論文の概要: The Impact of Exposed Passwords on Honeyword Efficacy
- arxiv url: http://arxiv.org/abs/2309.10323v3
- Date: Wed, 6 Mar 2024 01:55:28 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-17 17:10:47.125687
- Title: The Impact of Exposed Passwords on Honeyword Efficacy
- Title(参考訳): 流出したパスワードがハニーワード効果に及ぼす影響
- Authors: Zonghao Huang, Lujo Bauer, Michael K. Reiter,
- Abstract要約: ハニーワード(Honeyword)は、クレデンシャルデータベースに追加可能なデコイパスワードである。
ログインの試みがハニーワードを使用する場合、サイトのクレデンシャルデータベースが漏洩したことを示している。
- 参考スコア(独自算出の注目度): 14.697588929837282
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Honeywords are decoy passwords that can be added to a credential database; if a login attempt uses a honeyword, this indicates that the site's credential database has been leaked. In this paper we explore the basic requirements for honeywords to be effective, in a threat model where the attacker knows passwords for the same users at other sites. First, we show that for user-chosen (vs. algorithmically generated, i.e., by a password manager) passwords, existing honeyword-generation algorithms do not simultaneously achieve false-positive and false-negative rates near their ideals of $\approx 0$ and $\approx \frac{1}{1+n}$, respectively, in this threat model, where $n$ is the number of honeywords per account. Second, we show that for users leveraging algorithmically generated passwords, state-of-the-art methods for honeyword generation will produce honeywords that are not sufficiently deceptive, yielding many false negatives. Instead, we find that only a honeyword-generation algorithm that uses the \textit{same} password generator as the user can provide deceptive honeywords in this case. However, when the defender's ability to infer the generator from the (one) account password is less accurate than the attacker's ability to infer the generator from potentially many, this deception can again wane. Taken together, our results provide a cautionary note for the state of honeyword research and pose new challenges to the field.
- Abstract(参考訳): ハニーワードはクレデンシャルデータベースに追加可能なデコイパスワードであり、ログインの試みがハニーワードを使用する場合、サイトのクレデンシャルデータベースが漏洩したことを示している。
本稿では,攻撃者が他のサイトで同じユーザに対してパスワードを知っている脅威モデルにおいて,ハニーワードの有効性に関する基本的な要件について検討する。
まず, ユーザ長文(vs, パスワードマネージャが生成する)のパスワードに対して, 既存のハニーワード生成アルゴリズムは, それぞれ$\approx 0$ と $\approx \frac{1}{1+n}$ のイデアルに近い偽陽性と偽陰性の率を同時に達成しないことを示す。
第二に、アルゴリズムによって生成されたパスワードを利用するユーザにとって、ハニーワード生成のための最先端の手法は、十分に騙されないハニーワードを生成し、多くの偽陰性をもたらすことを示す。
代わりに、ユーザがこのケースで欺くハニーワードを提供することができるのは、‘textit{same}パスワードジェネレータ’を使用するハニーワード生成アルゴリズムのみである。
しかし、(1)のアカウントパスワードからジェネレータを推測するディフェンダーの能力が攻撃者からジェネレータを推測する能力よりも精度が低い場合、この偽造は再び悪化する可能性がある。
本研究の結果は,ハニーワード研究の現状に注意を喚起するとともに,この分野に新たな課題を提起するものである。
関連論文リスト
- Provably Secure Disambiguating Neural Linguistic Steganography [66.30965740387047]
