論文の概要: SoK: Web Authentication in the Age of End-to-End Encryption
- arxiv url: http://arxiv.org/abs/2406.18226v1
- Date: Wed, 26 Jun 2024 10:23:58 GMT
- ステータス: 処理完了
- システム内更新日: 2024-06-27 13:59:06.896315
- Title: SoK: Web Authentication in the Age of End-to-End Encryption
- Title(参考訳): SoK: エンドツーエンド暗号化時代のWeb認証
- Authors: Jenny Blessing, Daniel Hugenroth, Ross J. Anderson, Alastair R. Beresford,
- Abstract要約: E2EEメッセージングとバックアップサービスは、使用可能な認証に新たな課題をもたらしている。
パスワードなし認証(パスキー)は、パスワードを完全に置き換える有望な候補となっている。
E2EE認証は、ニッチなE2EE愛好家のグループだけでなく、一般大衆にとっても急速に重要になっている。
- 参考スコア(独自算出の注目度): 9.053236170794579
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: The advent of end-to-end encrypted (E2EE) messaging and backup services has brought new challenges for usable authentication. Compared to regular web services, the nature of E2EE implies that the provider cannot recover data for users who have forgotten passwords or lost devices. Therefore, new forms of robustness and recoverability are required, leading to a plethora of solutions ranging from randomly-generated recovery codes to threshold-based social verification. These implications also spread to new forms of authentication and legacy web services: passwordless authentication ("passkeys") has become a promising candidate to replace passwords altogether, but are inherently device-bound. However, users expect that they can login from multiple devices and recover their passwords in case of device loss--prompting providers to sync credentials to cloud storage using E2EE, resulting in the very same authentication challenges of regular E2EE services. Hence, E2EE authentication quickly becomes relevant not only for a niche group of dedicated E2EE enthusiasts but for the general public using the passwordless authentication techniques promoted by their device vendors. In this paper we systematize existing research literature and industry practice relating to security, privacy, usability, and recoverability of E2EE authentication. We investigate authentication and recovery schemes in all widely-used E2EE web services and survey passwordless authentication deployment in the top-200 most popular websites. Finally, we present concrete research directions based on observed gaps between industry deployment and academic literature.
- Abstract(参考訳): エンドツーエンド暗号化(E2EE)メッセージングとバックアップサービスの出現は、使用可能な認証に新たな課題をもたらした。
通常のWebサービスと比較して、E2EEの性質は、パスワードや失われたデバイスを忘れたユーザのためのデータを復元できないことを意味する。
そのため、新たな堅牢性と回復性が必要となり、ランダムに生成されたリカバリコードからしきい値に基づく社会的検証まで、数多くのソリューションが生み出された。
パスワードなし認証("passkeys")は、パスワードを完全に置き換える有望な候補となっているが、本質的にはデバイスバウンドである。
しかし、ユーザーは、複数のデバイスからログインし、デバイスが紛失した場合にパスワードを復元できることを期待している。
したがって、E2EE認証は、専用E2EE愛好家のニッチなグループだけでなく、デバイスベンダーが推進するパスワードレス認証技術を使って一般大衆にとって急速に重要になる。
本稿では,E2EE認証のセキュリティ,プライバシ,ユーザビリティ,回復性に関する既存の研究文献と産業プラクティスを体系化する。
広く利用されているすべてのE2EE Webサービスにおける認証とリカバリの仕組みを調査し,上位200のWebサイトにおけるパスワードレス認証の展開を調査した。
最後に,産業展開と学術文献とのギャップを観測し,具体的な研究の方向性を示す。
関連論文リスト
- Nudging Users to Change Breached Passwords Using the Protection Motivation Theory [58.87688846800743]
