論文の概要: Keep your memory dump shut: Unveiling data leaks in password managers

• arxiv url: http://arxiv.org/abs/2404.00423v1
• Date: Sat, 30 Mar 2024 17:03:13 GMT
• ステータス: 処理完了
• システム内更新日: 2024-04-04 03:49:50.858410
• Title: Keep your memory dump shut: Unveiling data leaks in password managers
• Title（参考訳）: メモリダンプを閉じ続ける: パスワードマネージャーにデータ漏洩を暴露する
• Authors: Efstratios Chatzoglou, Vyron Kampourakis, Zisis Tsiatsikas, Georgios Karopoulos, Georgios Kambourakis,
• Abstract要約: この研究は、2ダースのパスワードマネージャ、12のデスクトップアプリケーション、12のブラウザベースのアプリケーションが、秘密の認証情報の秘密性を効果的に保護する能力を評価する。 これらのアプリケーションにはセンシティブな性質があるにもかかわらず、すべてのシナリオにおいて、3つのデスクトップPMアプリケーションと2つのブラウザプラグインだけがシステムメモリにパスワードを格納していないことを示す。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Password management has long been a persistently challenging task. This led to the introduction of password management software, which has been around for at least 25 years in various forms, including desktop and browser-based applications. This work assesses the ability of two dozen password managers, 12 desktop applications, and 12 browser-plugins, to effectively protect the confidentiality of secret credentials in six representative scenarios. Our analysis focuses on the period during which a Password Manager (PM) resides in the RAM. Despite the sensitive nature of these applications, our results show that across all scenarios, only three desktop PM applications and two browser plugins do not store plaintext passwords in the system memory. Oddly enough, at the time of writing, only two vendors recognized the exploit as a vulnerability, reserving CVE-2023-23349, while the rest chose to disregard or underrate the issue.
• Abstract（参考訳）: パスワード管理は長い間、永続的に困難なタスクでした。 これによってパスワード管理ソフトウェアが登場し、デスクトップやブラウザベースのアプリケーションなど、様々な形態で少なくとも25年間使われてきた。 この研究は、2ダースのパスワードマネージャ、12のデスクトップアプリケーション、12のブラウザプラグインの能力を評価し、6つの代表的なシナリオにおける秘密認証の秘密性を効果的に保護する。 我々の分析は、Password Manager(PM)がRAMに存在する期間に焦点を当てている。 これらのアプリケーションにはセンシティブな性質があるにもかかわらず、すべてのシナリオにおいて、3つのデスクトップPMアプリケーションと2つのブラウザプラグインだけがシステムメモリに平文パスワードを格納していないことを示す。 CVE-2023-23349を保護し、残りのベンダーは問題を無視するか、過小評価するかを選択した。

