name of the transferee is input to the
さらに、CPU13は、NG文字列「SSN」の大文字/小文字を組み合わせた派生文字列(SSn,SsN,Ssn,sSN,sSn,ssN,ssn)を項番004a〜004gのNG文字列として、NG文字列リストに格納する。こうすることで、ユーザの属性の変化(ユーザの転職)により新たにユーザに関連する情報(文字列)となった文字列「SSN」とその派生文字列とをNG文字列リストに追加することができる。
Furthermore, the
図6においては、転職をユーザの属性の変化の例とし、転職先の会社名をNG文字列としてNG文字列リストに追加する例を説明したが、これに限られるものではない。ユーザのライフイベントによって付与される属性であれば任意のものを用いることができる。例えば、ユーザが属する会社の会社法人等番号、法人番号(マイナンバー)、銀行口座番号、結婚後の姓、転居後の電話番号などをNG文字列リストに追加してもよい。 Although FIG. 6 illustrates an example in which job change is an example of the change in the attribute of the user and the company name of the job change destination is added to the NG character string list as an NG character string, the present invention is not limited thereto. Any attribute may be used as long as the attribute is given by the user's life event. For example, the company corporation number, company number (my number), bank account number, last name after marriage, telephone number after relocation, etc. of the company to which the user belongs may be added to the NG string list.
次に、本実施形態に係るコンピュータ10による認証アイテム(パスワード)の強度の判定動作について、図7に示すフローチャートを参照して説明する。なお、図7においては、コンピュータ10は、銀行ATM(Automatic Teller Machine)であり、強度を判定するパスワードが4桁の数字からなる暗証番号である例を用いて説明する。
Next, the determination operation of the strength of the authentication item (password) by the
CPU13は、不揮発性メモリ12に記憶されている判定対象のパスワード(4桁の数字からなる暗証番号)を読み出す。なお、この暗証番号は、パスワードの脆弱性をチェックする公知の技術を用いて、脆弱性がチェック済みの暗証番号である。
The
CPU13は、NG文字列リストに格納されているNG文字列の番号を示す値(N)を1に設定する(N=001)(ステップS11)。
The
次に、CPU13は、判定対象の暗証番号と、NG文字列リストのN番目のNG文字列との類似度Rを算出する(ステップS12)。CPU13は、判定対象の暗証番号に、N番目のNG文字列と完全一致する文字列が含まれる場合には、類似度R=100とし、それ以外の場合は、類似度R=0とする。類似度の算出方法の詳細については後述する。
Next, the
次に、CPU13は、Nが最大値であるか否か(NがNG文字列リストの最後の項番に対応する番号であるか否か)を判定する(ステップS13)。
Next, the
Nが最大値でないと判定した場合には(ステップS13:No)、CPU13は、Nを1だけ増加させ(ステップS14)、ステップS12の処理に戻る。
If it is determined that N is not the maximum value (step S13: No), the
Nが最大値であると判定した場合には(ステップS13:Yes)、CPU13は、判定対象の暗証番号との類似度が閾値Rth以上であるNG文字列が存在するか否かを判定する(ステップS15)。なお、閾値Rthは予め、CPU13に与えられている。
When it is determined that N is the maximum value (step S13: Yes), the
判定対象の暗証番号との類似度が閾値Rth以上であるNG文字列が存在しないと判定した場合には(ステップS15:No)、CPU13は、判定対象の暗証番号が強度は十分であると判定(判定対象の暗証番号の使用を許可すると判定)し、処理を終了する。
When it is determined that there is no NG character string whose similarity to the determination target password is equal to or greater than the threshold Rth (step S15: No), the
判定対象の暗証番号との類似度が閾値Rth以上であるNG文字列が存在すると判定した場合には(ステップS15:Yes)、CPU13は、判定対象の暗証番号はNG文字列と完全一致する文字列を含むものであり、第三者による類推が容易である可能性があるため、判定対象の暗証番号の強度を上げる必要があると判定する。この場合、CPU13は、暗証番号を強制的に変更させる画面を出力装置30(表示装置)に表示させ(ステップS16)、処理を終了する。
When it is determined that there is an NG character string whose similarity to the determination target password is equal to or greater than the threshold Rth (step S15: Yes), the
図7を参照して説明したコンピュータ10の動作について、具体例を挙げてより詳細に説明する。
The operation of the
以下では、判定対象の暗証番号が「0310」であるとする。また、銀行口座の開設時に(例えば、2007年)、ユーザに関連する情報に基づき、図8Aに示すNG文字列リストが作成され、不揮発性メモリ12に記憶されたとする。
In the following, it is assumed that the personal identification number to be determined is “0310”. Further, it is assumed that the NG character string list shown in FIG. 8A is created based on the information related to the user when the bank account is opened (for example, 2007) and stored in the
図8Aに示すように、銀行口座の開設時には、ユーザの生年月日(月日)、ユーザの自宅郵便番号(下4桁)、ユーザが所有する車のナンバー、ユーザの子ども(第1子)の生年月日(月日)などのユーザに関連する情報に相当するNG文字列が格納されている。また、危険度スコア、重み付け係数、補正後の重み付け係数も、適宜、設定、算出されている。 As shown in FIG. 8A, when the bank account is opened, the user's date of birth (monthly day), the user's home postal code (last four digits), the number of the car owned by the user, the user's child (first child) The NG character string corresponding to the information related to the user such as the date of birth (month and day) of is stored. In addition, the risk score, the weighting factor, and the weighting factor after correction are also set and calculated as appropriate.