サブワードに基づく言語モデルを使用する際に生じるセグメンテーションの曖昧さ問題は、時にはデコード障害を引き起こす。
そこで我々はSyncPoolという,セグメンテーションのあいまいさ問題に効果的に対処する,セキュアな曖昧さ回避手法を提案する。
SyncPoolは、候補プールのサイズやトークンの分布を変えないため、確実に安全な言語ステガノグラフィー手法に適用できる。
論文 参考訳(メタデータ) (2024-03-26T09:25:57Z) - Search-based Ordered Password Generation of Autoregressive Neural Networks [0.0]
GPTに基づくパスワード推測モデルであるSOPGesGPTを構築し,SOPGを用いてパスワードを生成する。
最も影響力のあるモデルであるOMEN、FLA、PassGAN、VAEPassと比較すると、SOPGesGPTは有効率とカバーレートの両方においてはるかに優れている。
論文 参考訳(メタデータ) (2024-03-15T01:30:38Z) - Trenchcoat: Human-Computable Hashing Algorithms for Password Generation [0.5266869303483376]
平均的なユーザーは90~130のオンラインアカウントを持ち、今年はパスワードの約3倍の1011ドルが使われている。
従来のパスワード生成プロトコルでは、認知的負荷が非常に大きいため、ユーザーはより単純な方法でパスワードを放棄している。
パスワード生成装置として使用するのに適した,人間の計算可能なハッシュ関数について述べる。
論文 参考訳(メタデータ) (2023-10-19T13:00:16Z) - PassGPT: Password Modeling and (Guided) Generation with Large Language
Models [59.11160990637616]
パスワード生成のためのパスワードリークをトレーニングした大規模言語モデルであるPassGPTを提案する。
また、任意の制約を満たすパスワードを生成するために、PassGPTサンプリング手順を利用する誘導パスワード生成の概念も導入する。
論文 参考訳(メタデータ) (2023-06-02T13:49:53Z) - RiDDLE: Reversible and Diversified De-identification with Latent
Encryptor [57.66174700276893]
本研究は、Reversible and Diversified De-identification with Latent Encryptorの略であるRiDDLEを提示する。
事前に学習したStyleGAN2ジェネレータ上に構築されたRiDDLEは、潜伏空間内の顔のアイデンティティを暗号化して復号する。
論文 参考訳(メタデータ) (2023-03-09T11:03:52Z) - On Deep Learning in Password Guessing, a Survey [4.1499725848998965]
本稿では,ユーザのパスワード構造や組み合わせに関するドメイン知識や仮定を必要としない,深層学習に基づくパスワード推測手法について比較する。
非標的のオフライン攻撃によるパスワード推測におけるIWGANのバリエーションの利用に関する有望な実験的設計を提案する。
論文 参考訳(メタデータ) (2022-08-22T15:48:35Z) - Targeted Honeyword Generation with Language Models [5.165256397719443]
ハニーワードは、パスワード違反を特定するためにデータベースに挿入された架空のパスワードである。
大きな問題は、実際のパスワードと区別が難しいハニーワードの作り方だ。
論文 参考訳(メタデータ) (2022-08-15T00:06:29Z) - GNPassGAN: Improved Generative Adversarial Networks For Trawling Offline
Password Guessing [5.165256397719443]
本稿では,深層学習に基づくパスワード推測手法について概説する。
また、GNPassGANも導入している。GNPassGANは、オフライン攻撃をトロールするジェネレーティブな敵ネットワーク上に構築されたパスワード推測ツールだ。
最先端のPassGANモデルと比較して、GNPassGANは88.03%以上のパスワードを推測し、31.69%の重複を発生させることができる。
論文 参考訳(メタデータ) (2022-08-14T23:51:52Z) - Short-Term Word-Learning in a Dynamically Changing Environment [63.025297637716534]
本稿では、単語/フレーズメモリと、このメモリにアクセスして単語やフレーズを正しく認識するためのメカニズムを用いて、エンドツーエンドのASRシステムを補完する方法を示す。
誤報がわずかに増加しただけで, 単語の検出速度が大幅に向上した。
論文 参考訳(メタデータ) (2022-03-29T10:05:39Z) - Semantic-Preserving Adversarial Text Attacks [85.32186121859321]
深層モデルの脆弱性を調べるために, Bigram と Unigram を用いた適応的セマンティック保存最適化法 (BU-SPO) を提案する。
提案手法は,既存手法と比較して最小の単語数を変更することで,攻撃成功率とセマンティックス率を最大化する。
論文 参考訳(メタデータ) (2021-08-23T09:05:18Z) - Backdoor Attack against Speaker Verification [86.43395230456339]
学習データを汚染することにより,話者検証モデルに隠れたバックドアを注入できることを示す。
また,既存のバックドア攻撃が話者認証攻撃に直接適用できないことも実証した。
論文 参考訳(メタデータ) (2020-10-22T11:10:08Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。