論文の概要: Passwords Are Meant to Be Secret: A Practical Secure Password Entry Channel for Web Browsers

• arxiv url: http://arxiv.org/abs/2402.06159v1
• Date: Fri, 9 Feb 2024 03:21:14 GMT
• ステータス: 処理完了
• システム内更新日: 2024-03-25 11:58:26.279586
• Title: Passwords Are Meant to Be Secret: A Practical Secure Password Entry Channel for Web Browsers
• Title（参考訳）: パスワードは秘密になる:Webブラウザの安全なパスワード入力チャネル
• Authors: Anuj Gautam, Tarun Kumar Yadav, Kent Seamons, Scott Ruoti,
• Abstract要約: 悪質なクライアントサイドスクリプトとブラウザ拡張機能は、マネージャによってWebページにオートフィルされた後、パスワードを盗むことができる。 本稿では,パスワードマネージャがユーザ動作の変更を必要とせず,自動記入証明書の盗難を防止する上でどのような役割を果たせるかを検討する。
• 参考スコア（独自算出の注目度）: 7.049738935364298
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Password-based authentication faces various security and usability issues. Password managers help alleviate some of these issues by enabling users to manage their passwords effectively. However, malicious client-side scripts and browser extensions can steal passwords after they have been autofilled by the manager into the web page. In this paper, we explore what role the password manager can take in preventing the theft of autofilled credentials without requiring a change to user behavior. To this end, we identify a threat model for password exfiltration and then use this threat model to explore the design space for secure password entry implemented using a password manager. We identify five potential designs that address this issue, each with varying security and deployability tradeoffs. Our analysis shows the design that best balances security and usability is for the manager to autofill a fake password and then rely on the browser to replace the fake password with the actual password immediately before the web request is handed over to the operating system to be transmitted over the network. This removes the ability for malicious client-side scripts or browser extensions to access and exfiltrate the real password. We implement our design in the Firefox browser and conduct experiments, which show that it successfully thwarts malicious scripts and extensions on 97\% of the Alexa top 1000 websites, while also maintaining the capability to revert to default behavior on the remaining websites, avoiding functionality regressions. Most importantly, this design is transparent to users, requiring no change to user behavior.
• Abstract（参考訳）: パスワードベースの認証は、様々なセキュリティとユーザビリティの問題に直面している。 パスワードマネージャは、ユーザーがパスワードを効果的に管理できるようにすることで、これらの問題の一部を緩和するのに役立つ。 しかし、悪意のあるクライアントサイドスクリプトやブラウザ拡張機能は、管理者によってWebページにオートフィルされた後にパスワードを盗むことができる。 本稿では,パスワードマネージャがユーザ動作の変更を必要とせずに,自動記入証明書の盗難を防止する上で,どのような役割を果たせるかを検討する。 この目的のために,パスワード抽出の脅威モデルを特定し,この脅威モデルを用いてパスワードマネージャを用いて実装された安全なパスワード入力のための設計空間を探索する。 この問題に対処する5つの潜在的な設計を特定します。 我々の分析では、セキュリティとユーザビリティのバランスの最も良い設計は、管理者が偽パスワードをオートフィルし、Webリクエストがネットワーク経由で送信されるオペレーティングシステムに渡される直前に、偽パスワードを実際のパスワードに置き換えるためにブラウザに依存することである。 これにより、悪意のあるクライアントサイドスクリプトやブラウザ拡張機能が実際のパスワードにアクセスし、流出する機能を取り除くことができる。 私たちはFirefoxブラウザに設計を実装し、Alexaのトップ1000のWebサイトの97\%で悪意のあるスクリプトやエクステンションを回避し、残りのWebサイト上でデフォルトの動作に戻る機能を維持しながら、機能のレグレッションを回避したことを実証した実験を行っています。 最も重要なことは、このデザインがユーザにとって透過的であり、ユーザの振る舞いを変える必要はないことだ。