その後、2009年に、格納済みのNG文字列の派生文字列が追加され、図8Bに示すように、NG文字列リストに更新されたとする。すなわち、ユーザの生年月日に派生して、ユーザの生年月日(月日)を欧州表記した文字列や、ユーザの生年のみを示す文字列がNG文字列として追加されたとする。また、第1子の生年月日に派生して、第1子の生年月日(月日)を欧州表記した文字列や、第1子の生年のみを示す文字列がNG文字列として追加されたとする。 Thereafter, it is assumed that the derived string of the stored NG string is added in 2009, and the list is updated to the NG string list as shown in FIG. 8B. That is, it is assumed that a character string in which the user's birth date (month and day) is written in Europe or a character string indicating only the user's birth date is added as an NG character string derived from the user's date of birth. In addition, derived from the date of birth of the first child, a string in which the date of birth (month and day) of the first child is written in Europe, and a string indicating only the age of the first child are added as NG strings. I suppose.
その後、2015年3月10日にユーザに2人目の子ども(第2子)が生まれ、第2子の誕生というユーザの属性の変化に応じて、第2子の生年月日などの情報が、ユーザにより入力装置20に入力されたとする。CPU13は、その入力に応じて、NG文字列リストを図8Cに示すように更新したとする。すなわち、第2子の生年月日(月日)がNG文字列として追加されたとする。さらに、第2子の生年月日(月日)の派生文字列として、第2子の生年月日(月日)を欧州表記した文字列や、第2子の生年のみを示す文字列がNG文字列として追加されたとする。
After that, a second child (second child) is born to the user on March 10, 2015, and information such as the date of birth of the second child is generated according to the change of the user attribute of the birth of the second child, It is assumed that the user inputs to the
2007年の銀行口座の開設時のNG文字列リスト(図8A)には、判定対象の暗証番号「0310」と完全一致するNG文字列は存在しない。そのため、暗証番号の変更は不要と判定される。 In the NG character string list (FIG. 8A) at the time of opening the bank account in 2007, there is no NG character string that completely matches the password "0310" to be judged. Therefore, it is determined that the change of the password is unnecessary.
また、2009年の派生文字列の追加後のNG文字列リスト(図8B)にも、判定対象の暗証番号「0310」と完全一致するNG文字列は存在しない。そのため、暗証番号の変更は不要と判定される。 Also, in the NG character string list (FIG. 8B) after the addition of the 2009 derived character string, there is no NG character string that completely matches the password "0310" to be judged. Therefore, it is determined that the change of the password is unnecessary.
