論文の概要: Reverse Online Guessing Attacks on PAKE Protocols

• arxiv url: http://arxiv.org/abs/2602.08993v1
• Date: Mon, 09 Feb 2026 18:40:53 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-02-10 20:26:25.424856
• Title: Reverse Online Guessing Attacks on PAKE Protocols
• Title（参考訳）: PAKEプロトコルのリバースオンラインガイダンス攻撃
• Authors: Eloise Christian, Tejas Gadwalkar, Arthur Azevedo de Amorim, Edward V. Zieglar,
• Abstract要約: パスワード認証された鍵交換プロトコルは、オンラインの推測攻撃を逆転するために脆弱であることを示す。 リバース推測は 検出の重荷を クライアントにシフトさせるため ユニークなリスクとなる。 我々の分析は、利害関係者がデフォルトでは、ユーザーのパスワード以上の厳格な手段でサーバを認証すべきであることを示唆している。
• 参考スコア（独自算出の注目度）: 0.43748379918040853
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Though not yet widely deployed, password-authenticated key exchange (PAKE) protocols have been the subject of several recent standardization efforts, partly because of their resistance against various guessing attacks, but also because they do not require a public-key infrastructure (PKI), making them naturally resistant against PKI failures. The goal of this paper is to reevaluate the PAKE model by noting that the absence of a PKI -- or, more generally, of a mechanism aside from the password for authenticating the server -- makes such protocols vulnerable to reverse online guessing attacks, in which an adversary attempts to validate password guesses by impersonating a server. While their logic is similar to traditional guessing, where the attacker impersonates a client, reverse guessing poses a unique risk because the burden of detection is shifted to the clients, rendering existing defenses against traditional guessing moot. Our results demonstrate that reverse guessing is particularly effective when an adversary attacks clients indiscriminately, such as in phishing or password-spraying attacks, or for applications with automated login processes or a universal password, such as WPA3-SAE. Our analysis suggests that stakeholders should, by default, authenticate the server using more stringent measures than just the user's password, and that a password-only mode of operation should be a last resort against catastrophic security failures when other authentication mechanisms are not available.
• Abstract（参考訳）: パスワード認証された鍵交換(PAKE)プロトコルは、まだ広くデプロイされていないが、様々な推測攻撃に対する耐性に加えて、公開鍵基盤(PKI)を必要としないため、PKIの障害に対して自然に耐性があるため、近年の標準化努力の対象となっている。 本稿の目的は,PKIの欠如,あるいはより一般的には,サーバ認証のためのパスワード以外のメカニズムが存在しないことによって,PAKEモデルを再評価することであり,サーバを偽装してパスワードの推測を検証しようとする逆のオンライン推測攻撃に対して,そのようなプロトコルを脆弱にすることである。 それらのロジックは、攻撃者がクライアントを偽装する従来の推測と似ているが、検出の負担がクライアントにシフトするため、リバース推測はユニークなリスクをもたらす。 以上の結果から,自動ログイン処理やWPA3-SAEなどのユニバーサルパスワードを持つアプリケーションに対して,攻撃者がフィッシングやパスワードスライディング攻撃などのクライアントを無差別に攻撃した場合,逆推定が特に有効であることが示唆された。 我々の分析は、利害関係者がデフォルトでは、ユーザーのパスワード以上の厳格な手段でサーバを認証すべきであり、他の認証メカニズムが利用できない場合、パスワードのみの操作モードが破滅的なセキュリティ障害に対する最後の手段であるべきであることを示唆している。

