論文の概要: Evaluating Argon2 Adoption and Effectiveness in Real-World Software
- arxiv url: http://arxiv.org/abs/2504.17121v1
- Date: Wed, 23 Apr 2025 22:10:57 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-05-02 19:15:53.187325
- Title: Evaluating Argon2 Adoption and Effectiveness in Real-World Software
- Title(参考訳): 実世界のソフトウェアにおけるArgon2の採用と有効性の評価
- Authors: Pascal Tippe, Michael P. Berner,
- Abstract要約: RFCの推奨46MiB構成は、強力なユーザパスワードに対する1/アカウント攻撃予算において、SHA-256と比較して妥協率を42.5%削減する。
しかし、9106の2048 MiBの割り当てはわずか23.3%(1ドル)と17.7%(20ドル)の追加保護に留まり、44.5倍のメモリ要求にもかかわらずリターンが低下している。
- 参考スコア(独自算出の注目度): 0.0
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Modern password hashing remains a critical defense against credential cracking, yet the transition from theoretically secure algorithms to robust real-world implementations remains fraught with challenges. This paper presents a dual analysis of Argon2, the Password Hashing Competition winner, combining attack simulations quantifying how parameter configurations impact guessing costs under realistic budgets, with the first large-scale empirical study of Argon2 adoption across public GitHub software repositories. Our economic model, validated against cryptocurrency mining benchmarks, demonstrates that OWASP's recommended 46 MiB configuration reduces compromise rates by 42.5% compared to SHA-256 at \$1/account attack budgets for strong user passwords. However, memory-hardness exhibits diminishing returns as increasing allocations to RFC 9106's 2048 MiB provides just 23.3% (\$1) and 17.7% (\$20) additional protection despite 44.5 times greater memory demands. Crucially, both configurations fail to mitigate risks from weak passwords, with 96.9-99.8% compromise rates for RockYou-like credentials regardless of algorithm choice. Our repository analysis shows accelerating Argon2 adoption, yet weak configuration practices: 46.6% of deployments use weaker-than-OWASP parameters. Surprisingly, sensitive applications (password managers, encryption tools) show no stronger configurations than general software. Our findings highlight that a secure algorithm alone cannot ensure security, effective parameter guidance and developer education remain essential for realizing Argon2's theoretical advantages.
- Abstract(参考訳): 現代のパスワードハッシュは、クレデンシャル・クラッシングに対する重要な防御手段だが、理論上は安全なアルゴリズムから堅牢な現実世界の実装への移行は、依然として課題に悩まされている。
本稿では,パラメータ設定が現実的な予算下での予測コストに与える影響を定量的に評価する攻撃シミュレーションと,GitHubの公開ソフトウェアリポジトリ全体を対象としたArgon2の採用に関する大規模な実証的研究を組み合わせた,パスワードハッシュコンテストの勝者であるArgon2の二重解析について述べる。
我々の経済モデルは、暗号通貨マイニングのベンチマークに対して検証され、OWASPの推奨46MiB構成は、強力なユーザパスワードに対する1/アカウント攻撃予算でSHA-256と比較して、妥協率を42.5%削減することを示した。
しかし、RFC 9106 の 2048 MiB への割り当ての増加は、メモリ要求の 44.5 倍も大きいにもかかわらず、23.3% (\$1) と 17.7% (\$20) の追加保護を提供する。
重要なことに、どちらの構成も弱いパスワードによるリスクを軽減することができず、アルゴリズムの選択にかかわらず96.9-99.8%がRockYouのような認証の妥協率である。
私たちのリポジトリ分析では、Argon2の採用が加速するが、設定のプラクティスが弱いことが示されています。
驚いたことに、センシティブなアプリケーション(パスワードマネージャ、暗号化ツール)は、一般的なソフトウェアよりも強力な構成を示しません。
この結果から,セキュアなアルゴリズムだけでは,Argon2の理論的優位性を実現する上では,セキュリティ,効果的なパラメータガイダンス,開発者教育が不可欠であることが確認された。
関連論文リスト