一方、第2子の誕生に応じた更新後のNG文字列リスト(図8C)では、判定対象の暗証番号「0310」と、第2子の生年月日(月日)に相当するNG文字列とが完全一致している。したがって、判定対象の暗証番号とこのNG文字列との類似度は100となる。そのため、CPU13は、暗証番号の強度を上げる必要があると判定し、暗証番号の変更をユーザに強制する。
On the other hand, in the NG character string list after updating according to the birth of the second child (FIG. 8C), the NG character string corresponding to the password "0310" to be judged and the birth date (month and day) of the second child And are completely identical. Therefore, the similarity between the password to be judged and this NG character string is 100. Therefore, the
このように、ユーザの属性や外部状況の変化に応じてNG文字列リストを更新することで、ユーザに関連する情報といった、パスワードへの使用が危険な文字列をパスワードが事後的に含むものとなった場合に、パスワードの変更をユーザに促すことができる。そのため、ユーザの属性や外部状況の変化があった場合にも、パスワードの強度の維持を図ることができる。なお、第2子の誕生を契機にNG文字列リストを更新する例を用いて説明したが、これに限られるものではない。例えば、ユーザの転居、車の購入など様々なライフイベントを契機として、NG文字列リストを更新することができる。 In this way, by updating the NG character string list according to changes in the user's attributes and external conditions, it is possible that the password contains a character string that is dangerous to use for the password, such as information related to the user. If it does, the user can be prompted to change the password. Therefore, the strength of the password can be maintained even when there is a change in the user's attribute or the external situation. In addition, although it demonstrated using the example which updates NG character string list triggered by the birth of 2nd child, it is not restricted to this. For example, the NG string list can be updated in response to various life events such as the user's relocation and the purchase of a car.
図7においては、判定対象の暗証番号がNG文字列リストのNG文字列と完全一致する場合には、一律に暗証番号の変更を求めていたが、これに限られるものではない。例えば、判定対象のパスワードがNG文字列と完全一致する場合であっても、パスワードの文字数が多く、第三者による類推が困難な場合もある。この場合、判定対象のパスワードを使用しても危険性は比較的低いと考えられるので、コンピュータ10は、判定対象のパスワードの使用を許可してもよい。以下では、コンピュータ10がこのような動作を行う場合について、図9に示すフローチャートを参照して説明する。なお、図9において、図7と同様の処理については同じ符号を付し、説明を省略する。
In FIG. 7, when the personal identification number to be determined completely matches the NG character string in the NG character string list, the change of the personal identification number is uniformly requested, but the present invention is not limited to this. For example, even if the password to be judged completely matches the NG character string, the password may have many characters, making it difficult for a third party to guess. In this case, since the risk is considered to be relatively low even if the password to be determined is used, the
判定対象の暗証番号との類似度Rが閾値Rth以上のNG文字列が存在すると判定した場合には(ステップS15:Yes)、CPU13は、類似度Rが閾値Rth(第1の閾値)以上のNG文字列のなかに、危険度スコア(補正後の危険度スコア)が閾値Kth(第2の閾値)以上のNG文字列が存在するか否かを判定する(ステップS21)。なお、閾値Kthは予め、CPU13に与えられている。
If it is determined that there is an NG character string whose similarity R with the password to be determined is equal to or greater than the threshold Rth (step S15: Yes), the
危険度スコアが閾値Kth以上のNG文字列が存在すると判定した場合には(ステップS21:Yes)、CPU13は、判定対象の暗証番号の強度を上げる必要があると判定する。この場合、CPU13は、暗証番号を強制的に変更させる画面を出力装置30に表示させ(ステップS22)、処理を終了する。
If it is determined that there is an NG character string having a degree of danger score equal to or greater than the threshold Kth (step S21: Yes), the
危険度スコアが閾値Kth以上のNG文字列が存在しないと判定した場合には(ステップS21:No)、CPU13は、判定対象の暗証番号の使用を許可するものの、当該暗証番号は危険性がやや高いと判定し、暗証番号の変更を勧奨する画面を出力装置30に表示させ(ステップS23)、処理を終了する。
If it is determined that there is no NG character string whose risk score is equal to or higher than the threshold Kth (step S21: No), the
次に、類似度の算出方法について、図10に示すフローチャートを参照して説明する。図10では、判定対象の認証アイテム(パスワード)が「a0sSn+e!4J」であり、一例として、図6に示すNG文字列リストの項番「004e」のNG文字列「sSn」との類似度を算出する例を用いて説明する。 Next, the method of calculating the degree of similarity will be described with reference to the flowchart shown in FIG. In FIG. 10, the authentication item (password) to be determined is “a0sSn + e! 4J”, and as an example, the similarity to the NG character string “sSn” of the item number “004e” of the NG character string list shown in FIG. Description will be made using an example of calculation.
