論文の概要: The Impact of Exposed Passwords on Honeyword Efficacy

• arxiv url: http://arxiv.org/abs/2309.10323v3
• Date: Wed, 6 Mar 2024 01:55:28 GMT
• ステータス: 処理完了
• システム内更新日: 2024-03-17 17:10:47.125687
• Title: The Impact of Exposed Passwords on Honeyword Efficacy
• Title（参考訳）: 流出したパスワードがハニーワード効果に及ぼす影響
• Authors: Zonghao Huang, Lujo Bauer, Michael K. Reiter,
• Abstract要約: ハニーワード(Honeyword)は、クレデンシャルデータベースに追加可能なデコイパスワードである。 ログインの試みがハニーワードを使用する場合、サイトのクレデンシャルデータベースが漏洩したことを示している。
• 参考スコア（独自算出の注目度）: 14.697588929837282
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Honeywords are decoy passwords that can be added to a credential database; if a login attempt uses a honeyword, this indicates that the site's credential database has been leaked. In this paper we explore the basic requirements for honeywords to be effective, in a threat model where the attacker knows passwords for the same users at other sites. First, we show that for user-chosen (vs. algorithmically generated, i.e., by a password manager) passwords, existing honeyword-generation algorithms do not simultaneously achieve false-positive and false-negative rates near their ideals of $\approx 0$ and $\approx \frac{1}{1+n}$, respectively, in this threat model, where $n$ is the number of honeywords per account. Second, we show that for users leveraging algorithmically generated passwords, state-of-the-art methods for honeyword generation will produce honeywords that are not sufficiently deceptive, yielding many false negatives. Instead, we find that only a honeyword-generation algorithm that uses the \textit{same} password generator as the user can provide deceptive honeywords in this case. However, when the defender's ability to infer the generator from the (one) account password is less accurate than the attacker's ability to infer the generator from potentially many, this deception can again wane. Taken together, our results provide a cautionary note for the state of honeyword research and pose new challenges to the field.
• Abstract（参考訳）: ハニーワードはクレデンシャルデータベースに追加可能なデコイパスワードであり、ログインの試みがハニーワードを使用する場合、サイトのクレデンシャルデータベースが漏洩したことを示している。 本稿では,攻撃者が他のサイトで同じユーザに対してパスワードを知っている脅威モデルにおいて,ハニーワードの有効性に関する基本的な要件について検討する。 まず, ユーザ長文(vs, パスワードマネージャが生成する)のパスワードに対して, 既存のハニーワード生成アルゴリズムは, それぞれ$\approx 0$ と $\approx \frac{1}{1+n}$ のイデアルに近い偽陽性と偽陰性の率を同時に達成しないことを示す。 第二に、アルゴリズムによって生成されたパスワードを利用するユーザにとって、ハニーワード生成のための最先端の手法は、十分に騙されないハニーワードを生成し、多くの偽陰性をもたらすことを示す。 代わりに、ユーザがこのケースで欺くハニーワードを提供することができるのは、‘textit{same}パスワードジェネレータ’を使用するハニーワード生成アルゴリズムのみである。 しかし、(1)のアカウントパスワードからジェネレータを推測するディフェンダーの能力が攻撃者からジェネレータを推測する能力よりも精度が低い場合、この偽造は再び悪化する可能性がある。 本研究の結果は,ハニーワード研究の現状に注意を喚起するとともに,この分野に新たな課題を提起するものである。

