Pages

Tuesday, November 28, 2023

100万件の大規模Webサイト調査で見えた、ずさんで危険なパスワード管理の実態 - ITpro

kuncikn.blogspot.com

全2635文字

 Webサービスの多くは、パスワードで正規のユーザーかどうかを確認する。このためユーザーとして気になるのは、Webサービスを提供するWebサイトのパスワード管理だ。

 パスワードを入力するログインページは安全なのか、インターネット経由でパスワードを送る際に盗聴される恐れはないのか、Webサイトはパスワードを安全に保管しているのか――などが懸念される。

 「一昔前ならいざ知らず、いまどきのWebサイトならそんな心配は無用」と思う人は多いだろう。実際、有名サイトのほとんどはパスワードを安全に取り扱っている。

 だが、いまだに危険なWebサイトは多数存在する。米ジョージア工科大学の研究者グループは100万件のWebサイトを調査し、現状を明らかにした。これまでにない大規模な調査だとしており、結果は2023年10月に一般に公表された。

 調査期間は2022年12月から2023年1月で、研究者グループは調査結果を2023年8月に米国で開催された学術会議で発表。そのプロシーディング(会議録)が2023年10月に発行された。会議録に収められた研究者グループの論文を基に、Webサイトの危険な現状を解き明かそう。

機械学習で調査の自動化を実現

 これまでもWebサイトのパスワード管理に関する調査は多数実施されてきた。ほとんどのWebサイトはパスワード管理のポリシーを公表していないため、Webサイトに実際にアクセスして調べる必要がある。

 できるだけ多くのWebサイトを調査するには自動化が不可欠だ。だが自動化は容易ではないという。Webサイトごとにログインするまでの流れ(ワークフロー)が大きく異なるからだ。

 ログインページの構造や置かれている場所、パスワードの入力方法、ユーザーアカウントの登録方法などはWebサイトによってまちまちなので、「WebサイトのトップページのURLを与えれば、自動的にログインページなどにアクセスして情報を収集するツール」の開発はほぼ不可能と思われていたという。

 このため先行研究では、手作業による調査に頼っている。研究者が実際にWebサイトにアクセスしてログインページなどを探し、パスワードの管理方法などを調べた。人手なので、数千から数万が限界だ。インターネットに存在するWebサイトの数と比較すればごく僅かなので、調査結果が偏っている可能性が高いとしている。

 今回の調査では機械学習を用いたツールを開発し、対象を2桁から3桁増やすことに成功した。具体的な方法は次の通り。まずWebサイトのドメイン(トップページのURL)を収めたデータベース「Tranco list」から2800のドメインをランダムに抽出。

 そしてそれらに人手でアクセスし、ログインページや登録ページ(サインアップページ)、パスワードリセットページの特徴(トップページからのアクセス方法やページの構造、含まれるキーワードなど)を抽出。それらをラベル付けして機械学習モデルを構築し、インターネットを巡回するツール(クローラー)に適用した。

 このツールは調査対象のドメイン名を与えられると、そのWebサイトのトップページにアクセスし、アカウントの登録ページを検索。登録ページを見つけたら、特定のメールアドレスとパスワードを入力してアカウントを作成する。

開発したツールによる調査の概要

開発したツールによる調査の概要

(出所:論文「A Large-Scale Measurement of Website Login Policies」)

[画像のクリックで拡大表示]

 次にログインページにアクセスし、作成したアカウントにメールアドレス(ユーザーID)とパスワードを入力してログインを試行。最後にパスワードリセットページにアクセスして、リセットを試みる。

 調査では、米Google(グーグル)の「Chromeユーザー・エクスペリエンス・リポート(CrUX)」に収録された、アクセス数が上位100万のWebサイトにアクセスした。

Adblock test (Why?)


からの記事と詳細 ( 100万件の大規模Webサイト調査で見えた、ずさんで危険なパスワード管理の実態 - ITpro )
https://ift.tt/VhYa2xe

No comments:

Post a Comment