関連論文リスト

• Practical Acoustic Eavesdropping On Typed Passphrases [0.0]
  本稿では,教師なし学習を用いて,キーボードの音響エマニュエーションを利用して,型付き自然言語パスフレーズを推論する。 また、エラーのマージンがはるかに大きい機密メールなど、長いメッセージにも適用できる。 相関オーディオ前処理は、キーストローククラスタリングにおけるメル周波数-ケプストラム係数や高速フーリエ変換などの手法より優れている。
  論文  参考訳（メタデータ） (2025-03-20T21:42:30Z)
• A Secure Remote Password Protocol From The Learning With Errors Problem [0.045285281911950165]
  本稿では,LWE(Learning with error)問題から量子後SRPプロトコルを提案する。 提案手法の正確性と安全性に関する厳密な証明と分析を行う。
  論文  参考訳（メタデータ） (2025-01-13T11:01:50Z)
• Exploiting Leakage in Password Managers via Injection Attacks [16.120271337898235]
  本研究では,パスワードマネージャに対するインジェクション攻撃について検討する。 この設定では、敵は自身のアプリケーションクライアントを制御し、例えば認証情報を共有することで、選択したペイロードを被害者のクライアントに"注入"するために使用する。
  論文  参考訳（メタデータ） (2024-08-13T17:45:12Z)
• Excavating Vulnerabilities Lurking in Multi-Factor Authentication Protocols: A Systematic Security Analysis [2.729532849571912]
  単一要素認証(SFA)プロトコルは、しばしばサイドチャネルや他の攻撃技術によってバイパスされる。 この問題を軽減するため,近年,MFAプロトコルが広く採用されている。
  論文  参考訳（メタデータ） (2024-07-29T23:37:38Z)
• Nudging Users to Change Breached Passwords Using the Protection Motivation Theory [58.87688846800743]
  我々は保護動機理論(PMT)に基づいて、侵入したパスワードの変更を促すナッジを設計する。 本研究は, PMTのセキュリティ研究への応用に寄与し, 漏洩したクレデンシャル通知を改善するための具体的な設計上の意味を提供する。
  論文  参考訳（メタデータ） (2024-05-24T07:51:15Z)
• Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
  顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。 最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
  論文  参考訳（メタデータ） (2024-05-21T13:34:23Z)
• EmInspector: Combating Backdoor Attacks in Federated Self-Supervised Learning Through Embedding Inspection [53.25863925815954]
  フェデレートされた自己教師付き学習(FSSL)は、クライアントの膨大な量の未ラベルデータの利用を可能にする、有望なパラダイムとして登場した。 FSSLはアドバンテージを提供するが、バックドア攻撃に対する感受性は調査されていない。 ローカルモデルの埋め込み空間を検査し,悪意のあるクライアントを検知する埋め込み検査器(EmInspector)を提案する。
  論文  参考訳（メタデータ） (2024-05-21T06:14:49Z)
• Tamper-Evident Pairing [55.2480439325792]
  Tamper-Evident Pairing (TEP)はPush-ButtonConfiguration (PBC)標準の改良である。 TEP は Tamper-Evident Announcement (TEA) に依存しており、相手が送信されたメッセージを検出せずに改ざんしたり、メッセージが送信された事実を隠蔽したりすることを保証している。 本稿では,その動作を理解するために必要なすべての情報を含む,TEPプロトコルの概要について概説する。
  論文  参考訳（メタデータ） (2023-11-24T18:54:00Z)
• Backdoor Attack against Speaker Verification [86.43395230456339]
  学習データを汚染することにより,話者検証モデルに隠れたバックドアを注入できることを示す。 また,既存のバックドア攻撃が話者認証攻撃に直接適用できないことも実証した。
  論文  参考訳（メタデータ） (2020-10-22T11:10:08Z)
• On Certifying Robustness against Backdoor Attacks via Randomized Smoothing [74.79764677396773]
  ランダム化平滑化法(ランダム化平滑化)と呼ばれる最近の手法を用いて,バックドア攻撃に対するロバスト性検証の有効性と有効性を検討した。 本研究は, バックドア攻撃に対するロバスト性を証明するために, ランダムな平滑化を用いた理論的実現可能性を示すものである。 既存の無作為な平滑化手法は、バックドア攻撃に対する防御効果に限界がある。
  論文  参考訳（メタデータ） (2020-02-26T19:15:46Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。