論文の概要: On the Account Security Risks Posed by Password Strength Meters
- arxiv url: http://arxiv.org/abs/2505.08292v1
- Date: Tue, 13 May 2025 07:15:17 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-05-14 20:57:54.46582
- Title: On the Account Security Risks Posed by Password Strength Meters
- Title(参考訳): パスワード強度計によるアカウントセキュリティリスクについて
- Authors: Ming Xu, Weili Han, Jitao Yu, Jing Liu, Xinyi Zhang, Yun Lin, Jin Song Dong,
- Abstract要約: パスワード強度計(PSM)は、パスワード強度を測定するためにウェブサイトで広く使われており、ユーザーがより強力なパスワードを作成することを奨励している。
我々は11個のPSMを分析し、5つのデータ駆動メーターが、トレーニングされたパスワードを露出するメンバシップ推論攻撃に弱いことを発見した。
我々は、このメーターを使用してウェブサイト上のアカウントを不正に処理する際、巧妙な攻撃者が使用済みパスワードをフィルタリングできる新しいメーター認識攻撃を開発する。
- 参考スコア(独自算出の注目度): 19.190972978013736
- License: http://creativecommons.org/licenses/by-nc-sa/4.0/
- Abstract: Password strength meters (PSMs) have been widely used by websites to gauge password strength, encouraging users to create stronger passwords. Popular data-driven PSMs, e.g., based on Markov, Probabilistic Context-free Grammar (PCFG) and neural networks, alarm strength based on a model learned from real passwords. Despite their proven effectiveness, the secure utility that arises from the leakage of trained passwords remains largely overlooked. To address this gap, we analyze 11 PSMs and find that 5 data-driven meters are vulnerable to membership inference attacks that expose their trained passwords, and seriously, 3 rule-based meters openly disclose their blocked passwords. We specifically design a PSM privacy leakage evaluation approach, and uncover that a series of general data-driven meters are vulnerable to leaking between 10^4 to 10^5 trained passwords, with the PCFG-based models being more vulnerable than other counterparts; furthermore, we aid in deriving insights that the inherent utility-privacy tradeoff is not as severe as previously thought. To further exploit the risks, we develop novel meter-aware attacks when a clever attacker can filter the used passwords during compromising accounts on websites using the meter, and experimentally show that attackers targeting websites that deployed the popular Zxcvbn meter can compromise an additional 5.84% user accounts within 10 attempts, demonstrating the urgent need for privacy-preserving PSMs that protect the confidentiality of the meter's used passwords. Finally, we sketch some counter-measures to mitigate these threats.
- Abstract(参考訳): パスワード強度計(PSM)は、パスワード強度を測定するためにウェブサイトで広く使われており、ユーザーがより強力なパスワードを作成することを奨励している。
Markov、PCFG(Probabilistic Context-free Grammar)、ニューラルネットワークに基づく一般的なデータ駆動型PSMは、実際のパスワードから学んだモデルに基づいてアラーム強度を警告する。
証明された有効性にもかかわらず、訓練されたパスワードの漏洩から生じる安全なユーティリティは、ほとんど見過ごされ続けている。
このギャップに対処するため、11個のPSMを分析し、5つのデータ駆動型メーターが、トレーニングされたパスワードを暴露するメンバシップ推論攻撃に弱いことを発見し、3つのルールベースのメーターが、ブロックされたパスワードを公開している。
PSMプライバシリーク評価アプローチを特に設計し,PCFGベースのモデルでは,10^4から10^5のトレーニング済みパスワードの漏洩に対して,一連の一般的なデータ駆動メータが脆弱であることを明らかにする。
リスクをさらに悪用するために、我々は、賢い攻撃者がメーターを使用してウェブサイト上のアカウントを汚染するときに使用済みパスワードをフィルタリングできる新しいメーター・アウェア・アタックを開発し、人気のあるZxcvbnメーターをデプロイしたウェブサイトをターゲットにした攻撃者が10回の試行で追加の5.84%のユーザーアカウントを妥協できることを実験的に示し、メーターの使用したパスワードの機密性を保護するプライバシー保護のためのPSMが緊急に必要であることを実証した。
