論文の概要: DALock: Distribution Aware Password Throttling
- arxiv url: http://arxiv.org/abs/2005.09039v1
- Date: Mon, 18 May 2020 19:15:26 GMT
- ステータス: 処理完了
- システム内更新日: 2023-05-19 11:05:15.503794
- Title: DALock: Distribution Aware Password Throttling
- Title(参考訳): DALock: パスワードのスロットリングを意識して配布
- Authors: Jeremiah Blocki and Wuwei Zhang
- Abstract要約: DALockはパスワードのロックアウト機構で、ユーザーの不安を軽減し、ユーザーのリスクを最小限に抑える。
実世界のパスワードデータセットを用いて,シミュレーションの広範なバッテリでDALockを実証的に評価した。
- 参考スコア(独自算出の注目度): 5.089110111757977
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Large-scale online password guessing attacks are wide-spread and continuously
qualified as one of the top cyber-security risks. The common method for
mitigating the risk of online cracking is to lock out the user after a fixed
number ($K$) of consecutive incorrect login attempts. Selecting the value of
$K$ induces a classic security-usability trade-off. When $K$ is too large a
hacker can (quickly) break into a significant fraction of user accounts, but
when $K$ is too low we will start to annoy honest users by locking them out
after a few mistakes. Motivated by the observation that honest user mistakes
typically look quite different than the password guesses of an online attacker,
we introduce DALock a {\em distribution aware} password lockout mechanism to
reduce user annoyance while minimizing user risk. As the name suggests, DALock
is designed to be aware of the frequency and popularity of the password used
for login attacks while standard throttling mechanisms (e.g., $K$-strikes) are
oblivious to the password distribution. In particular, DALock maintains an
extra "hit count" in addition to "strike count" for each user which is based on
(estimates of) the cumulative probability of {\em all} login attempts for that
particular account. We empirically evaluate DALock with an extensive battery of
simulations using real world password datasets. In comparison with the
traditional $K$-strikes mechanism we find that DALock offers a superior
security/usability trade-off. For example, in one of our simulations we are
able to reduce the success rate of an attacker to $0.05\%$ (compared to $1\%$
for the $10$-strikes mechanism) whilst simultaneously reducing the unwanted
lockout rate for accounts that are not under attack to just $0.08\%$ (compared
to $4\%$ for the $3$-strikes mechanism).
- Abstract(参考訳): 大規模なオンラインパスワード推測攻撃は、サイバーセキュリティのリスクのトップの1つとして広く普及し、継続的に適している。
オンラインクラッキングのリスクを軽減する一般的な方法は、連続した不正ログインの試みの固定番号(K$)の後にユーザをロックアウトすることである。
k$ の値を選択すると、古典的なセキュリティ利用のトレードオフが引き起こされる。
k$が大きすぎると、ハッカーは(あっという間に)かなりの数のユーザーアカウントに侵入するが、k$が小さすぎると、数回のミスでユーザーをロックアウトし、正直なユーザーを悩ますようになる。
正直なユーザーミスは、オンライン攻撃者のパスワード推測とはかなり異なるように見えるという観察に動機づけられ、dalock a {\em distribution aware” パスワードロックアウト機構を導入して、ユーザーのリスクを最小限に抑える。
名前が示すように、DALockはログイン攻撃に使われるパスワードの頻度と人気を意識して設計されており、標準的なスロットリング機構(例えば$K$-strikes)はパスワードの配布に不慣れである。
特に、DALockは、特定のアカウントに対するログインの累積確率(推定値)に基づくユーザ毎の"ストイクカウント(strike count)"に加えて、追加の"ヒットカウント(hit count)"を維持している。
実世界のパスワードデータセットを用いて,シミュレーションの広範なバッテリでDALockを実証的に評価した。
従来の$K$-strikesメカニズムと比較して、DALockは優れたセキュリティ/ユーザビリティトレードオフを提供します。
例えば、シミュレーションの1つでは、攻撃者の成功率を$0.05\%$($$$-strikes メカニズムで$$$$$)に削減できると同時に、攻撃を受けていないアカウントに対する不必要なロックアウト率を$0.08\%$($$$$-strikes メカニズムで$$$$$)に削減できます。
