論文の概要: DALock: Distribution Aware Password Throttling
- arxiv url: http://arxiv.org/abs/2005.09039v1
- Date: Mon, 18 May 2020 19:15:26 GMT
- ステータス: 処理完了
- システム内更新日: 2023-05-19 11:05:15.503794
- Title: DALock: Distribution Aware Password Throttling
- Title(参考訳): DALock: パスワードのスロットリングを意識して配布
- Authors: Jeremiah Blocki and Wuwei Zhang
- Abstract要約: DALockはパスワードのロックアウト機構で、ユーザーの不安を軽減し、ユーザーのリスクを最小限に抑える。
実世界のパスワードデータセットを用いて,シミュレーションの広範なバッテリでDALockを実証的に評価した。
- 参考スコア(独自算出の注目度): 5.089110111757977
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Large-scale online password guessing attacks are wide-spread and continuously
qualified as one of the top cyber-security risks. The common method for
mitigating the risk of online cracking is to lock out the user after a fixed
number ($K$) of consecutive incorrect login attempts. Selecting the value of
$K$ induces a classic security-usability trade-off. When $K$ is too large a
hacker can (quickly) break into a significant fraction of user accounts, but
when $K$ is too low we will start to annoy honest users by locking them out
after a few mistakes. Motivated by the observation that honest user mistakes
typically look quite different than the password guesses of an online attacker,
we introduce DALock a {\em distribution aware} password lockout mechanism to
reduce user annoyance while minimizing user risk. As the name suggests, DALock
is designed to be aware of the frequency and popularity of the password used
for login attacks while standard throttling mechanisms (e.g., $K$-strikes) are
oblivious to the password distribution. In particular, DALock maintains an
extra "hit count" in addition to "strike count" for each user which is based on
(estimates of) the cumulative probability of {\em all} login attempts for that
particular account. We empirically evaluate DALock with an extensive battery of
simulations using real world password datasets. In comparison with the
traditional $K$-strikes mechanism we find that DALock offers a superior
security/usability trade-off. For example, in one of our simulations we are
able to reduce the success rate of an attacker to $0.05\%$ (compared to $1\%$
for the $10$-strikes mechanism) whilst simultaneously reducing the unwanted
lockout rate for accounts that are not under attack to just $0.08\%$ (compared
to $4\%$ for the $3$-strikes mechanism).
- Abstract(参考訳): 大規模なオンラインパスワード推測攻撃は、サイバーセキュリティのリスクのトップの1つとして広く普及し、継続的に適している。
オンラインクラッキングのリスクを軽減する一般的な方法は、連続した不正ログインの試みの固定番号(K$)の後にユーザをロックアウトすることである。
k$ の値を選択すると、古典的なセキュリティ利用のトレードオフが引き起こされる。
k$が大きすぎると、ハッカーは(あっという間に)かなりの数のユーザーアカウントに侵入するが、k$が小さすぎると、数回のミスでユーザーをロックアウトし、正直なユーザーを悩ますようになる。
正直なユーザーミスは、オンライン攻撃者のパスワード推測とはかなり異なるように見えるという観察に動機づけられ、dalock a {\em distribution aware” パスワードロックアウト機構を導入して、ユーザーのリスクを最小限に抑える。
名前が示すように、DALockはログイン攻撃に使われるパスワードの頻度と人気を意識して設計されており、標準的なスロットリング機構(例えば$K$-strikes)はパスワードの配布に不慣れである。
特に、DALockは、特定のアカウントに対するログインの累積確率(推定値)に基づくユーザ毎の"ストイクカウント(strike count)"に加えて、追加の"ヒットカウント(hit count)"を維持している。
実世界のパスワードデータセットを用いて,シミュレーションの広範なバッテリでDALockを実証的に評価した。
従来の$K$-strikesメカニズムと比較して、DALockは優れたセキュリティ/ユーザビリティトレードオフを提供します。