最後に、これらの脅威を軽減するためにいくつかの対策をスケッチする。
関連論文リスト
- PassTSL: Modeling Human-Created Passwords through Two-Stage Learning [7.287089766975719]
NLPと深層学習(DL)で一般的な事前学習ファインタニングフレームワークに着想を得たPassTSL(2段階学習による人為的なパスワードのモデル化)を提案する。
PassTSLはパスワード推測において5つのSOTA(State-of-the-art)パスワードクラッキング法を最大で4.11%から64.69%の差で上回っている。
PassTSLに基づいてパスワード強度計(PSM)も実装し,パスワード強度をより正確に推定できることを示した。
論文 参考訳(メタデータ) (2024-07-19T09:23:30Z) - Nudging Users to Change Breached Passwords Using the Protection Motivation Theory [58.87688846800743]
我々は保護動機理論(PMT)に基づいて、侵入したパスワードの変更を促すナッジを設計する。
本研究は, PMTのセキュリティ研究への応用に寄与し, 漏洩したクレデンシャル通知を改善するための具体的な設計上の意味を提供する。
論文 参考訳(メタデータ) (2024-05-24T07:51:15Z) - CodeChameleon: Personalized Encryption Framework for Jailbreaking Large
Language Models [49.60006012946767]
パーソナライズされた暗号化手法に基づく新しいジェイルブレイクフレームワークであるCodeChameleonを提案する。
我々は、7つの大規模言語モデルに関する広範な実験を行い、最先端の平均アタック成功率(ASR)を達成する。
GPT-4-1106上で86.6%のASRを実現する。
論文 参考訳(メタデータ) (2024-02-26T16:35:59Z) - Passwords Are Meant to Be Secret: A Practical Secure Password Entry Channel for Web Browsers [7.049738935364298]
悪質なクライアントサイドスクリプトとブラウザ拡張機能は、マネージャによってWebページにオートフィルされた後、パスワードを盗むことができる。
本稿では,パスワードマネージャがユーザ動作の変更を必要とせず,自動記入証明書の盗難を防止する上でどのような役割を果たせるかを検討する。
論文 参考訳(メタデータ) (2024-02-09T03:21:14Z) - Tensor Trust: Interpretable Prompt Injection Attacks from an Online Game [86.66627242073724]
本稿では,126,000以上のプロンプトインジェクションと46,000以上のプロンプトベースのプロンプトインジェクションに対する「防御」のデータセットを提案する。
我々の知る限り、これは現在、命令追従 LLM に対する人間生成の敵例の最大のデータセットである。
また、データセットを使用して、2種類のプロンプトインジェクションに対する耐性のベンチマークを作成し、これをプロンプト抽出とプロンプトハイジャックと呼ぶ。
論文 参考訳(メタデータ) (2023-11-02T06:13:36Z) - PassViz: A Visualisation System for Analysing Leaked Passwords [2.2530496464901106]
PassVizは、漏洩したパスワードを2次元空間で視覚化し分析するためのコマンドラインツールである。
本稿では、PassVizを用いて、漏洩したパスワードのさまざまな側面を視覚的に分析し、これまで知られていなかったパスワードパターンの発見を容易にする方法を示す。
論文 参考訳(メタデータ) (2023-09-22T16:06:26Z) - PassGPT: Password Modeling and (Guided) Generation with Large Language
Models [59.11160990637616]
パスワード生成のためのパスワードリークをトレーニングした大規模言語モデルであるPassGPTを提案する。
また、任意の制約を満たすパスワードを生成するために、PassGPTサンプリング手順を利用する誘導パスワード生成の概念も導入する。
論文 参考訳(メタデータ) (2023-06-02T13:49:53Z) - On Deep Learning in Password Guessing, a Survey [4.1499725848998965]
本稿では,ユーザのパスワード構造や組み合わせに関するドメイン知識や仮定を必要としない,深層学習に基づくパスワード推測手法について比較する。
非標的のオフライン攻撃によるパスワード推測におけるIWGANのバリエーションの利用に関する有望な実験的設計を提案する。
論文 参考訳(メタデータ) (2022-08-22T15:48:35Z) - Skeptic: Automatic, Justified and Privacy-Preserving Password Composition Policy Selection [44.040106718326605]
パスワード保護システムに強制するパスワード構成ポリシーの選択は、重要なセキュリティ上の決定である。
実際には、この選択は厳密で正当化できるものではなく、システム管理者は直感だけでパスワード構成ポリシーを選択する傾向にある。
本研究では,大量の実世界のパスワードデータから構築されたパスワード確率分布を推定する手法を提案する。
論文 参考訳(メタデータ) (2020-07-07T22:12:13Z) - Interpretable Probabilistic Password Strength Meters via Deep Learning [13.97315111128149]
確率的パスワードメーターは、本質的にパスワード強度とパスワード構造との間に生じる潜伏関係を記述する能力を持っていることを示す。
既存の構造とは異なり、我々の方法はいかなる人間の偏見も無く、さらに重要なことに、そのフィードバックは確率論的解釈を持つ。
論文 参考訳(メタデータ) (2020-04-15T16:05:50Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。