論文の概要: SSH-Passkeys: Leveraging Web Authentication for Passwordless SSH
- arxiv url: http://arxiv.org/abs/2507.09022v1
- Date: Fri, 11 Jul 2025 21:13:09 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-07-15 18:48:22.153497
- Title: SSH-Passkeys: Leveraging Web Authentication for Passwordless SSH
- Title(参考訳): SSH-Passkeys: パスワードなしSSHのためのWeb認証の活用
- Authors: Moe Kayali, Jonas Schmitt, Franziska Roesner,
- Abstract要約: パスワードは、フィッシングや再利用といったよく知られた欠陥にもかかわらず、SSH認証の主要なモードのままである。
WebAuthnは、パスワードを置き換え、ユーザに代わってキーを管理するように設計された、現代的な認証標準である。
UNIXプラグイン型認証モジュール(PAM)を用いて,WebAuthnとSSHサーバを統合するフレームワークを提案する。
- 参考スコア(独自算出の注目度): 11.865671333047658
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: We propose a method for using Web Authentication APIs for SSH authentication, enabling passwordless remote server login with passkeys. These are credentials that are managed throughout the key lifecycle by an authenticator on behalf of the user and offer strong security guarantees. Passwords remain the dominant mode of SSH authentication, despite their well known flaws such as phishing and reuse. SSH's custom key-based authentication protocol can alleviate these issues but remains vulnerable to key theft. Additionally, it has poor usability, with even knowledgeable users leaking key material and failing to verify fingerprints. Hence, effective key management remains a critical open area in SSH security. In contrast, WebAuthn is a modern authentication standard designed to replace passwords, managing keys on behalf of the user. As a web API, this standard cannot integrate with SSH directly. We propose a framework to integrate WebAuthn with SSH servers, by using UNIX pluggable authentication modules (PAM). Our approach is backwards-compatible, supports stock SSH servers and requires no new software client-side. It offers protection for cryptographic material at rest, resistance to key leaks, phishing protection, privacy protection and attestation capability. None of these properties are offered by passwords nor traditional SSH keys. We validate these advantages with a structured, conceptual security analysis. We develop a prototype implementation and conduct a user study to quantify the security advantages of our proposal, testing our prototype with 40 SSH users. The study confirms the security problems of SSH-keys, including 20% of the cohort leaking their private keys. Our SSH-passkeys effectively address these problems: we find a 90% reduction in critical security errors, while reducing authentication time by 4x on average.
- Abstract(参考訳): 本稿では,SSH認証に Web Authentication API を使用する方法を提案する。
これらはキーライフサイクルを通じて、ユーザに代わって認証者が管理し、強力なセキュリティ保証を提供する資格情報である。
パスワードは、フィッシングや再利用といったよく知られた欠陥にもかかわらず、SSH認証の主要なモードのままである。
SSHのカスタムキーベースの認証プロトコルは、これらの問題を緩和できるが、キー盗難に弱いままである。
さらに、ユーザビリティも低く、知識のあるユーザでさえ、キー素材をリークし、指紋の検証に失敗している。
したがって、効果的なキー管理はSSHセキュリティにおいて重要なオープン領域である。
対照的にWebAuthnは、パスワードを置き換え、ユーザに代わってキーを管理するために設計された、現代的な認証標準である。
Web APIとして、この標準はSSHと直接統合することはできない。
本稿では,UNIXプラグイン型認証モジュール(PAM)を用いて,WebAuthnをSSHサーバに統合するフレームワークを提案する。
我々のアプローチは後方互換性があり、ストックSSHサーバをサポートし、新しいソフトウェアクライアントサイドを必要としない。
暗号化素材の保存、キーリークに対する抵抗、フィッシング保護、プライバシー保護、認証機能に対する保護を提供する。
これらのプロパティは、パスワードや従来のSSHキーによって提供されない。
我々はこれらの利点を、構造化された概念的セキュリティ分析で検証する。
我々は,プロトタイプの実装を開発し,40名のSSHユーザを対象に,提案提案のセキュリティ上のメリットを定量化するためのユーザスタディを実施している。
調査では、秘密鍵を漏らすコホートの20%を含むSSHキーのセキュリティ問題が確認された。
我々のSSHパスキーは、これらの問題に効果的に対処する: 重要なセキュリティエラーを90%削減し、認証時間を平均4倍削減する。
関連論文リスト
- Device-Bound vs. Synced Credentials: A Comparative Evaluation of Passkey Authentication [0.0]
