Dissertação

{en_GB=Evaluating Password Strength Meters and Password Composition Policies using Guessing Attacks} {} EVALUATED

{pt=A utilização de passwords continua a ser o principal método de autenticação usado hoje em dia. Apesar da extensa investigação, existem ainda vários problemas importantes por resolver, tais como evitar a combinação entre a previsibilidade na selecção de passwords por parte dos utilizadores e a reutilização de credenciais em serviços diferentes. Estes problemas permitem que ataques por adivinhação sejam uma potencial ameaça contra a integridade das contas dos utilizadores e sua segurança. Estimadores de Segurança (PSMs) e Políticas de Composição de Passwords (PCPs) são dois dos mecanismos de segurança implementados cujo objectivo é mitigar estes problemas, guiando os utilizadores para melhores hábitos na seleção de passwords e, assim, protegê-lo contra ataques por adivinhação. Enquanto que estudos recentes mostraram a eficácia destes mecanismos, dados rigorosos e novos métodos de avaliação são necessários de forma a obter avaliações mais fidedignas na precisão da sua estimação e eficácia geral contra este tipo de ataques. Nesta tese estendemos trabalhos anteriores através da definição de uma metodologia de avaliação para estudar a relação entre PSMs e PCPs com a sua resistência contra ataques de adivinhação. Mais ainda, mostramos que esta metodologia disponibiliza uma boa medida de precisão e eficácia para PSMs e PCPs actualmente utilizados e também realçamos observações relevantes sobre estes mecanismos de segurança. Finalmente, e tirando partido dos nossos resultados experimentais relativos ao estimador do zxcvbn, identificamos vários problemas no seu mecanismo de estimação e propomos ajustes de maneira a melhorar a sua precisão na estimação de passwords., en=Passwords remain the primary authentication method used in today's digital world. Despite the extensive research literature, there are still some important unresolved issues to be fixed, such as encouraging users to avoid using weak password selection behaviors combined with the reuse of credentials across different services. These behaviours make password guessing attacks a serious threat against users' accounts' integrity and their safety. Password Strength Meters (PSMs) and Password Composition Policies (PCPs) are security mechanisms deployed with the intent of mitigating such issues, by guiding users towards better password selection and, thus, protecting them against guessing attacks. While recent studies have shown the efficacy of these mechanisms, rigorous data and new evaluation methods are needed in order to better assess their accuracy on strength estimation and overall effectiveness against this kind of attacks. In this thesis we extend previous research literature by using well-defined evaluation methodology for studying the relationship between PSMs and PCPs with respect to their resistance against off-the-shelf guessing attacks. We show that this methodology provides a quality measure for the accuracy and effectiveness of current PSMs and PCPs under study and also highlight relevant findings about these security mechanisms. Finally, and by leveraging our experimental results on the zxcvbn meter in particular, we identify several issues regarding its internal strength estimation mechanism and propose some adjustments so as to further improve its accuracy at password strength estimation.}
{pt=Autenticação, Estimador de Passwords, Política de Composição de Passwords, Precisão, Resistência a Ataques de Adivinhação, en=Authentication, Password Strength Meter, Password Composition Policy, Accuracy, Guess Resistance}

Outubro 7, 2020, 14:30

Orientação

ORIENTADOR

João Fernando Peixoto Ferreira

Departamento de Engenharia Informática (DEI)

Professor Auxiliar