論文の概要: Simple But Not Secure: An Empirical Security Analysis of Two-factor Authentication Systems

• arxiv url: http://arxiv.org/abs/2411.11551v1
• Date: Mon, 18 Nov 2024 13:08:56 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-11-19 14:31:45.336618
• Title: Simple But Not Secure: An Empirical Security Analysis of Two-factor Authentication Systems
• Title（参考訳）: シンプルだが安全ではない: 2要素認証システムの実証的セキュリティ分析
• Authors: Zhi Wang, Xin Yang, Du Chen, Han Gao, Meiqi Tian, Yan Jia, Wanpeng Li,
• Abstract要約: 2FAシステムの脆弱性を検出するための脆弱性評価フレームワークSE2FAを提案する。 我々はTranco Top 10,000リストから407の2FAシステムのセキュリティを分析した。
• 参考スコア（独自算出の注目度）: 9.046883991816571
• License:
• Abstract: To protect users from data breaches and phishing attacks, service providers typically implement two-factor authentication (2FA) to add an extra layer of security against suspicious login attempts. However, since 2FA can sometimes hinder user experience by introducing additional steps, many websites aim to reduce inconvenience by minimizing the frequency of 2FA prompts. One approach to achieve this is by storing the user's ``Remember the Device'' preference in a cookie. As a result, users are only prompted for 2FA when this cookie expires or if they log in from a new device. To understand and improve the security of 2FA systems in real-world settings, we propose SE2FA, a vulnerability evaluation framework designed to detect vulnerabilities in 2FA systems. This framework enables us to analyze the security of 407 2FA systems across popular websites from the Tranco Top 10,000 list. Our analysis and evaluation found three zero-day vulnerabilities on three service providers that could allow an attacker to access a victim's account without possessing the victim's second authentication factor, thereby bypassing 2FA protections entirely. A further investigation found that these vulnerabilities stem from design choices aimed at simplifying 2FA for users but that unintentionally reduce its security effectiveness. We have disclosed these findings to the affected websites and assisted them in mitigating the risks. Based on the insights from this research, we provide practical recommendations for countermeasures to strengthen 2FA security and address these newly identified threats.
• Abstract（参考訳）: データ漏洩やフィッシング攻撃からユーザを保護するために、サービスプロバイダは通常、2要素認証(2FA)を実装して、不審なログインの試みに対するセキュリティ層を追加します。 しかし,多くのウェブサイトでは,2FAプロンプトの頻度を最小化することで,不便さの軽減を図っている。 これを実現する方法のひとつは、ユーザの ``Remember the Device' の好みをクッキーに格納することだ。 その結果、ユーザーはこのクッキーが期限切れになったり、新しいデバイスからログインした場合にのみ2FAに誘導される。 実環境における2FAシステムのセキュリティの理解と改善を目的として,2FAシステムの脆弱性検出を目的とした脆弱性評価フレームワークSE2FAを提案する。 このフレームワークにより、Tranco Top 10,000リストから、人気のあるWebサイトの407の2FAシステムのセキュリティを分析することができます。 分析と評価の結果、3つのサービスプロバイダに3つのゼロデイ脆弱性が発見されました。 さらなる調査では、これらの脆弱性は2FAをシンプルにすることを目的とした設計上の選択に由来するが、意図せずセキュリティの有効性を低下させることが判明した。 被害を受けたWebサイトにこれらの調査結果を公開し,リスク軽減に役立てた。 本研究から得られた知見に基づき、2FAのセキュリティを強化し、新たに特定された脅威に対処するための対策を実践的に推奨する。