関連論文リスト

• When AI Defeats Password Deception! A Deep Learning Framework to Distinguish Passwords and Honeywords [1.460362586787935]
  Honeywordsは、データ漏洩を検出し、オフライン辞書攻撃を偽装するための、有望な防御メカニズムとして登場した。 本稿では,新しいディープラーニング(DL)ベースのアタックフレームワークであるPassFilterを提案する。 PassFilterは、以前に収集または逆向きに生成されたパスワードとハニーワードのセットでトレーニングされる。
  論文  参考訳（メタデータ） (2024-07-24T03:02:57Z)
• Nudging Users to Change Breached Passwords Using the Protection Motivation Theory [58.87688846800743]
  我々は保護動機理論(PMT)に基づいて、侵入したパスワードの変更を促すナッジを設計する。 本研究は, PMTのセキュリティ研究への応用に寄与し, 漏洩したクレデンシャル通知を改善するための具体的な設計上の意味を提供する。
  論文  参考訳（メタデータ） (2024-05-24T07:51:15Z)
• Provably Secure Disambiguating Neural Linguistic Steganography [66.30965740387047]
  サブワードに基づく言語モデルを使用する際に生じるセグメンテーションの曖昧さ問題は、時にはデコード障害を引き起こす。 そこで我々はSyncPoolという,セグメンテーションのあいまいさ問題に効果的に対処する,セキュアな曖昧さ回避手法を提案する。 SyncPoolは、候補プールのサイズやトークンの分布を変えないため、確実に安全な言語ステガノグラフィー手法に適用できる。
  論文  参考訳（メタデータ） (2024-03-26T09:25:57Z)
• Trenchcoat: Human-Computable Hashing Algorithms for Password Generation [0.5266869303483376]
  平均的なユーザーは90～130のオンラインアカウントを持ち、今年はパスワードの約3倍の1011ドルが使われている。 従来のパスワード生成プロトコルでは、認知的負荷が非常に大きいため、ユーザーはより単純な方法でパスワードを放棄している。 パスワード生成装置として使用するのに適した,人間の計算可能なハッシュ関数について述べる。
  論文  参考訳（メタデータ） (2023-10-19T13:00:16Z)
• PassGPT: Password Modeling and (Guided) Generation with Large Language Models [59.11160990637616]
  パスワード生成のためのパスワードリークをトレーニングした大規模言語モデルであるPassGPTを提案する。 また、任意の制約を満たすパスワードを生成するために、PassGPTサンプリング手順を利用する誘導パスワード生成の概念も導入する。
  論文  参考訳（メタデータ） (2023-06-02T13:49:53Z)
• RiDDLE: Reversible and Diversified De-identification with Latent Encryptor [57.66174700276893]
  本研究は、Reversible and Diversified De-identification with Latent Encryptorの略であるRiDDLEを提示する。 事前に学習したStyleGAN2ジェネレータ上に構築されたRiDDLEは、潜伏空間内の顔のアイデンティティを暗号化して復号する。
  論文  参考訳（メタデータ） (2023-03-09T11:03:52Z)
• On Deep Learning in Password Guessing, a Survey [4.1499725848998965]
  本稿では,ユーザのパスワード構造や組み合わせに関するドメイン知識や仮定を必要としない,深層学習に基づくパスワード推測手法について比較する。 非標的のオフライン攻撃によるパスワード推測におけるIWGANのバリエーションの利用に関する有望な実験的設計を提案する。
  論文  参考訳（メタデータ） (2022-08-22T15:48:35Z)
• Targeted Honeyword Generation with Language Models [5.165256397719443]
  ハニーワードは、パスワード違反を特定するためにデータベースに挿入された架空のパスワードである。 大きな問題は、実際のパスワードと区別が難しいハニーワードの作り方だ。
  論文  参考訳（メタデータ） (2022-08-15T00:06:29Z)
• GNPassGAN: Improved Generative Adversarial Networks For Trawling Offline Password Guessing [5.165256397719443]
  本稿では,深層学習に基づくパスワード推測手法について概説する。 また、GNPassGANも導入している。GNPassGANは、オフライン攻撃をトロールするジェネレーティブな敵ネットワーク上に構築されたパスワード推測ツールだ。 最先端のPassGANモデルと比較して、GNPassGANは88.03%以上のパスワードを推測し、31.69%の重複を発生させることができる。
  論文  参考訳（メタデータ） (2022-08-14T23:51:52Z)
• Short-Term Word-Learning in a Dynamically Changing Environment [63.025297637716534]
  本稿では、単語/フレーズメモリと、このメモリにアクセスして単語やフレーズを正しく認識するためのメカニズムを用いて、エンドツーエンドのASRシステムを補完する方法を示す。 誤報がわずかに増加しただけで, 単語の検出速度が大幅に向上した。
  論文  参考訳（メタデータ） (2022-03-29T10:05:39Z)
• Semantic-Preserving Adversarial Text Attacks [85.32186121859321]
  深層モデルの脆弱性を調べるために, Bigram と Unigram を用いた適応的セマンティック保存最適化法 (BU-SPO) を提案する。 提案手法は,既存手法と比較して最小の単語数を変更することで,攻撃成功率とセマンティックス率を最大化する。
  論文  参考訳（メタデータ） (2021-08-23T09:05:18Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。