論文の概要: Keep your memory dump shut: Unveiling data leaks in password managers
- arxiv url: http://arxiv.org/abs/2404.00423v1
- Date: Sat, 30 Mar 2024 17:03:13 GMT
- ステータス: 処理完了
- システム内更新日: 2024-04-04 03:49:50.858410
- Title: Keep your memory dump shut: Unveiling data leaks in password managers
- Title(参考訳): メモリダンプを閉じ続ける: パスワードマネージャーにデータ漏洩を暴露する
- Authors: Efstratios Chatzoglou, Vyron Kampourakis, Zisis Tsiatsikas, Georgios Karopoulos, Georgios Kambourakis,
- Abstract要約: この研究は、2ダースのパスワードマネージャ、12のデスクトップアプリケーション、12のブラウザベースのアプリケーションが、秘密の認証情報の秘密性を効果的に保護する能力を評価する。
これらのアプリケーションにはセンシティブな性質があるにもかかわらず、すべてのシナリオにおいて、3つのデスクトップPMアプリケーションと2つのブラウザプラグインだけがシステムメモリにパスワードを格納していないことを示す。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Password management has long been a persistently challenging task. This led to the introduction of password management software, which has been around for at least 25 years in various forms, including desktop and browser-based applications. This work assesses the ability of two dozen password managers, 12 desktop applications, and 12 browser-plugins, to effectively protect the confidentiality of secret credentials in six representative scenarios. Our analysis focuses on the period during which a Password Manager (PM) resides in the RAM. Despite the sensitive nature of these applications, our results show that across all scenarios, only three desktop PM applications and two browser plugins do not store plaintext passwords in the system memory. Oddly enough, at the time of writing, only two vendors recognized the exploit as a vulnerability, reserving CVE-2023-23349, while the rest chose to disregard or underrate the issue.
- Abstract(参考訳): パスワード管理は長い間、永続的に困難なタスクでした。
これによってパスワード管理ソフトウェアが登場し、デスクトップやブラウザベースのアプリケーションなど、様々な形態で少なくとも25年間使われてきた。
この研究は、2ダースのパスワードマネージャ、12のデスクトップアプリケーション、12のブラウザプラグインの能力を評価し、6つの代表的なシナリオにおける秘密認証の秘密性を効果的に保護する。
我々の分析は、Password Manager(PM)がRAMに存在する期間に焦点を当てている。
これらのアプリケーションにはセンシティブな性質があるにもかかわらず、すべてのシナリオにおいて、3つのデスクトップPMアプリケーションと2つのブラウザプラグインだけがシステムメモリに平文パスワードを格納していないことを示す。
CVE-2023-23349を保護し、残りのベンダーは問題を無視するか、過小評価するかを選択した。
関連論文リスト
- RelayAttention for Efficient Large Language Model Serving with Long
System Prompts [65.00227938792064]
本稿では,長いシステムプロンプトを含むLCMサービスの効率を向上させることを目的とする。
これらのシステムプロンプトの処理には、既存の因果注意計算アルゴリズムにおいて、冗長なメモリアクセスが必要となる。
本稿では,DRAMから入力トークンのバッチに対して,これらの隠れ状態を正確に1回だけ読み取ることのできるアテンションアルゴリズムRelayAttentionを提案する。
論文 参考訳(メタデータ) (2024-02-22T18:58:28Z) - Passwords Are Meant to Be Secret: A Practical Secure Password Entry Channel for Web Browsers [7.049738935364298]
悪質なクライアントサイドスクリプトとブラウザ拡張機能は、マネージャによってWebページにオートフィルされた後、パスワードを盗むことができる。
本稿では,パスワードマネージャがユーザ動作の変更を必要とせず,自動記入証明書の盗難を防止する上でどのような役割を果たせるかを検討する。
論文 参考訳(メタデータ) (2024-02-09T03:21:14Z) - MemGPT: Towards LLMs as Operating Systems [50.02623936965231]