関連論文リスト

• Dual-Technique Privacy & Security Analysis for E-Commerce Websites Through Automated and Manual Implementation [2.7039386580759666]
  38.5%のWebサイトがセッション毎に50以上のクッキーをデプロイしており、その多くは不必要または不明瞭な機能として分類された。 手動による評価では、必須の多要素認証や違反通知プロトコルの欠如など、標準的なセキュリティプラクティスにおける重大なギャップが明らかになった。 これらの知見に基づき、プライバシポリシの改善、クッキー利用の透明性の向上、より強力な認証プロトコルの実装を推奨する。
  論文  参考訳（メタデータ） (2024-10-19T03:25:48Z)
• Excavating Vulnerabilities Lurking in Multi-Factor Authentication Protocols: A Systematic Security Analysis [2.729532849571912]
  単一要素認証(SFA)プロトコルは、しばしばサイドチャネルや他の攻撃技術によってバイパスされる。 この問題を軽減するため,近年,MFAプロトコルが広く採用されている。
  論文  参考訳（メタデータ） (2024-07-29T23:37:38Z)
• A Passwordless MFA Utlizing Biometrics, Proximity and Contactless Communication [0.3749861135832073]
  本稿では,ユーザの顔の生体認証をリアルタイムに活用する高度な認証手法を提案する。 BLE-NFC対応Androidデバイス上で,プロトタイプ認証システムを実装した。
  論文  参考訳（メタデータ） (2024-06-13T10:58:25Z)
• Nudging Users to Change Breached Passwords Using the Protection Motivation Theory [58.87688846800743]
  我々は保護動機理論(PMT)に基づいて、侵入したパスワードの変更を促すナッジを設計する。 本研究は, PMTのセキュリティ研究への応用に寄与し, 漏洩したクレデンシャル通知を改善するための具体的な設計上の意味を提供する。
  論文  参考訳（メタデータ） (2024-05-24T07:51:15Z)
• Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
  顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。 最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
  論文  参考訳（メタデータ） (2024-05-21T13:34:23Z)
• Mitigating Fine-tuning based Jailbreak Attack with Backdoor Enhanced Safety Alignment [56.2017039028998]
  言語モデル・アズ・ア・サービス(LM)のファインチューニングは、特にファインチューニングベースのジェイルブレイク攻撃(FJAttack)に対する新たな脅威をもたらす 本稿では,バックドア攻撃の概念と類似性から着想を得たバックドア強化安全アライメント手法を提案する。 我々の総合的な実験は、バックドア強化安全アライメント(Backdoor Enhanced Safety Alignment)を通じて、悪質に微調整されたLSMは、良質な性能を損なうことなく、オリジナルのアライメントモデルと同じような安全性性能を達成することを実証している。
  論文  参考訳（メタデータ） (2024-02-22T21:05:18Z)
• A Novel Protocol Using Captive Portals for FIDO2 Network Authentication [45.84205238554709]
  FIDO2CAP: FIDO2 Captive-portal Authentication Protocolを紹介する。 本研究では,FIDO2CAP認証のプロトタイプをモックシナリオで開発する。 この研究は、FIDO2認証に依存する新しい認証パラダイムにネットワーク認証を適用するための最初の体系的なアプローチである。
  論文  参考訳（メタデータ） (2024-02-20T09:55:20Z)
• Reducing Usefulness of Stolen Credentials in SSO Contexts [0.0]
  マルチファクタ認証(MFA)は、有効な認証情報を使用する攻撃を阻止するのに役立つが、攻撃者は依然として、ユーザをMFAのステップアップ要求を受け入れるように騙してシステムを侵害する。 本稿では,モバイル機器管理よりもユーザデバイスへの侵入性が低いトークンベースの登録アーキテクチャを提案する。
  論文  参考訳（メタデータ） (2024-01-21T21:05:32Z)
• Leveraging Machine Learning for Wi-Fi-based Environmental Continuous Two-Factor Authentication [0.44998333629984877]
  ユーザの入力を機械学習(ML)による決定に置き換える新しい2FAアプローチを提案する。 本システムは,Wi-Fiアクセスポイント(AP)からのビーコンフレーム特性や受信信号強度指標(RSSI)値など,ユーザに関連するユニークな環境特性を利用する。 セキュリティを強化するため,ユーザの2つのデバイス(ログインデバイスとモバイルデバイス)が,アクセスを許可する前に所定の近くに配置されることを義務付ける。
  論文  参考訳（メタデータ） (2024-01-12T14:58:15Z)
• When Authentication Is Not Enough: On the Security of Behavioral-Based Driver Authentication Systems [53.2306792009435]
  我々はランダムフォレストとリカレントニューラルネットワークアーキテクチャに基づく2つの軽量ドライバ認証システムを開発した。 我々は,SMARTCANとGANCANという2つの新しいエスケープアタックを開発することで,これらのシステムに対する攻撃を最初に提案する。 コントリビューションを通じて、これらのシステムを安全に採用する実践者を支援し、車の盗難を軽減し、ドライバーのセキュリティを高める。
  論文  参考訳（メタデータ） (2023-06-09T14:33:26Z)
• Towards Bidirectional Protection in Federated Learning [70.36925233356335]
  F2ED-LEARNINGは、悪意のある集中型サーバとビザンティンの悪意のあるクライアントに対して双方向の防御を提供する。 F2ED-LEARNINGは各シャードの更新を安全に集約し、異なるシャードからの更新に対してFilterL2を起動する。 評価の結果,F2ED-LEARNing は最適あるいは最適に近い性能が得られることがわかった。
  論文  参考訳（メタデータ） (2020-10-02T19:37:02Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。