- AegisLLM: Scaling Agentic Systems for Self-Reflective Defense in LLM Security [74.22452069013289]
AegisLLMは、敵の攻撃や情報漏洩に対する協調的なマルチエージェント防御である。
テスト時のエージェント推論システムのスケーリングは,モデルの有用性を損なうことなく,ロバスト性を大幅に向上させることを示す。
アンラーニングやジェイルブレイクを含む主要な脅威シナリオに対する総合的な評価は、AegisLLMの有効性を示している。
論文 参考訳(メタデータ) (2025-04-29T17:36:05Z) - SmartBugBert: BERT-Enhanced Vulnerability Detection for Smart Contract Bytecode [0.7018579932647147]
本稿では,BERTに基づくディープラーニングと制御フローグラフ(CFG)解析を組み合わせて,バイトコードから直接脆弱性を検出する新しいアプローチであるSmartBugBertを紹介する。
提案手法は,まずスマートコントラクトバイトコードを最適化されたオペコードシーケンスに分解し,TF-IDFを用いて意味的特徴を抽出し,実行ロジックをキャプチャするために制御フローグラフを構築し,ターゲット分析のために脆弱なCFGフラグメントを分離する。
論文 参考訳(メタデータ) (2025-04-07T12:30:12Z) - ELBA-Bench: An Efficient Learning Backdoor Attacks Benchmark for Large Language Models [55.93380086403591]
生成可能な大規模言語モデルは、バックドアアタックに対して脆弱である。
$textitELBA-Bench$は、パラメータを効率的に微調整することで攻撃者がバックドアを注入できるようにする。
$textitELBA-Bench$は1300以上の実験を提供する。
論文 参考訳(メタデータ) (2025-02-22T12:55:28Z) - WiP: Towards a Secure SECP256K1 for Crypto Wallets: Hardware Architecture and Implementation [0.9899633398596672]
本研究は,サイドチャネルアタック耐性と効率的な資源利用に最適化されたSECP256K1のハードウェアアーキテクチャを提案する。
実装結果から,LUT使用率の平均は,類似の作業に比べて45%低下し,設計の資源効率が向上した。
論文 参考訳(メタデータ) (2024-11-06T13:41:04Z) - DeepSeek-V2: A Strong, Economical, and Efficient Mixture-of-Experts Language Model [118.06260386652778]
We present DeepSeek-V2, a strong Mixture-of-Experts (MoE) language model characterized by economical training and efficient inference。
DeepSeek-V2は、MLA(Multi-head Latent Attention)やDeepSeekMoEといった革新的なアーキテクチャを採用している。
DeepSeek-V2はDeepSeek 67Bと比較して大幅に性能が向上し、トレーニングコストは42.5%削減された。
論文 参考訳(メタデータ) (2024-05-07T15:56:43Z) - Memristor-Based Lightweight Encryption [0.6774275305946261]
次世代のパーソナライズされた医療機器は、ユーザーの受け入れ性を改善するために極端に小型化されている。
利用可能なターゲット技術を使った暗号プリミティブは エネルギー消費で悪名高い
本稿では,40nmのRRAMを用いた1T1R構成によるGIFT暗号の実装を提案する。
論文 参考訳(メタデータ) (2024-03-29T19:30:08Z) - SOCI^+: An Enhanced Toolkit for Secure OutsourcedComputation on Integers [50.608828039206365]
本稿では,SOCIの性能を大幅に向上させるSOCI+を提案する。
SOCI+は、暗号プリミティブとして、高速な暗号化と復号化を備えた(2, 2)ホールドのPaillier暗号システムを採用している。
実験の結果,SOCI+は計算効率が最大5.4倍,通信オーバヘッドが40%少ないことがわかった。
論文 参考訳(メタデータ) (2023-09-27T05:19:32Z) - G$^2$uardFL: Safeguarding Federated Learning Against Backdoor Attacks
through Attributed Client Graph Clustering [116.4277292854053]
Federated Learning (FL)は、データ共有なしで協調的なモデルトレーニングを提供する。
FLはバックドア攻撃に弱いため、有害なモデル重みがシステムの整合性を損なう。
本稿では、悪意のあるクライアントの識別を属性グラフクラスタリング問題として再解釈する保護フレームワークであるG$2$uardFLを提案する。
論文 参考訳(メタデータ) (2023-06-08T07:15:04Z) - Online Adversarial Attacks [57.448101834579624]
我々は、実世界のユースケースで見られる2つの重要な要素を強調し、オンライン敵攻撃問題を定式化する。
まず、オンライン脅威モデルの決定論的変種を厳格に分析する。
このアルゴリズムは、現在の最良の単一しきい値アルゴリズムよりも、$k=2$の競争率を確実に向上させる。
論文 参考訳(メタデータ) (2021-03-02T20:36:04Z) - Reliable evaluation of adversarial robustness with an ensemble of
diverse parameter-free attacks [65.20660287833537]
本稿では,最適段差の大きさと目的関数の問題による障害を克服するPGD攻撃の2つの拡張を提案する。
そして、我々の新しい攻撃と2つの補完的な既存の攻撃を組み合わせることで、パラメータフリーで、計算に手頃な価格で、ユーザに依存しない攻撃のアンサンブルを形成し、敵の堅牢性をテストする。
論文 参考訳(メタデータ) (2020-03-03T18:15:55Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。