例えば、シミュレーションの1つでは、攻撃者の成功率を$0.05\%$($$$-strikes メカニズムで$$$$$)に削減できると同時に、攻撃を受けていないアカウントに対する不必要なロックアウト率を$0.08\%$($$$$-strikes メカニズムで$$$$$)に削減できます。
関連論文リスト
- Optimal Computational Secret Sharing [51.599517747577266]
$(t, n)$-threshold secret sharingでは、秘密の$S$が$n$の参加者に分散される。
共有サイズが $tfrac|S|t + |K|t$ となる構成を示す。
論文 参考訳(メタデータ) (2025-02-04T23:37:16Z) - Cute-Lock: Behavioral and Structural Multi-Key Logic Locking Using Time Base Keys [1.104960878651584]
我々は、Cute-Lockと呼ばれるセキュアなマルチキー論理ロックアルゴリズムのファミリーを提案し、実装し、評価する。
種々の攻撃条件下での実験結果から,Cute-Lockファミリーを応用した脆弱な最先端手法と比較して,余分なオーバーヘッドを伴わずに致命的な攻撃を試みていることが確認された。
論文 参考訳(メタデータ) (2025-01-29T03:44:55Z) - K-Gate Lock: Multi-Key Logic Locking Using Input Encoding Against Oracle-Guided Attacks [1.104960878651584]
K-Gate Lockは、複数のキーを使用して入力パターンをエンコードする。
複数のキーを使用すると、回路はオラクル誘導攻撃に対して安全になり、攻撃者は指数関数的に時間のかかるブルートフォースサーチに努力するようになる。
論文 参考訳(メタデータ) (2025-01-03T22:07:38Z) - BaThe: Defense against the Jailbreak Attack in Multimodal Large Language Models by Treating Harmful Instruction as Backdoor Trigger [67.75420257197186]
本研究では,単純なジェイルブレイク防御機構である$textbfBaTheを提案する。
ジェイルブレイクバックドア攻撃は、手作りの弦と組み合わされた有害な命令をトリガーとして使用し、バックドアモデルが禁止された応答を生成する。
有害な命令がトリガーとして機能し、代わりにリジェクション応答をトリガー応答として設定すれば、バックドアモデルがジェイルブレイク攻撃に対して防御できると仮定する。
論文 参考訳(メタデータ) (2024-08-17T04:43:26Z) - Shortcuts Everywhere and Nowhere: Exploring Multi-Trigger Backdoor Attacks [64.68741192761726]
ディープニューラルネットワーク(DNN)の事前トレーニングとデプロイに対して、バックドア攻撃は重大な脅威となっている。
本研究では,マルチトリガーバックドア攻撃(MTBA)の概念について検討し,複数の敵が異なる種類のトリガーを利用して同一のデータセットを毒する。
論文 参考訳(メタデータ) (2024-01-27T04:49:37Z) - Trenchcoat: Human-Computable Hashing Algorithms for Password Generation [0.5266869303483376]
平均的なユーザーは90~130のオンラインアカウントを持ち、今年はパスワードの約3倍の1011ドルが使われている。
従来のパスワード生成プロトコルでは、認知的負荷が非常に大きいため、ユーザーはより単純な方法でパスワードを放棄している。
パスワード生成装置として使用するのに適した,人間の計算可能なハッシュ関数について述べる。
論文 参考訳(メタデータ) (2023-10-19T13:00:16Z) - Evading Black-box Classifiers Without Breaking Eggs [70.72391781899597]
決定に基づく回避攻撃は、ブラックボックス分類器に繰り返し問い合わせて敵の例を生成する。
以前の作業では、分類器に対して行われたクエリの総数によって、このような攻撃のコストを測定していた。
このメトリクスは欠陥があり、悪いクエリの数を1.5$-$7.3times$に削減する新たな攻撃を設計している、と私たちは主張する。
論文 参考訳(メタデータ) (2023-06-05T14:04:53Z) - Exploiting Logic Locking for a Neural Trojan Attack on Machine Learning
Accelerators [4.605674633999923]
論理ロックは、保護するニューラルアクセラレーターのセキュリティを損なうためにどのように使われるかを示す。
具体的には、不正鍵による決定論的誤りが、どのようにしてニューラルトロイジャンスタイルのバックドアを生成するかを示す。
論文 参考訳(メタデータ) (2023-04-12T17:55:34Z) - KeyDetect --Detection of anomalies and user based on Keystroke Dynamics [0.0]
サイバー攻撃はクレジットカードの詳細や社会保障番号などの機密データに簡単にアクセスすることができる。
現在、サイバー攻撃を止めるために、2段階の検証方法から様々な方法が選択されている。
我々は,ユーザのキーストロークダイナミックス(タイピングパターン)を用いて真のユーザを認証する手法を提案している。
論文 参考訳(メタデータ) (2023-04-08T09:00:07Z) - You are caught stealing my winning lottery ticket! Making a lottery
ticket claim its ownership [87.13642800792077]
Lottery ticket hypothesis (LTH) は、特別なスパースサブネットワークを活用するための有望なフレームワークとして出現する。
しかし、LTHの主な資源ボトルネックは、当選チケットのスパースマスクを見つけるのに特別なコストである。
私たちの設定は、深層モデルの知的財産権侵害から保護することに対する最近の関心に新たな次元を与えます。
論文 参考訳(メタデータ) (2021-10-30T03:38:38Z) - RayS: A Ray Searching Method for Hard-label Adversarial Attack [99.72117609513589]
我々は、レイサーチ攻撃(RayS)を提案し、これはハードラベル攻撃の有効性と効率を大幅に改善する。
モデルの正当性チェックとしても使用できる。
論文 参考訳(メタデータ) (2020-06-23T07:01:50Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。