大規模言語モデル(LLM)はAIに革命をもたらしたが、限られたコンテキストウィンドウによって制約されている。
従来のオペレーティングシステムにおける階層型メモリシステムからのインスピレーションを引き出す技術である仮想コンテキスト管理を提案する。
私たちはMemGPTコードと実験のためのデータをhttps://memgpt.ai.comでリリースします。
論文 参考訳(メタデータ) (2023-10-12T17:51:32Z) - ROSTAM: A Passwordless Web Single Sign-on Solution Mitigating Server Breaches and Integrating Credential Manager and Federated Identity Systems [0.0]
クレデンシャル・マネジメントとフェデレーション・アイデンティティ・システムを統合することで,ユーザにとって不利で信頼性の高いオンラインエクスペリエンスを提供する,パスワードのない未来を構想する。
この点に関して、ROSTAMは、パスワードのないSSOの後、ユーザが1クリックでアクセスできるすべてのアプリケーションを示すダッシュボードを提供します。
クレデンシャルマネージャのウェブパスワードのセキュリティはマスターパスワードではなくマスターキーで保証されるので、暗号化パスワードはサーバから盗まれたとしても安全である。
論文 参考訳(メタデータ) (2023-10-08T16:41:04Z) - PassViz: A Visualisation System for Analysing Leaked Passwords [2.2530496464901106]
PassVizは、漏洩したパスワードを2次元空間で視覚化し分析するためのコマンドラインツールである。
本稿では、PassVizを用いて、漏洩したパスワードのさまざまな側面を視覚的に分析し、これまで知られていなかったパスワードパターンの発見を容易にする方法を示す。
論文 参考訳(メタデータ) (2023-09-22T16:06:26Z) - Tales from the Git: Automating the detection of secrets on code and
assessing developers' passwords choices [8.086010366384247]
これは、異なるプログラミング言語とコンテキストにわたるパスワード選択における開発者の特性を調査する最初の研究である。
デベロッパーは、公開リポジトリのコードを不注意にリークしたかもしれないが、われわれの調査結果は、より安全なパスワードを使う傾向があることを示している。
論文 参考訳(メタデータ) (2023-07-03T09:44:10Z) - Not what you've signed up for: Compromising Real-World LLM-Integrated
Applications with Indirect Prompt Injection [64.67495502772866]
大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。
本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。
我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
論文 参考訳(メタデータ) (2023-02-23T17:14:38Z) - Recurrent Dynamic Embedding for Video Object Segmentation [54.52527157232795]
一定サイズのメモリバンクを構築するためにRDE(Recurrent Dynamic Embedding)を提案する。
本稿では, SAM を長時間の動画でより堅牢にするため, トレーニング段階での無バイアス誘導損失を提案する。
また、メモリバンクの異なる品質のマスクの埋め込みをネットワークが修復できるように、新たな自己補正戦略を設計する。
論文 参考訳(メタデータ) (2022-05-08T02:24:43Z) - Analysis of Longitudinal Changes in Privacy Behavior of Android
Applications [79.71330613821037]
本稿では,プライバシに関して,Androidアプリが時間とともにどのように変化してきたかを検討する。
HTTPSの採用、アプリが他のインストール済みアプリのデバイスをスキャンするかどうか、プライバシに敏感なデータに対するパーミッションの使用、ユニークな識別子の使用について検討する。
アプリがアップデートを受け続けるにつれて、プライバシ関連の振る舞いは時間とともに改善され、アプリによって使用されるサードパーティライブラリが、プライバシに関するより多くの問題に責任を負っていることが分かっています。
論文 参考訳(メタデータ) (2021-12-28T16:21:31Z) - (How) Do people change their passwords after a breach? [9.750563575752956]
新しいパスワードは、古いパスワードよりも平均1.3倍強くなった。
新しいパスワードは参加者の他のパスワードに似ていた。
結果は、より厳格なパスワード変更要求の必要性を強調している。
論文 参考訳(メタデータ) (2020-10-19T20:44:25Z) - Lost in Disclosure: On The Inference of Password Composition Policies [43.17794589897313]
パスワード構成ポリシーがシステム上でのユーザ・朝鮮語パスワードの分布にどのように影響するかを検討する。
より信頼性の高い結果を生み出すシンプルなアプローチを提案する。
本稿では,この手法を実装したpol-inferを提案する。
論文 参考訳(メタデータ) (2020-03-12T15:27:00Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。