CPU13は、判定対象のパスワード「a0sSn+e!4J」とNG文字列「sSn」とを比較する(ステップS31)。具体的には、CPU13は、判定対象のパスワードの先頭から3文字分の文字列「a0s」を切り出し、NG文字列「sSn」と切り出した文字列「a0s」とが完全一致するか否かを判定する(ステップS311)。NG文字列「sSn」と文字列「a0s」とは1文字も一致していないため、CPU13は、3文字中1文字も一致していないと判定する。
The
次に、CPU13は、判定対象のパスワードの2文字目から3文字分の文字列「0sS」を切り出し、NG文字列「sSn」と切り出した文字列「0sS」とが完全一致するか否かを判定する(ステップS312)。NG文字列「sSn」と文字列「0sS」とは1文字も一致していないため、CPU13は、3文字中1文字も一致していないと判定する。以下、CPU13は、判定対象のパスワードから3文字分の文字列を切り出す位置を1文字ずつ繰り下げながら、同様の処理を行う(ステップS313〜S318)。
Next, the
判定対象のパスワードの最後の3文字分の文字列とNG文字列との比較が終了すると、CPU13は、判定対象のパスワードから切り出した文字列の中にNG文字列と完全一致するものがあるか否かを判定する(ステップS32)。
When the comparison between the last three characters of the password to be judged and the NG character string is completed, the
上述した例では、ステップS313において、NG文字列「sSn」と判定対象のパスワード「a0sSn+e!4J」の3文字目から3文字分の文字列「sSn」とが3文字中3文字とも一致しており、完全一致している。 In the example described above, the NG character string “sSn” and the character string “sSn” for three characters from the third character of the password “a0sSn + e! 4J” to be determined in step S313 also match three of the three characters. Yes, it's a perfect match.
判定対象のパスワードから切り出した文字列の中にNG文字列と完全一致するものがあると判定した場合には(ステップS32:Yes)、CPU13は、判定対象のパスワードとNG文字列との類似度Rを100と算出する(ステップS33)。
If it is determined that there is a character string completely extracted from the password to be judged that matches the NG character string (Step S32: Yes), the
判定対象のパスワードから切り出した文字列の中にNG文字列と完全一致するものがないと判定した場合には(ステップS32:No)、CPU13は、判定対象のパスワードとNG文字列との類似度Rを0と算出する(ステップS34)。
If it is determined that none of the character strings cut out from the password to be judged matches the NG character string completely (step S32: No), the
なお、本実施形態では、NG文字列と判定対象のパスワードに含まれる文字列とが完全一致する場合には、類似度Rを100と算出し、それ以外の場合には、類似度Rを0と算出する例を用いて説明したが、これに限られるものでない。例えば、NG文字列と判定対象のパスワードに含まれる文字列とが部分一致する場合に、類似度100と類似度0との間の中間値を類似度Rとして算出するようにしてもよい。
In the present embodiment, the similarity R is calculated to be 100 when the NG character string and the character string included in the password to be determined completely match, and the similarity R is 0 otherwise. Although the description has been made using an example of calculating and, it is not limited to this. For example, when the NG character string and the character string included in the password to be determined partially match, an intermediate value between the
上述したように、パスワードに漢字が用いられることは稀である。一方、パスワードリマインダには、漢字、平仮名、片仮名の入力が受け付けられることが多い。以下では、パスワードリマインダとして文字列「山本」の強度を判定する場合を例として説明する。 As mentioned above, kanji characters are rarely used for passwords. On the other hand, password reminders often accept input of kanji, hiragana and katakana. Below, the case where the intensity | strength of a character string "Yamamoto" is determined as a password reminder is demonstrated as an example.
