論文の概要: Skeptic: Automatic, Justified and Privacy-Preserving Password Composition Policy Selection
- arxiv url: http://arxiv.org/abs/2007.03809v2
- Date: Fri, 15 Mar 2024 11:19:08 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-19 08:10:52.923018
- Title: Skeptic: Automatic, Justified and Privacy-Preserving Password Composition Policy Selection
- Title(参考訳): 懐疑論: 自動で、正当化され、プライバシ保護されるパスワード構成ポリシーの選択
- Authors: Saul Johnson, João F. Ferreira, Alexandra Mendes, Julien Cordry,
- Abstract要約: パスワード保護システムに強制するパスワード構成ポリシーの選択は、重要なセキュリティ上の決定である。
実際には、この選択は厳密で正当化できるものではなく、システム管理者は直感だけでパスワード構成ポリシーを選択する傾向にある。
本研究では,大量の実世界のパスワードデータから構築されたパスワード確率分布を推定する手法を提案する。
- 参考スコア(独自算出の注目度): 44.040106718326605
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: The choice of password composition policy to enforce on a password-protected system represents a critical security decision, and has been shown to significantly affect the vulnerability of user-chosen passwords to guessing attacks. In practice, however, this choice is not usually rigorous or justifiable, with a tendency for system administrators to choose password composition policies based on intuition alone. In this work, we propose a novel methodology that draws on password probability distributions constructed from large sets of real-world password data which have been filtered according to various password composition policies. Password probabilities are then redistributed to simulate different user password reselection behaviours in order to automatically determine the password composition policy that will induce the distribution of user-chosen passwords with the greatest uniformity, a metric which we show to be a useful proxy to measure overall resistance to password guessing attacks. Further, we show that by fitting power-law equations to the password probability distributions we generate, we can justify our choice of password composition policy without any direct access to user password data. Finally, we present Skeptic -- a software toolkit that implements this methodology, including a DSL to enable system administrators with no background in password security to compare and rank password composition policies without resorting to expensive and time-consuming user studies. Drawing on 205,176,321 pass words across 3 datasets, we lend validity to our approach by demonstrating that the results we obtain align closely with findings from a previous empirical study into password composition policy effectiveness.
- Abstract(参考訳): パスワード保護システムに強制するパスワード構成ポリシーの選択は、重要なセキュリティ上の決定であり、攻撃を推測するユーザ長パスワードの脆弱性に大きく影響することが示されている。
しかし実際には、システム管理者が直感だけでパスワード構成ポリシーを選択する傾向にあるため、この選択は通常厳密で正当化できない。
本研究では,様々なパスワード構成ポリシーに従ってフィルタリングされた大量の実世界のパスワードデータから構築されたパスワード確率分布に基づく新しい手法を提案する。
パスワード再選択動作をシミュレートするためにパスワード確率を再配布し、パスワード構成ポリシーを自動的に決定し、最大均一度でユーザ長パスワードの配布を誘導する。
さらに, ユーザパスワードデータに直接アクセスすることなく, パスワード構成ポリシーの選択を正当化できることを示す。
最後に、この方法論を実装するソフトウェアツールキットであるSkepticを紹介します。DSLは、パスワードセキュリティのバックグラウンドを持たないシステム管理者が、高価で時間を要するユーザスタディに頼ることなく、パスワード構成ポリシーの比較とランク付けを可能にします。
3つのデータセットに205,176,321の単語を渡すと、パスワード構成ポリシーの有効性に関する過去の実証研究から得られた結果と密接に一致していることを示し、我々のアプローチに有効であることを示す。
関連論文リスト
- Nudging Users to Change Breached Passwords Using the Protection Motivation Theory [58.87688846800743]
我々は保護動機理論(PMT)に基づいて、侵入したパスワードの変更を促すナッジを設計する。
本研究は, PMTのセキュリティ研究への応用に寄与し, 漏洩したクレデンシャル通知を改善するための具体的な設計上の意味を提供する。
論文 参考訳(メタデータ) (2024-05-24T07:51:15Z) - PassViz: A Visualisation System for Analysing Leaked Passwords [2.2530496464901106]
PassVizは、漏洩したパスワードを2次元空間で視覚化し分析するためのコマンドラインツールである。
本稿では、PassVizを用いて、漏洩したパスワードのさまざまな側面を視覚的に分析し、これまで知られていなかったパスワードパターンの発見を容易にする方法を示す。
論文 参考訳(メタデータ) (2023-09-22T16:06:26Z) - PassGPT: Password Modeling and (Guided) Generation with Large Language
Models [59.11160990637616]
パスワード生成のためのパスワードリークをトレーニングした大規模言語モデルであるPassGPTを提案する。
また、任意の制約を満たすパスワードを生成するために、PassGPTサンプリング手順を利用する誘導パスワード生成の概念も導入する。
論文 参考訳(メタデータ) (2023-06-02T13:49:53Z) - RiDDLE: Reversible and Diversified De-identification with Latent
Encryptor [57.66174700276893]
本研究は、Reversible and Diversified De-identification with Latent Encryptorの略であるRiDDLEを提示する。
事前に学習したStyleGAN2ジェネレータ上に構築されたRiDDLEは、潜伏空間内の顔のアイデンティティを暗号化して復号する。
論文 参考訳(メタデータ) (2023-03-09T11:03:52Z) - Universal Neural-Cracking-Machines: Self-Configurable Password Models
from Auxiliary Data [21.277402919534566]
ユニバーサルパスワードモデル(ユニバーサルパスワードモデル、Universal password model)は、ターゲットシステムに基づく推測戦略を適応させるパスワードモデルである。
これは、ユーザの補助情報、例えばメールアドレスをプロキシ信号として利用して、基盤となるパスワードの配布を予測する。
論文 参考訳(メタデータ) (2023-01-18T16:12:04Z) - On Deep Learning in Password Guessing, a Survey [4.1499725848998965]
本稿では,ユーザのパスワード構造や組み合わせに関するドメイン知識や仮定を必要としない,深層学習に基づくパスワード推測手法について比較する。
非標的のオフライン攻撃によるパスワード推測におけるIWGANのバリエーションの利用に関する有望な実験的設計を提案する。
論文 参考訳(メタデータ) (2022-08-22T15:48:35Z) - Constructing a Good Behavior Basis for Transfer using Generalized Policy
Updates [63.58053355357644]
そこで我々は,優れた政策集合を学習する問題を考察し,組み合わせることで,目に見えない多種多様な強化学習タスクを解くことができることを示した。
理論的には、独立したポリシーのセットと呼ぶ、特定の多様なポリシーのセットにアクセスできることによって、ハイレベルなパフォーマンスを即時に達成できることが示される。
論文 参考訳(メタデータ) (2021-12-30T12:20:46Z) - Interpretable Probabilistic Password Strength Meters via Deep Learning [13.97315111128149]
確率的パスワードメーターは、本質的にパスワード強度とパスワード構造との間に生じる潜伏関係を記述する能力を持っていることを示す。
既存の構造とは異なり、我々の方法はいかなる人間の偏見も無く、さらに重要なことに、そのフィードバックは確率論的解釈を持つ。
論文 参考訳(メタデータ) (2020-04-15T16:05:50Z) - Lost in Disclosure: On The Inference of Password Composition Policies [43.17794589897313]
パスワード構成ポリシーがシステム上でのユーザ・朝鮮語パスワードの分布にどのように影響するかを検討する。
より信頼性の高い結果を生み出すシンプルなアプローチを提案する。
本稿では,この手法を実装したpol-inferを提案する。
論文 参考訳(メタデータ) (2020-03-12T15:27:00Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。