我々は保護動機理論(PMT)に基づいて、侵入したパスワードの変更を促すナッジを設計する。
本研究は, PMTのセキュリティ研究への応用に寄与し, 漏洩したクレデンシャル通知を改善するための具体的な設計上の意味を提供する。
論文 参考訳(メタデータ) (2024-05-24T07:51:15Z) - Understanding crypter-as-a-service in a popular underground marketplace [51.328567400947435]
Cryptersは、ターゲットバイナリを変換することで、アンチウイルス(AV)アプリケーションからの検出を回避できるソフトウェアの一部です。
シークレット・アズ・ア・サービスモデルは,検出機構の高度化に対応して人気を博している。
本論文は,シークレット・アズ・ア・サービスに特化したオンライン地下市場に関する最初の研究である。
論文 参考訳(メタデータ) (2024-05-20T08:35:39Z) - Enc2DB: A Hybrid and Adaptive Encrypted Query Processing Framework [47.11111145443189]
本稿では,新しいセキュアデータベースシステムであるEnc2DBを紹介する。
本稿では,マイクロベンチマークテストと自己適応型モードスイッチ戦略を提案し,与えられたクエリに応答する最適な実行パス(暗号やTEE)を選択する。
また、クエリ処理を高速化するために、ネイティブコストモデルやクエリと互換性のある暗号文インデックスを設計、実装する。
論文 参考訳(メタデータ) (2024-04-10T08:11:12Z) - Systematic Solutions to Login and Authentication Security Problems: A Dual-Password Login-Authentication Mechanism [0.0]
認証盗難とリモート攻撃は、ユーザー認証機構に対する最も深刻な脅威である。
ユーザの選択した秘密のログインパスワードを,認証不能なパスワードに変換する,デュアルパスワードのログイン認証機構を設計する。
ログインパスワードの認証可能な機能と認証パスワードのタイプ可能な機能は無効または無効にすることができ、クレデンシャル盗難やリモート攻撃を防止することができる。
論文 参考訳(メタデータ) (2024-04-02T10:05:47Z) - A Novel Protocol Using Captive Portals for FIDO2 Network Authentication [45.84205238554709]
FIDO2CAP: FIDO2 Captive-portal Authentication Protocolを紹介する。
本研究では,FIDO2CAP認証のプロトタイプをモックシナリオで開発する。
この研究は、FIDO2認証に依存する新しい認証パラダイムにネットワーク認証を適用するための最初の体系的なアプローチである。
論文 参考訳(メタデータ) (2024-02-20T09:55:20Z) - A Review of Password-less User Authentication Schemes [0.0]
レビューでは、2004年にパスワードにネイルが配置されて以来提案されてきたパスワードレス認証方式について検討している。
ユーザエクスペリエンス、全体的なセキュリティ、デプロイの容易性に対する影響に基づいて、真にパスワードレスで実用的なスキームを評価します。
論文 参考訳(メタデータ) (2023-12-05T15:57:40Z) - InfoGuard: A Design and Usability Study of User-Controlled Application-Independent Encryption for Privacy-Conscious Users [1.2499537119440245]
何十億ものセキュアメッセージングユーザーがエンドツーエンド暗号化(E2EE)を採用した
ほとんどの通信アプリケーションはE2EEを提供しておらず、アプリケーションサイロは相互運用性を妨げる。
ユーザ間通信におけるE2EEを実現するシステムであるInfoGuardを提案する。
論文 参考訳(メタデータ) (2023-11-01T19:54:01Z) - ROSTAM: A Passwordless Web Single Sign-on Solution Mitigating Server Breaches and Integrating Credential Manager and Federated Identity Systems [0.0]
クレデンシャル・マネジメントとフェデレーション・アイデンティティ・システムを統合することで,ユーザにとって不利で信頼性の高いオンラインエクスペリエンスを提供する,パスワードのない未来を構想する。
この点に関して、ROSTAMは、パスワードのないSSOの後、ユーザが1クリックでアクセスできるすべてのアプリケーションを示すダッシュボードを提供します。
クレデンシャルマネージャのウェブパスワードのセキュリティはマスターパスワードではなくマスターキーで保証されるので、暗号化パスワードはサーバから盗まれたとしても安全である。
論文 参考訳(メタデータ) (2023-10-08T16:41:04Z) - RiDDLE: Reversible and Diversified De-identification with Latent
Encryptor [57.66174700276893]
本研究は、Reversible and Diversified De-identification with Latent Encryptorの略であるRiDDLEを提示する。
事前に学習したStyleGAN2ジェネレータ上に構築されたRiDDLEは、潜伏空間内の顔のアイデンティティを暗号化して復号する。
論文 参考訳(メタデータ) (2023-03-09T11:03:52Z) - Smart Home, security concerns of IoT [91.3755431537592]
IoT(モノのインターネット)は、国内環境において広く普及している。
人々は自宅をスマートホームにリニューアルしているが、インターネットに接続された多くのデバイスを常時オンの環境センサーで所有するというプライバシー上の懸念はいまだに不十分だ。
デフォルトパスワードと弱いパスワード、安価な材料とハードウェア、暗号化されていない通信は、IoTデバイスの主要な脅威と脆弱性として識別される。
論文 参考訳(メタデータ) (2020-07-06T10:36:11Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。