関連論文リスト

• A Large-Scale Survey of Password Entry Practices on Non-Desktop Devices [2.8698289487200856]
  パスワードマネージャを使わずにデバイスにパスワードを入力することは、よくあることであり、大きなユーザビリティの課題が伴う。 これらの課題により、ユーザーはパスワードを弱め、入力の容易さを高めることができる。 本稿は、今後の研究がこれらの課題にどう対処できるかを議論し、ユーザーが生成されたパスワードを採用することを奨励するものである。
  論文  参考訳（メタデータ） (2024-09-04T19:28:36Z)
• Exploiting Leakage in Password Managers via Injection Attacks [16.120271337898235]
  本研究では,パスワードマネージャに対するインジェクション攻撃について検討する。 この設定では、敵は自身のアプリケーションクライアントを制御し、例えば認証情報を共有することで、選択したペイロードを被害者のクライアントに"注入"するために使用する。
  論文  参考訳（メタデータ） (2024-08-13T17:45:12Z)
• Dataset and Lessons Learned from the 2024 SaTML LLM Capture-the-Flag Competition [64.03517222829902]
  大規模言語モデルシステムは、悪意あるメッセージから重要なセキュリティリスクに直面している。 この問題を調査するため、IEEE SaTML 2024でキャプチャー・ザ・フラッグ・コンペティションを開催した。 このレポートは、競争の主な洞察を要約している。
  論文  参考訳（メタデータ） (2024-06-12T07:27:28Z)
• Nudging Users to Change Breached Passwords Using the Protection Motivation Theory [58.87688846800743]
  我々は保護動機理論(PMT)に基づいて、侵入したパスワードの変更を促すナッジを設計する。 本研究は, PMTのセキュリティ研究への応用に寄与し, 漏洩したクレデンシャル通知を改善するための具体的な設計上の意味を提供する。
  論文  参考訳（メタデータ） (2024-05-24T07:51:15Z)
• Passwords Are Meant to Be Secret: A Practical Secure Password Entry Channel for Web Browsers [7.049738935364298]
  悪質なクライアントサイドスクリプトとブラウザ拡張機能は、マネージャによってWebページにオートフィルされた後、パスワードを盗むことができる。 本稿では,パスワードマネージャがユーザ動作の変更を必要とせず,自動記入証明書の盗難を防止する上でどのような役割を果たせるかを検討する。
  論文  参考訳（メタデータ） (2024-02-09T03:21:14Z)
• MemGPT: Towards LLMs as Operating Systems [50.02623936965231]
  大規模言語モデル(LLM)はAIに革命をもたらしたが、限られたコンテキストウィンドウによって制約されている。 従来のオペレーティングシステムにおける階層型メモリシステムからのインスピレーションを引き出す技術である仮想コンテキスト管理を提案する。 私たちはMemGPTコードと実験のためのデータをhttps://memgpt.ai.comでリリースします。
  論文  参考訳（メタデータ） (2023-10-12T17:51:32Z)
• ROSTAM: A Passwordless Web Single Sign-on Solution Mitigating Server Breaches and Integrating Credential Manager and Federated Identity Systems [0.0]
  クレデンシャル・マネジメントとフェデレーション・アイデンティティ・システムを統合することで,ユーザにとって不利で信頼性の高いオンラインエクスペリエンスを提供する,パスワードのない未来を構想する。 この点に関して、ROSTAMは、パスワードのないSSOの後、ユーザが1クリックでアクセスできるすべてのアプリケーションを示すダッシュボードを提供します。 クレデンシャルマネージャのウェブパスワードのセキュリティはマスターパスワードではなくマスターキーで保証されるので、暗号化パスワードはサーバから盗まれたとしても安全である。
  論文  参考訳（メタデータ） (2023-10-08T16:41:04Z)
• Tales from the Git: Automating the detection of secrets on code and assessing developers' passwords choices [8.086010366384247]
  これは、異なるプログラミング言語とコンテキストにわたるパスワード選択における開発者の特性を調査する最初の研究である。 デベロッパーは、公開リポジトリのコードを不注意にリークしたかもしれないが、われわれの調査結果は、より安全なパスワードを使う傾向があることを示している。
  論文  参考訳（メタデータ） (2023-07-03T09:44:10Z)
• Recurrent Dynamic Embedding for Video Object Segmentation [54.52527157232795]
  一定サイズのメモリバンクを構築するためにRDE(Recurrent Dynamic Embedding)を提案する。 本稿では, SAM を長時間の動画でより堅牢にするため, トレーニング段階での無バイアス誘導損失を提案する。 また、メモリバンクの異なる品質のマスクの埋め込みをネットワークが修復できるように、新たな自己補正戦略を設計する。
  論文  参考訳（メタデータ） (2022-05-08T02:24:43Z)
• Analysis of Longitudinal Changes in Privacy Behavior of Android Applications [79.71330613821037]
  本稿では,プライバシに関して,Androidアプリが時間とともにどのように変化してきたかを検討する。 HTTPSの採用、アプリが他のインストール済みアプリのデバイスをスキャンするかどうか、プライバシに敏感なデータに対するパーミッションの使用、ユニークな識別子の使用について検討する。 アプリがアップデートを受け続けるにつれて、プライバシ関連の振る舞いは時間とともに改善され、アプリによって使用されるサードパーティライブラリが、プライバシに関するより多くの問題に責任を負っていることが分かっています。
  論文  参考訳（メタデータ） (2021-12-28T16:21:31Z)
• Lost in Disclosure: On The Inference of Password Composition Policies [43.17794589897313]
  パスワード構成ポリシーがシステム上でのユーザ・朝鮮語パスワードの分布にどのように影響するかを検討する。 より信頼性の高い結果を生み出すシンプルなアプローチを提案する。 本稿では,この手法を実装したpol-inferを提案する。
  論文  参考訳（メタデータ） (2020-03-12T15:27:00Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。