パスキーを使用することで、FIDO Allianceは、パスキープロバイダを介して、ユーザのデバイス間でFIDO2認証情報を同期する機能を導入している。
これは、デバイスを失うことに対するユーザの懸念を緩和し、パスワードレス認証への移行を促進することを目的としている。
クレデンシャルシンクリングが,セキュリティ保証に関する専門家の間でも議論を巻き起こしていることを示す。
論文 参考訳(メタデータ) (2025-01-13T15:00:18Z) - Jailbreaking Leading Safety-Aligned LLMs with Simple Adaptive Attacks [38.25697806663553]
近年のLLMでさえ、単純な適応型ジェイルブレイク攻撃に対して堅牢ではないことが示されている。
我々は, Vicuna-13B, Mistral-7B, Phi-3-Mini, Nemotron-4-340B, Llama-2-Chat-7B/13B/70B, Llama-3-Instruct-8B, Gemma-7B, GPT-3.5, GPT-4o, R2D2の攻撃成功率を達成する。
論文 参考訳(メタデータ) (2024-04-02T17:58:27Z) - From Hardware Fingerprint to Access Token: Enhancing the Authentication on IoT Devices [33.25850729215212]
MCUベースのIoTデバイスのためのセキュアなハードウェアフィンガープリントフレームワークであるMCU-Tokenを紹介する。
MCU-Tokenは、さまざまなIoTデバイスやアプリケーションシナリオ間のオーバーヘッドを低くして、高い精度(97%以上)を達成することができる。
論文 参考訳(メタデータ) (2024-03-22T15:15:28Z) - The Power of Bamboo: On the Post-Compromise Security for Searchable Symmetric Encryption [43.669192188610964]
動的検索可能な対称暗号(DSSE)により、ユーザは動的に更新されたデータベース上のキーワード検索を、誠実だが正確なサーバに委譲することができる。
本稿では,DSSEに対する新たな,実用的なセキュリティリスク,すなわち秘密鍵妥協について検討する。
キー更新(SEKU)による検索可能な暗号化の概念を導入し,非対話型キー更新のオプションを提供する。
論文 参考訳(メタデータ) (2024-03-22T09:21:47Z) - A Novel Protocol Using Captive Portals for FIDO2 Network Authentication [45.84205238554709]
FIDO2CAP: FIDO2 Captive-portal Authentication Protocolを紹介する。
本研究では,FIDO2CAP認証のプロトタイプをモックシナリオで開発する。
この研究は、FIDO2認証に依存する新しい認証パラダイムにネットワーク認証を適用するための最初の体系的なアプローチである。
論文 参考訳(メタデータ) (2024-02-20T09:55:20Z) - SOAP: A Social Authentication Protocol [0.0]
私たちは、社会認証を正式に定義し、社会認証をほとんど自動化し、SOAPのセキュリティを正式に証明し、SOAPの実用性を実証するSOAPと呼ばれるプロトコルを提示します。
1つのプロトタイプはWebベースで、もう1つはオープンソースのSignalメッセージングアプリケーションで実装されている。
論文 参考訳(メタデータ) (2024-02-05T17:03:10Z) - Terrapin Attack: Breaking SSH Channel Integrity By Sequence Number Manipulation [11.499428847222099]
SSH Binary Packet Protocolはもはやセキュアなチャネルではないことを示す。
これにより、SSHチャネルの先頭にある暗号化パケットをクライアントやサーバに通知せずに削除できるプレフィックス・トランケーション攻撃が可能になる。
我々は、攻撃を緩和するために、SSHの効果的かつ後方互換性のある変更を提案する。
論文 参考訳(メタデータ) (2023-12-19T18:51:12Z) - Tamper-Evident Pairing [55.2480439325792]
Tamper-Evident Pairing (TEP)はPush-ButtonConfiguration (PBC)標準の改良である。
TEP は Tamper-Evident Announcement (TEA) に依存しており、相手が送信されたメッセージを検出せずに改ざんしたり、メッセージが送信された事実を隠蔽したりすることを保証している。
本稿では,その動作を理解するために必要なすべての情報を含む,TEPプロトコルの概要について概説する。
論文 参考訳(メタデータ) (2023-11-24T18:54:00Z) - ROSTAM: A Passwordless Web Single Sign-on Solution Mitigating Server Breaches and Integrating Credential Manager and Federated Identity Systems [0.0]
クレデンシャル・マネジメントとフェデレーション・アイデンティティ・システムを統合することで,ユーザにとって不利で信頼性の高いオンラインエクスペリエンスを提供する,パスワードのない未来を構想する。
この点に関して、ROSTAMは、パスワードのないSSOの後、ユーザが1クリックでアクセスできるすべてのアプリケーションを示すダッシュボードを提供します。
クレデンシャルマネージャのウェブパスワードのセキュリティはマスターパスワードではなくマスターキーで保証されるので、暗号化パスワードはサーバから盗まれたとしても安全である。
論文 参考訳(メタデータ) (2023-10-08T16:41:04Z) - SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。
SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。
我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文 参考訳(メタデータ) (2023-09-26T08:11:38Z) - Public Key Encryption with Secure Key Leasing [24.410596031297242]
セキュア鍵リース(PKE-SKL)を用いた公開鍵暗号の概念を導入する。
我々の考え方は,Ananth と La Placa (Eurocrypt 2021) が導入したセキュアソフトウェアリース (SSL) の概念と精神的に類似している。
より詳しくは、我々の敵は海賊版ソフトウェアを実行するために正直な評価アルゴリズムを使うことに制限されていない。
論文 参考訳(メタデータ) (2023-02-22T21:37:57Z) - Smart Home, security concerns of IoT [91.3755431537592]
IoT(モノのインターネット)は、国内環境において広く普及している。
人々は自宅をスマートホームにリニューアルしているが、インターネットに接続された多くのデバイスを常時オンの環境センサーで所有するというプライバシー上の懸念はいまだに不十分だ。
デフォルトパスワードと弱いパスワード、安価な材料とハードウェア、暗号化されていない通信は、IoTデバイスの主要な脅威と脆弱性として識別される。
論文 参考訳(メタデータ) (2020-07-06T10:36:11Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。