関連論文リスト

• A Large-Scale Survey of Password Entry Practices on Non-Desktop Devices [2.8698289487200856]
  パスワードマネージャを使わずにデバイスにパスワードを入力することは、よくあることであり、大きなユーザビリティの課題が伴う。 これらの課題により、ユーザーはパスワードを弱め、入力の容易さを高めることができる。 本稿は、今後の研究がこれらの課題にどう対処できるかを議論し、ユーザーが生成されたパスワードを採用することを奨励するものである。
  論文  参考訳（メタデータ） (2024-09-04T19:28:36Z)
• Exploiting Leakage in Password Managers via Injection Attacks [16.120271337898235]
  本研究では,パスワードマネージャに対するインジェクション攻撃について検討する。 この設定では、敵は自身のアプリケーションクライアントを制御し、例えば認証情報を共有することで、選択したペイロードを被害者のクライアントに"注入"するために使用する。
  論文  参考訳（メタデータ） (2024-08-13T17:45:12Z)
• The Emperor is Now Clothed: A Secure Governance Framework for Web User Authentication through Password Managers [0.9599644507730105]
  パスワードマネージャとWebアプリケーション間のインタラクションを促進する既存のアプローチは、適切な機能を提供し、重要な攻撃に対する緩和戦略を提供していない。 本稿では,パスワードマネージャとWebアプリケーション間のインタラクションを仲介するブラウザベースのガバナンスフレームワークであるBerytusを提案する。
  論文  参考訳（メタデータ） (2024-07-09T19:49:49Z)
• Nudging Users to Change Breached Passwords Using the Protection Motivation Theory [58.87688846800743]
  我々は保護動機理論(PMT)に基づいて、侵入したパスワードの変更を促すナッジを設計する。 本研究は, PMTのセキュリティ研究への応用に寄与し, 漏洩したクレデンシャル通知を改善するための具体的な設計上の意味を提供する。
  論文  参考訳（メタデータ） (2024-05-24T07:51:15Z)
• Not All Prompts Are Secure: A Switchable Backdoor Attack Against Pre-trained Vision Transformers [51.0477382050976]
  この作業でスイッチトークンと呼ばれる追加のプロンプトトークンは、バックドアモードをオンにすることができ、良心的なモデルをバックドアモードに変換することができる。 事前訓練されたモデルを攻撃するため、SWARMと呼ばれる攻撃はトリガを学習し、スイッチトークンを含むトークンをプロンプトする。 多様な視覚認識タスクの実験は、切り替え可能なバックドア攻撃の成功を確認し、95%以上の攻撃成功率を達成した。
  論文  参考訳（メタデータ） (2024-05-17T08:19:48Z)
• Systematic Solutions to Login and Authentication Security Problems: A Dual-Password Login-Authentication Mechanism [0.0]
  認証盗難とリモート攻撃は、ユーザー認証機構に対する最も深刻な脅威である。 ユーザの選択した秘密のログインパスワードを,認証不能なパスワードに変換する,デュアルパスワードのログイン認証機構を設計する。 ログインパスワードの認証可能な機能と認証パスワードのタイプ可能な機能は無効または無効にすることができ、クレデンシャル盗難やリモート攻撃を防止することができる。
  論文  参考訳（メタデータ） (2024-04-02T10:05:47Z)
• ROSTAM: A Passwordless Web Single Sign-on Solution Mitigating Server Breaches and Integrating Credential Manager and Federated Identity Systems [0.0]
  クレデンシャル・マネジメントとフェデレーション・アイデンティティ・システムを統合することで,ユーザにとって不利で信頼性の高いオンラインエクスペリエンスを提供する,パスワードのない未来を構想する。 この点に関して、ROSTAMは、パスワードのないSSOの後、ユーザが1クリックでアクセスできるすべてのアプリケーションを示すダッシュボードを提供します。 クレデンシャルマネージャのウェブパスワードのセキュリティはマスターパスワードではなくマスターキーで保証されるので、暗号化パスワードはサーバから盗まれたとしても安全である。
  論文  参考訳（メタデータ） (2023-10-08T16:41:04Z)
• PassGPT: Password Modeling and (Guided) Generation with Large Language Models [59.11160990637616]
  パスワード生成のためのパスワードリークをトレーニングした大規模言語モデルであるPassGPTを提案する。 また、任意の制約を満たすパスワードを生成するために、PassGPTサンプリング手順を利用する誘導パスワード生成の概念も導入する。
  論文  参考訳（メタデータ） (2023-06-02T13:49:53Z)
• RiDDLE: Reversible and Diversified De-identification with Latent Encryptor [57.66174700276893]
  本研究は、Reversible and Diversified De-identification with Latent Encryptorの略であるRiDDLEを提示する。 事前に学習したStyleGAN2ジェネレータ上に構築されたRiDDLEは、潜伏空間内の顔のアイデンティティを暗号化して復号する。
  論文  参考訳（メタデータ） (2023-03-09T11:03:52Z)
• Backdoor Attack against Speaker Verification [86.43395230456339]
  学習データを汚染することにより,話者検証モデルに隠れたバックドアを注入できることを示す。 また,既存のバックドア攻撃が話者認証攻撃に直接適用できないことも実証した。
  論文  参考訳（メタデータ） (2020-10-22T11:10:08Z)
• Skeptic: Automatic, Justified and Privacy-Preserving Password Composition Policy Selection [44.040106718326605]
  パスワード保護システムに強制するパスワード構成ポリシーの選択は、重要なセキュリティ上の決定である。 実際には、この選択は厳密で正当化できるものではなく、システム管理者は直感だけでパスワード構成ポリシーを選択する傾向にある。 本研究では,大量の実世界のパスワードデータから構築されたパスワード確率分布を推定する手法を提案する。
  論文  参考訳（メタデータ） (2020-07-07T22:12:13Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。