パスワードリマインダを判定対象とする場合、NG文字列リストには、図11に示すように、NG文字列として、漢字、平仮名、片仮名からなる文字列も格納される。図11では、NG文字列「Yamamoto」の派生文字列として、漢字表記の文字列「山本」が項番「001c」のNG文字列として追加されている。この場合、NG文字列「山本」の危険度スコアはNG文字列「Yamamoto」と同じ値が設定されている。また、NG文字列「山本」の重み付け係数は、姓のランキング(図4参照)に基づいて算出される。 When a password reminder is to be determined, as shown in FIG. 11, a character string consisting of kanji, hiragana and katakana is also stored as an NG character string in the NG character string list. In FIG. 11, a character string “Yamamoto” written in kanji is added as an NG character string of the item number “001c” as a derived character string of the NG character string “Yamamoto”. In this case, the danger score of the NG character string “Yamamoto” is set to the same value as that of the NG character string “Yamamoto”. Also, the weighting coefficient of the NG character string "Yamamoto" is calculated based on the surname ranking (see FIG. 4).
図12は、パスワードリマインダを判定対象とした場合の、コンピュータ10の動作を示すフローチャートである。なお、図12において、図9と同様の処理については同じ符号を付し、説明を省略する。
FIG. 12 is a flowchart showing the operation of the
CPU13は、判定対象のパスワードリマインダと、NG文字列リストのN番目のNG文字列との類似度Rを算出する(ステップS41)。NG文字列リストの最後の項番のNG文字列まで、全てのNG文字列との類似度を算出すると、CPU13は、判定対象のパスワードリマインダとの類似度が閾値Rth以上であるNG文字列が存在するか否かを判定する(ステップS42)。
The
類似度Rが閾値Rth以上のNG文字列が存在すると判定した場合には(ステップS42:Yes)、CPU13は、類似度Rが閾値Rth以上のNG文字列のなかに、危険度スコア(補正後の危険度スコア)が閾値Kth以上のNG文字列が存在するか否かを判定する(ステップS43)。
If it is determined that there is an NG character string whose similarity R is equal to or greater than the threshold Rth (step S42: Yes), the
危険度スコアが閾値Kth以上のNG文字列が存在すると判定した場合には(ステップS43:Yes)、CPU13は、判定対象のパスワードリマインダの強度を上げる必要があると判定する。この場合、CPU13は、パスワードリマインダを強制的に変更させる画面を出力装置30に表示させ(ステップS44)、処理を終了する。
If it is determined that there is an NG character string whose risk degree score is equal to or higher than the threshold Kth (step S43: Yes), the
危険度スコアが閾値Kth以上のNG文字列が存在しないと判定した場合には(ステップS41:No)、CPU13は、判定対象のパスワードリマインダの使用を許可するものの、当該パスワードリマインダは危険性がやや高いと判定し、パスワードリマインダの変更を勧奨する画面を出力装置30に表示させ(ステップS45)、処理を終了する。したがって、パスワードリマインダについてもパスワードと同様に、ユーザの属性や外部状況の変化があった場合にも、強度の維持を図ることができる。
If it is determined that there is no NG character string having the degree of risk score equal to or higher than the threshold Kth (step S41: No), the
このように本実施形態によれば、認証アイテムの強度を判定する判定装置としてのコンピュータ10は、認証アイテムへの使用が好ましくない文字列を記憶する記憶部としての不揮発性メモリ12と、不揮発性メモリ12に記憶されている文字列に基づき、認証アイテムの強度を判定する制御部としてのCPU13とを備え、CPU13は、ユーザの属性および外部状況の少なくとも一方の変化に伴って新たに生じた、認証アイテムへの使用が好ましくない文字列を不揮発性メモリ12に記憶させる。
As described above, according to the present embodiment, the
そのため、ユーザの属性や外部状況の変化に伴って、認証アイテムが事後的にユーザに関連する情報(文字列)といった、認証アイテムへの使用が好ましくない文字列を含むものとなった場合にも、その認証アイテムの強度を正しく判定することができ、認証アイテムの強度の維持を図ることができる。 Therefore, even if the authentication item becomes information that is related to the user (character string) after the change of the user's attribute or the external situation, the use of the authentication item includes an undesirable character string. The strength of the authentication item can be determined correctly, and the strength of the authentication item can be maintained.