関連論文リスト
- Fingerprint Theft Using Smart Padlocks: Droplock Exploits and Defenses [0.0]
これらのIoTデバイスの主要な機能以上のデバイスセキュリティとユーザ認識に注意が払われていないことは、ユーザを目に見えないリスクに晒している可能性がある。
本論文は、スマートロックを無線指紋採取装置に変換する攻撃である「ドロップロック」を定義した先行研究を拡張した。
より広範囲の脆弱性やエクスプロイトを詳細に分析することで、ドロップロック攻撃が実行しやすく、検出が困難になります。
論文 参考訳(メタデータ) (2024-07-31T07:40:05Z) - Not All Prompts Are Secure: A Switchable Backdoor Attack Against Pre-trained Vision Transformers [51.0477382050976]
この作業でスイッチトークンと呼ばれる追加のプロンプトトークンは、バックドアモードをオンにすることができ、良心的なモデルをバックドアモードに変換することができる。
事前訓練されたモデルを攻撃するため、SWARMと呼ばれる攻撃はトリガを学習し、スイッチトークンを含むトークンをプロンプトする。
多様な視覚認識タスクの実験は、切り替え可能なバックドア攻撃の成功を確認し、95%以上の攻撃成功率を達成した。
論文 参考訳(メタデータ) (2024-05-17T08:19:48Z) - LOTUS: Evasive and Resilient Backdoor Attacks through Sub-Partitioning [49.174341192722615]
バックドア攻撃は、ディープラーニングアプリケーションに重大なセキュリティ脅威をもたらす。
近年の研究では、特殊な変換機能によって作られたサンプル特異的に見えないトリガーを用いた攻撃が導入されている。
我々は、回避性とレジリエンスの両方に対処するために、新しいバックドアアタックLOTUSを導入する。
論文 参考訳(メタデータ) (2024-03-25T21:01:29Z) - A practical key-recovery attack on LWE-based key-encapsulation mechanism schemes using Rowhammer [6.173770515883933]
本稿では,汎用格子を用いた量子後鍵カプセル化機構を用いたマイクロアーキテクチャのエンドツーエンド攻撃手法を提案する。
本攻撃は, ほぼ全ての格子型鍵カプセル化機構の構築に使用される藤崎・岡本変換の重要な構成要素を標的としている。
論文 参考訳(メタデータ) (2023-11-14T09:40:08Z) - Trenchcoat: Human-Computable Hashing Algorithms for Password Generation [0.5266869303483376]
平均的なユーザーは90~130のオンラインアカウントを持ち、今年はパスワードの約3倍の1011ドルが使われている。
従来のパスワード生成プロトコルでは、認知的負荷が非常に大きいため、ユーザーはより単純な方法でパスワードを放棄している。
パスワード生成装置として使用するのに適した,人間の計算可能なハッシュ関数について述べる。
論文 参考訳(メタデータ) (2023-10-19T13:00:16Z) - One-bit Flip is All You Need: When Bit-flip Attack Meets Model Training [54.622474306336635]
メモリフォールトインジェクション技術を利用したビットフリップ攻撃(BFA)と呼ばれる新たな重み修正攻撃が提案された。
本稿では,高リスクモデルを構築するための訓練段階に敵が関与する,訓練支援ビットフリップ攻撃を提案する。
論文 参考訳(メタデータ) (2023-08-12T09:34:43Z) - Evading Black-box Classifiers Without Breaking Eggs [70.72391781899597]
決定に基づく回避攻撃は、ブラックボックス分類器に繰り返し問い合わせて敵の例を生成する。
以前の作業では、分類器に対して行われたクエリの総数によって、このような攻撃のコストを測定していた。
このメトリクスは欠陥があり、悪いクエリの数を1.5$-$7.3times$に削減する新たな攻撃を設計している、と私たちは主張する。
論文 参考訳(メタデータ) (2023-06-05T14:04:53Z) - Exploiting Logic Locking for a Neural Trojan Attack on Machine Learning
Accelerators [4.605674633999923]
論理ロックは、保護するニューラルアクセラレーターのセキュリティを損なうためにどのように使われるかを示す。
具体的には、不正鍵による決定論的誤りが、どのようにしてニューラルトロイジャンスタイルのバックドアを生成するかを示す。
論文 参考訳(メタデータ) (2023-04-12T17:55:34Z) - KeyDetect --Detection of anomalies and user based on Keystroke Dynamics [0.0]
サイバー攻撃はクレジットカードの詳細や社会保障番号などの機密データに簡単にアクセスすることができる。
現在、サイバー攻撃を止めるために、2段階の検証方法から様々な方法が選択されている。
我々は,ユーザのキーストロークダイナミックス(タイピングパターン)を用いて真のユーザを認証する手法を提案している。
論文 参考訳(メタデータ) (2023-04-08T09:00:07Z) - You are caught stealing my winning lottery ticket! Making a lottery
ticket claim its ownership [87.13642800792077]
Lottery ticket hypothesis (LTH) は、特別なスパースサブネットワークを活用するための有望なフレームワークとして出現する。
しかし、LTHの主な資源ボトルネックは、当選チケットのスパースマスクを見つけるのに特別なコストである。
私たちの設定は、深層モデルの知的財産権侵害から保護することに対する最近の関心に新たな次元を与えます。
論文 参考訳(メタデータ) (2021-10-30T03:38:38Z) - RayS: A Ray Searching Method for Hard-label Adversarial Attack [99.72117609513589]
我々は、レイサーチ攻撃(RayS)を提案し、これはハードラベル攻撃の有効性と効率を大幅に改善する。
モデルの正当性チェックとしても使用できる。
論文 参考訳(メタデータ) (2020-06-23T07:01:50Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。