アナキン・スカイウォーカーとダースベーター、どちらが強いか-PDFのパスワード設定に関するセキュリティ強度とユーザビリティ_予測されるユーザの行動原理
PDFファイルに変換する時、任意でパスワード設定をすることができます。このパスワード設定をする際のユーザビリティについて以前調べました。
セキュリティのユーザビリティに関する情報が限られているので、何かの参考になれば幸いです。なお長いので数日間に分けて公開しました。
(以前『セキュリティとプライバシーのユーザビリティ』の授業受講後に自由課題レポートとして作成したものです)
最初の章はこちら「デジタル文書PDFコンバーター時のパスワード設定とユーザビリティ_序」
デジタル文書PDFコンバーター時のパスワード設定とユーザビリティ
予測されるユーザの行動原理
パスワード強度の低さ
Webサービスへのログインパスワード同様に, PDF文書へのパスワード設定についても
- 数字のみ(連続する数字や降順・昇順, 日付)
- キーボードの配列順
- 特定の名称(人物名, 商品名)
を使用していると予測した.
しかも, PDFの場合はネットバンクキングのようなWebサイトへのログインID, パスワードの取扱いと比較すると不正ログインといったものへの危機感が薄く, 簡便かつ容易に推測可能なパスワードにするなど『パスワード強度を低く設定するのではないか』と考えた.覚えやすくするため
パスワードの文字数が少ない(短い)
といったことも考えられる.
組織名や特定キーワード, 日付を利用したパスワードの使用
組織間(組織内外問わず)でのPDFのやり取りに当たっては, ファイルのやり取りに関わる人が特定されていることや, 関係者が極力記憶しやすいパスワードになりがちと予測した.
また,
- 組織名(略称含む)
- 組織名(略称含む)+数字
- プロジェクト名(略称含む)
- プロジェクト名(略称含む)+数字 ‥
といった, 組織名や特定キーワードなど, 提供者を知っていれば関係者外からも比較的類推されやすいパスワードを設定すると考えられる.
更に数字にファイルを作成した日やファイル提供日等といった, 日付を利用した数字が用いられることも考えられる.
複数ファイルのパスワード使いまわし
ユーザが複数ファイル毎にパスワードを設定せず, パスワードを使いまわす可能性が高いと考える.これは, 前述したファイルを取り扱う人が特定されていることや複数人で作業に関わることで組織名や特定キーワード, 日付を利用したパスワードを使用する行動原理と同様である.
(次回「ユーザビリティの実現案」に続く)
ヘッダー写真 撮影地ニュージーランド©moya
最後までご覧いただきありがとうございます! 現在放送大学でPDFのアクセシビリティを卒業研究中。noteはそのメモを兼ねてます。ヘッダー写真はnzで私が撮影しました。 【ご寄付のお願い】有料noteの売上やサポートはnzクライストチャーチ地震の復興支援に使わせて頂いております。