なお、上述した実施形態においては、NG文字列の追加、記憶されているNG文字列に基づく、認証アイテムの強度の判定などをコンピュータ10にて、すなわち、端末ローカルにて行う例を用いて説明したが、これに限られるものではない。例えば、NG文字列の追加や、記憶されているNG文字列に基づく、認証アイテムの強度の判定といった機能を、リモートデスクトップのように、ユーザ側のローカル端末とネットワークを介して接続されたクラウド側の装置(サーバなど)に持たせてもよい。
In the embodiment described above, the example of performing the addition of the NG character string, the determination of the strength of the authentication item based on the stored NG character string, and the like by the
本発明を図面および実施形態に基づき説明してきたが、当業者であれば本開示に基づき種々の変形または修正を行うことが容易であることに注意されたい。したがって、これらの変形または修正は本発明の範囲に含まれることに留意されたい。 Although the present invention has been described based on the drawings and embodiments, it should be noted that those skilled in the art can easily make various changes or modifications based on the present disclosure. Therefore, it should be noted that these variations or modifications are included in the scope of the present invention.
10 コンピュータ(判定装置)
11 通信IF
12 不揮発性メモリ(記憶部)
13 CPU(制御部)
20 入力装置
30 出力装置
10 Computer (judgment device)
11 Communication IF
12 Nonvolatile memory (storage unit)
13 CPU (control unit)
20
Claims (4)
前記認証アイテムへの使用が好ましくない文字列、および、前記文字列に対応して、照合容易性に基づく前記文字列を前記認証アイテムに使用することの危険度を記憶する記憶部と、
前記記憶部に記憶されている文字列に基づき、前記認証アイテムの強度を判定する制御部と、を備え、
前記制御部は、前記ユーザの属性および外部状況の少なくとも一方の変化に伴って新たに生じた前記認証アイテムへの使用が好ましくない文字列を前記記憶部に記憶させ、
前記認証アイテムを示す文字列との類似度が第1の閾値以上である文字列が前記記憶部に記憶されており、該文字列の危険度が第2の閾値以上である場合、前記認証アイテムの強度を上げる必要があると判定し、前記認証アイテムの変更を強制することを特徴とする判定装置。 A determination apparatus that determines the strength of an authentication item used for user authentication,
A storage unit that stores a character string that is undesirable for use in the authentication item , and a degree of risk of using the character string based on the ease of matching for the authentication item, corresponding to the character string ;
A control unit that determines the strength of the authentication item based on the character string stored in the storage unit;
The control unit stores, in the storage unit, a character string that is undesirable for use in the authentication item newly generated with a change in at least one of the user's attribute and the external situation .
When a character string whose similarity with the character string indicating the authentication item is equal to or greater than a first threshold is stored in the storage unit and the degree of risk of the character string is equal to or more than a second threshold, the authentication item strength is determined that it is necessary to increase the determination apparatus characterized that you forced to change the authentication item.
前記制御部は、前記認証アイテムを示す文字列との類似度が前記第1の閾値以上である文字列が前記記憶部に記憶されており、該文字列の危険度が前記第2の閾値未満である場合、前記認証アイテムの変更を前記ユーザに勧奨することを特徴とする判定装置。 In the determination apparatus according to claim 1 ,
The control unit stores in the storage unit a character string whose similarity to the character string indicating the authentication item is equal to or greater than the first threshold, and the risk of the character string is less than the second threshold. If it is, the change of the authentication item is recommended to the user.
前記認証アイテムは、パスワードおよびパスワードリマインダの少なくとも一方であることを特徴とする判定装置。 In the determination device according to claim 1 or 2 ,
The determination apparatus according to claim 1, wherein the authentication item is at least one of a password and a password reminder.
記憶部が、前記認証アイテムへの使用が好ましくない文字列、および、前記文字列に対応して、照合容易性に基づく前記文字列を前記認証アイテムに使用することの危険度を記憶するステップと、
制御部が、前記ユーザの属性および外部状況の少なくとも一方の変化に伴って新たに生じた前記認証アイテムへの使用が好ましくない文字列を前記記憶部に記憶させ、前記記憶部に記憶されている文字列に基づき、前記認証アイテムの強度を判定するステップと、
前記制御部が、前記認証アイテムを示す文字列との類似度が第1の閾値以上である文字列が前記記憶部に記憶されており、該文字列の危険度が第2の閾値以上である場合、前記認証アイテムの強度を上げる必要があると判定し、前記認証アイテムの変更を強制するステップと、を含むことを特徴とする判定方法。
A determination method in a determination apparatus that determines the strength of an authentication item used for user authentication,
Storing a character string which is not preferable for use in the authentication item , and a degree of risk of using the character string based on the ease of matching in the authentication item, corresponding to the character string ; ,
The control unit stores, in the storage unit, a character string that is undesirable for use in the authentication item newly generated with a change in at least one of the user's attribute and the external condition. Determining the strength of the authentication item based on a string of characters;
A character string whose similarity with the character string indicating the authentication item is equal to or greater than a first threshold is stored in the storage unit in the control unit, and the degree of risk of the character string is equal to or greater than a second threshold Determining that it is necessary to increase the strength of the authentication item, and forcing change of the authentication item .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016094442A JP6549063B2 (en) | 2016-05-10 | 2016-05-10 | Determination apparatus and determination method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016094442A JP6549063B2 (en) | 2016-05-10 | 2016-05-10 | Determination apparatus and determination method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017204056A JP2017204056A (en) | 2017-11-16 |
| JP6549063B2 true JP6549063B2 (en) | 2019-07-24 |
Family
ID=60322904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016094442A Active JP6549063B2 (en) | 2016-05-10 | 2016-05-10 | Determination apparatus and determination method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6549063B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7353901B2 (en) | 2019-10-03 | 2023-10-02 | 株式会社ロイヤリティマーケティング | Information processing device, information processing method and program |
| JP7265050B1 (en) | 2022-02-22 | 2023-04-25 | 楽天グループ株式会社 | PASSWORD MANAGEMENT SYSTEM, PASSWORD MANAGEMENT METHOD, AND PROGRAM |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4720219B2 (en) * | 2005-03-09 | 2011-07-13 | 富士通株式会社 | PIN / password review alerting method, system, and device |
| US8539599B2 (en) * | 2010-12-28 | 2013-09-17 | Sap Ag | Password protection using personal information |
| US9218481B2 (en) * | 2012-08-31 | 2015-12-22 | International Business Machines Corporation | Managing password strength |
| WO2014207826A1 (en) * | 2013-06-25 | 2014-12-31 | 楽天株式会社 | User authentication system, user authentication method, program, and information storage medium |
| JP5981663B2 (en) * | 2014-06-27 | 2016-08-31 | 楽天株式会社 | Information processing apparatus, information processing method, program, storage medium, and password input apparatus |
-
2016
- 2016-05-10 JP JP2016094442A patent/JP6549063B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017204056A (en) | 2017-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8973116B2 (en) | Pattern entropy password strength estimator | |
| JP6526608B2 (en) | Dictionary update device and program | |
| Houshmand et al. | Building better passwords using probabilistic techniques | |
| JP5679327B2 (en) | Information processing system, information processing method, information processing apparatus, program, and recording medium | |
| US11556576B1 (en) | Authenticated form completion using data from a networked data repository | |
| KR20140043041A (en) | Method for integrating account management function in input method software | |
| WO2014207826A1 (en) | User authentication system, user authentication method, program, and information storage medium | |
| US10440007B1 (en) | Symbolic feedback for user input | |
| CN108629174A (en) | The method and device of character string verification | |
| JP5069457B2 (en) | Authentication system, authentication method, and program | |
| JP6549063B2 (en) | Determination apparatus and determination method | |
| Grobler et al. | The importance of social identity on password formulations | |
| US8667296B1 (en) | Generating a password from a media item | |
| Furnell | Assessing website password practices–Unchanged after fifteen years? | |
| EP2947591A1 (en) | Authentication by Password Mistyping Correction | |
| JP3935125B2 (en) | Character string input support device and program | |
| KR101742041B1 (en) | an apparatus for protecting private information, a method of protecting private information, and a storage medium for storing a program protecting private information | |
| JP5981663B2 (en) | Information processing apparatus, information processing method, program, storage medium, and password input apparatus | |
| JP5009105B2 (en) | Information processing apparatus, input information control method, and program | |
| US20200089908A1 (en) | System, Method, and Apparatus for Digitally Managing Personal Data | |
| JP2011154538A (en) | Authentication device and authentication method | |
| JP5356584B2 (en) | Authentication system, authentication method, and program | |
| US10831882B2 (en) | Device, program and method for calculating a number of days a password is used | |
| JP2020173491A (en) | Determination support device and determination support method | |
| JP2008226036A (en) | Image selection authentication device, authentication system and authentication method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180607 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190314 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190416 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190614 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190625 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190626 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6549063 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |