SlideShare a Scribd company logo

セッション「But Maybe All You Need Is Something to Trust」の紹介

Akira Kanaoka
Akira Kanaoka

USENIX Security ’15勉強会で発表した資料です。 資料としては雑なのですが…要望があったので公開します。

Science
1 of 30
Download to read offline
Session “But Maybe All You Need Is Something to Trust”の論文紹介 USENIX Security ‘15 勉強会 2015年12月2日 金岡 晃(東邦大)
Papers on the session • Measuring Real-World Accuracies and Biases in Modeling Password Guessability – Blase Ur, Sean M. Segreti, Lujo Bauer, Nicolas Christin, Lorrie Faith Cranor, Saranga Komanduri, and Darya Kurilova (Carnegie Mellon University), Michelle L. Mazurek (University of Maryland), William Melicher , Richard Shay (Carnegie Mellon University) • Sound-Proof: Usable Two-Factor Authentication Based on Ambient Sound – Nikolaos Karapanos, Claudio Marforio, Claudio Soriente, and Srdjan Čapkun (ETH Zürich) • Android Permissions Remystified: A Field Study on Contextual Integrity – Primal Wijesekera (University of British Columbia), Arjun Baokar, Ashkan Hosseini, Serge Egelman, and David Wagner (University of California, Berkeley), Konstantin Beznosov (University of British Columbia) 1 2015/12/2 USENIX Security '15勉強会
MEASURING REAL-WORLD ACCURACIES AND BIASES IN MODELING PASSWORD GUESSABILITY Blase Ur, Sean M. Segreti, Lujo Bauer, Nicolas Christin, Lorrie Faith Cranor, Saranga Komanduri, and Darya Kurilova (Carnegie Mellon University), Michelle L. Mazurek (University of Maryland), William Melicher , Richard Shay (Carnegie Mellon University) 2 2015/12/2 USENIX Security '15勉強会
概要 • パスワードの強度 – 本当の、実世界における、パスワードの強度ってどうなんですか? – 統計的なパスワード強度ではなく、現実的なパスワード強度を、しかもパスワード単体 (データセットではなく)で求めたい • アプローチはある – 統計的アプローチ • シャノンの情報量 • Alpha-guesswork • Guessability – 何回の推測試行でどれくらいの量のパスワードが推測成功するか • 4つのパスワードセットと、5つのパスワードクラックアプローチを準備 • まとめ – プロによる半自動攻撃は自動攻撃より強い – 複数手法を混ぜると強い • しかし注意深いチューニングが必要 – 1つの方法での解析は不十分 – 研究へのインパクト • 荒い解析だと攻撃手法が異なっても同じ結果になるが、きちんと(Fine-grained)解析 されると異なる結果になる • 1つのパスワードに対する解析結果も異なる • Password Guessability Service(PGS)というサービスを提供 3 2015/12/2 USENIX Security '15勉強会
5つのクラッキングアプローチ 2015/12/2 USENIX Security '15勉強会 4 John The Ripper 自動手法・ツール Hashcat マルコフモデル 確率的文脈非依存文法 (Probabilistic Context-Free Grammer、PCFG) 人手(半自動) KoreLogic社による解析
KoreLogic • パスワードリカバリサービスを提供している会社 – Fortune誌のトップ500会社にサービス提供 • DEFCONのCrack Me If You Canを主催 • 利用ツール – JTR – HashCat – マルコフモデル(これまでの10年を超える検査から得ている) 2015/12/2 USENIX Security '15勉強会 5
データセット 2015/12/2 USENIX Security '15勉強会 6 • 13345のパスワード • これまでの研究で得たパスワード(どういう構成ポリシで作成されてい たかの付属データ付) 論文のTable1より引用
データセット 2015/12/2 USENIX Security '15勉強会 7 発表資料のスライド35より引用
訓練データ • 漏えいパスワードデータを利用 – MySpace – RockYou – Yahoo! • 辞書 – Google Web Corpus – UNIX Dictionary – SCOWL(250000語) 2015/12/2 USENIX Security '15勉強会 8
結果:Basic 2015/12/2 USENIX Security '15勉強会 9 論文のFigure2より引用
結果:Complex 2015/12/2 USENIX Security '15勉強会 10 論文のFigure3より引用
結果:LongBasic 2015/12/2 USENIX Security '15勉強会 11 論文のFigure4より引用
結果:LongComplex 2015/12/2 USENIX Security '15勉強会 12 論文のFigure5より引用
結果: 2015/12/2 USENIX Security '15勉強会 13 論文のFigure6より引用
結果: 2015/12/2 USENIX Security '15勉強会 14 論文のFigure8より引用
論文の周辺情報 • 著者数 – 10人 • ページ数 – 19 • 参考文献数 – 72 2015/12/2 USENIX Security '15勉強会 15 1. Introduction(1.5p) 2. Related Work(1.5p) 3. Methodology(3p) 1. Datasets 2. Training Data 3. Simulating Password Cracking 4. Computational Limitations 4. Results(7p) 1. The Importance of Configuration 2. Comparison of Guessing Approaches 3. Differences Across Approaches 4. Robustness of Analyses to Approach 5. Conclusion(0.5p)
概要 • パスワードの強度 – 本当の、実世界における、パスワードの強度ってどうなんですか? – 統計的なパスワード強度ではなく、現実的なパスワード強度を、しかもパスワード単体 (データセットではなく)で求めたい • アプローチはある – 統計的アプローチ • シャノンの情報量 • Alpha-guesswork • Guessability – 何回の推測試行でどれくらいの量のパスワードが推測成功するか • 4つのパスワードセットと、5つのパスワードクラックアプローチを準備 • まとめ – プロによる半自動攻撃は自動攻撃より強い – 複数手法を混ぜると強い • しかし注意深いチューニングが必要 – 1つの方法での解析は不十分 – 研究へのインパクト • 荒い解析だと攻撃手法が異なっても同じ結果になるが、きちんと(Fine-grained)解析 されると異なる結果になる • 1つのパスワードに対する解析結果も異なる • Password Guessability Service(PGS)というサービスを提供 16 2015/12/2 USENIX Security '15勉強会
SOUND-PROOF: USABLE TWO-FACTOR AUTHENTICATION BASED ON AMBIENT SOUND Nikolaos Karapanos, Claudio Marforio, Claudio Soriente, and Srdjan Čapkun (ETH Zürich) 17 2015/12/2 USENIX Security '15勉強会
手法概要 • パスワード – 問題あり • 2要素認証(2 Factor Authentication:2FA)に注目 – 端末にコード送るとか – めんどい(ユーザのアクションが) • 音声を利用 – サーバが端末とPCの両方に音声データ送信 – PCが音声発信 – 端末が音声受信 • 類似度計算 – 類似度をサーバに送る – サーバが判定 18 2015/12/2 USENIX Security '15勉強会
結果 2015/12/2 USENIX Security '15勉強会 19 論文のFigure3より引用
結果 2015/12/2 USENIX Security '15勉強会 20 論文のFigure5より引用
ユーザ実験 • 32人 2015/12/2 USENIX Security '15勉強会 21 発表資料のスライド16より引用
論文の周辺情報 • 著者数 – 4人 • ページ数 – 16 • 参考文献数 – 53 2015/12/2 USENIX Security '15勉強会 22 1. Introduction(1p) 2. Assumptions and Goals(0.5p) 3. Alternative Approaches(1p) 4. Background on Sound Similarity (1p) 5. Sound-Proof Architecture (1.5p) 6. Prototype Implementation (1p) 7. Evaluation(3.5p) 1. Analysis 2. False Rejection Rate 3. Advanced Attack Scenarios 8. User Study(1.5p) 9. Discussion(1.5p) 10.Related Work(0.5p) 11.Conclusion(0.2p)
ANDROID PERMISSIONS REMYSTIFIED: A FIELD STUDY ON CONTEXTUAL INTEGRITY Primal Wijesekera (University of British Columbia), Arjun Baokar, Ashkan Hosseini, Serge Egelman, and David Wagner (University of California, Berkeley), Konstantin Beznosov (University of British Columbia) 23 2015/12/2 USENIX Security '15勉強会
概要 • Android OSにおいて、どれくらい・どの状況でスマホアプリがパー ミッションに保護されたリソースにアクセスしているか、のデータ を収集 • 36人のフィールド調査 – Contextual Integrityの意向調査: • Contextual Integrityユーザが予期しないときにアプリが保護リ ソースにアクセスすること • 調査後のインタビューを含め、複数のことが判明 – パーミッションへのリクエストの回数 – 利用者の8割が少なくとも1回はパーミッションリクエストをブ ロックした経験 – 全リクエストの35%が不適切である、という結果 24 2015/12/2 USENIX Security '15勉強会
調査と結果 • 36人のユーザ、計6048時間 • 2700万回のパーミッションリクエスト 2015/12/2 USENIX Security '15勉強会 25 発表資料のスライド8より引用
結果 2015/12/2 USENIX Security '15勉強会 26 発表資料のスライド9より引用
結果 2015/12/2 USENIX Security '15勉強会 27 発表資料のスライド16より引用
結果 2015/12/2 USENIX Security '15勉強会 28 発表資料のスライド18より引用
論文の周辺情報 • 著者数 – 6人 • ページ数 – 16 • 参考文献数 – 48 2015/12/2 USENIX Security '15勉強会 29 1. Introduction(1p) 2. Related Work(1p) 3. Methodology(3.5p) 1. Tracking Access to Sensitive Data 2. Recruitment 3. Exit Survey 4. Application Behaviors(3p) 1. Invisible Permission Requests 2. High Frequency Requests 3. Frequency of Data Exposure 5. User Expectations and Reactions (2p) 1. Reasons for Blocking 2. Influential Factors 6. Feasibility of Runtime Requests (1.5p) 7. Discussion(1p)

Recommended

[DL輪読会]Understanding deep learning requires rethinking generalization
[DL輪読会]Understanding deep learning requires rethinking generalization[DL輪読会]Understanding deep learning requires rethinking generalization
[DL輪読会]Understanding deep learning requires rethinking generalizationDeep Learning JP
 
CVPR2015 reading "Understainding image virality" (in Japanese)
CVPR2015 reading "Understainding image virality" (in Japanese)CVPR2015 reading "Understainding image virality" (in Japanese)
CVPR2015 reading "Understainding image virality" (in Japanese)Akisato Kimura
 
IEEE-SP 2012勉強会:セッション「Passwords」
IEEE-SP 2012勉強会:セッション「Passwords」IEEE-SP 2012勉強会:セッション「Passwords」
IEEE-SP 2012勉強会:セッション「Passwords」Akira Kanaoka
 
ブラウザでの証明書表示201511
ブラウザでの証明書表示201511ブラウザでの証明書表示201511
ブラウザでの証明書表示201511Akira Kanaoka
 
IPAの「パスワード -もっと強くキミを守りたいー」のポスターを考察する
IPAの「パスワード -もっと強くキミを守りたいー」のポスターを考察するIPAの「パスワード -もっと強くキミを守りたいー」のポスターを考察する
IPAの「パスワード -もっと強くキミを守りたいー」のポスターを考察するAkira Kanaoka
 
検索可能暗号の概観と今後の展望(第2回次世代セキュア情報基盤ワークショップ)
検索可能暗号の概観と今後の展望(第2回次世代セキュア情報基盤ワークショップ)検索可能暗号の概観と今後の展望(第2回次世代セキュア情報基盤ワークショップ)
検索可能暗号の概観と今後の展望(第2回次世代セキュア情報基盤ワークショップ)Akira Kanaoka
 
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )Akira Kanaoka
 
情報セキュリティ「見せる化」勉強会:金岡資料
情報セキュリティ「見せる化」勉強会:金岡資料情報セキュリティ「見せる化」勉強会:金岡資料
情報セキュリティ「見せる化」勉強会:金岡資料Akira Kanaoka
 

Recommended

[DL輪読会]Understanding deep learning requires rethinking generalization
[DL輪読会]Understanding deep learning requires rethinking generalization[DL輪読会]Understanding deep learning requires rethinking generalization
[DL輪読会]Understanding deep learning requires rethinking generalizationDeep Learning JP
 
CVPR2015 reading "Understainding image virality" (in Japanese)
CVPR2015 reading "Understainding image virality" (in Japanese)CVPR2015 reading "Understainding image virality" (in Japanese)
CVPR2015 reading "Understainding image virality" (in Japanese)Akisato Kimura
 
IEEE-SP 2012勉強会:セッション「Passwords」
IEEE-SP 2012勉強会:セッション「Passwords」IEEE-SP 2012勉強会:セッション「Passwords」
IEEE-SP 2012勉強会:セッション「Passwords」Akira Kanaoka
 
ブラウザでの証明書表示201511
ブラウザでの証明書表示201511ブラウザでの証明書表示201511
ブラウザでの証明書表示201511Akira Kanaoka
 
IPAの「パスワード -もっと強くキミを守りたいー」のポスターを考察する
IPAの「パスワード -もっと強くキミを守りたいー」のポスターを考察するIPAの「パスワード -もっと強くキミを守りたいー」のポスターを考察する
IPAの「パスワード -もっと強くキミを守りたいー」のポスターを考察するAkira Kanaoka
 
検索可能暗号の概観と今後の展望(第2回次世代セキュア情報基盤ワークショップ)
検索可能暗号の概観と今後の展望(第2回次世代セキュア情報基盤ワークショップ)検索可能暗号の概観と今後の展望(第2回次世代セキュア情報基盤ワークショップ)
検索可能暗号の概観と今後の展望(第2回次世代セキュア情報基盤ワークショップ)Akira Kanaoka
 
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )Akira Kanaoka
 
情報セキュリティ「見せる化」勉強会:金岡資料
情報セキュリティ「見せる化」勉強会:金岡資料情報セキュリティ「見せる化」勉強会:金岡資料
情報セキュリティ「見せる化」勉強会:金岡資料Akira Kanaoka
 
USENIX Security ’12勉強会:Session「CAPTHAs and Password Strength」
USENIX Security ’12勉強会:Session「CAPTHAs and Password Strength」USENIX Security ’12勉強会:Session「CAPTHAs and Password Strength」
USENIX Security ’12勉強会:Session「CAPTHAs and Password Strength」Akira Kanaoka
 
Usenix Security2009 Report Suzaki
Usenix Security2009 Report SuzakiUsenix Security2009 Report Suzaki
Usenix Security2009 Report SuzakiKuniyasu Suzaki
 
22nd ACM Symposium on Operating Systems Principles (SOSP2009)参加報告
22nd ACM Symposium on Operating Systems Principles (SOSP2009)参加報告22nd ACM Symposium on Operating Systems Principles (SOSP2009)参加報告
22nd ACM Symposium on Operating Systems Principles (SOSP2009)参加報告Kuniyasu Suzaki
 
文法性判断課題における反応時間と主観的測度は正答率を予測するか:文法項目の違いに焦点をあてて
文法性判断課題における反応時間と主観的測度は正答率を予測するか:文法項目の違いに焦点をあてて文法性判断課題における反応時間と主観的測度は正答率を予測するか:文法項目の違いに焦点をあてて
文法性判断課題における反応時間と主観的測度は正答率を予測するか:文法項目の違いに焦点をあててYu Tamura
 
データサイエンス概論第一=1-1 データとは
データサイエンス概論第一=1-1 データとはデータサイエンス概論第一=1-1 データとは
データサイエンス概論第一=1-1 データとはSeiichi Uchida
 
[DL輪読会]A Simple Unified Framework for Detecting Out-of-Distribution Samples a...
[DL輪読会]A Simple Unified Framework for Detecting Out-of-Distribution Samples a...[DL輪読会]A Simple Unified Framework for Detecting Out-of-Distribution Samples a...
[DL輪読会]A Simple Unified Framework for Detecting Out-of-Distribution Samples a...Deep Learning JP
 
リスク可視化の基本的方法
リスク可視化の基本的方法リスク可視化の基本的方法
リスク可視化の基本的方法Takayuki Itoh
 
データサイエンス概論第一=1-2 データのベクトル表現と集合
データサイエンス概論第一=1-2 データのベクトル表現と集合データサイエンス概論第一=1-2 データのベクトル表現と集合
データサイエンス概論第一=1-2 データのベクトル表現と集合Seiichi Uchida
 
データサイエンス概論第一=4-1 相関・頻度・ヒストグラム
データサイエンス概論第一=4-1 相関・頻度・ヒストグラムデータサイエンス概論第一=4-1 相関・頻度・ヒストグラム
データサイエンス概論第一=4-1 相関・頻度・ヒストグラムSeiichi Uchida
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
 
ICLR2018出張報告
ICLR2018出張報告ICLR2018出張報告
ICLR2018出張報告Yu Nishimura
 
NeurIPS2019参加報告
NeurIPS2019参加報告NeurIPS2019参加報告
NeurIPS2019参加報告Masanari Kimura
 
ae-3. ディープラーニングの基礎
ae-3. ディープラーニングの基礎ae-3. ディープラーニングの基礎
ae-3. ディープラーニングの基礎kunihikokaneko1
 
事前登録のやり方
事前登録のやり方事前登録のやり方
事前登録のやり方Yuki Yamada
 
We regret to inform you
We regret to inform youWe regret to inform you
We regret to inform youAkira Kanaoka
 
ユーザブルセキュリティワークショップ(UWS)2017発表論文の特徴分析
ユーザブルセキュリティワークショップ(UWS)2017発表論文の特徴分析ユーザブルセキュリティワークショップ(UWS)2017発表論文の特徴分析
ユーザブルセキュリティワークショップ(UWS)2017発表論文の特徴分析Akira Kanaoka
 
Usable Security & Privacy研究でのクラウドソーシング利用の現状
Usable Security & Privacy研究でのクラウドソーシング利用の現状Usable Security & Privacy研究でのクラウドソーシング利用の現状
Usable Security & Privacy研究でのクラウドソーシング利用の現状Akira Kanaoka
 
IEEE-SP 2012勉強会:「Off-Path TCP Sequence Number Inference Attack - How Firewall...
IEEE-SP 2012勉強会:「Off-Path TCP Sequence Number Inference Attack - How Firewall...IEEE-SP 2012勉強会:「Off-Path TCP Sequence Number Inference Attack - How Firewall...
IEEE-SP 2012勉強会:「Off-Path TCP Sequence Number Inference Attack - How Firewall...Akira Kanaoka
 
USENIX Security ’12勉強会:Session「The Brain」
USENIX Security ’12勉強会:Session「The Brain」USENIX Security ’12勉強会:Session「The Brain」
USENIX Security ’12勉強会:Session「The Brain」Akira Kanaoka
 
透過型確率的パケットマーキング装置の提案と開発(オープンルータコンペティション発表資料)
透過型確率的パケットマーキング装置の提案と開発(オープンルータコンペティション発表資料)透過型確率的パケットマーキング装置の提案と開発(オープンルータコンペティション発表資料)
透過型確率的パケットマーキング装置の提案と開発(オープンルータコンペティション発表資料)Akira Kanaoka
 

More Related Content

Similar to セッション「But Maybe All You Need Is Something to Trust」の紹介

USENIX Security ’12勉強会:Session「CAPTHAs and Password Strength」
USENIX Security ’12勉強会:Session「CAPTHAs and Password Strength」USENIX Security ’12勉強会:Session「CAPTHAs and Password Strength」
USENIX Security ’12勉強会:Session「CAPTHAs and Password Strength」Akira Kanaoka
 
Usenix Security2009 Report Suzaki
Usenix Security2009 Report SuzakiUsenix Security2009 Report Suzaki
Usenix Security2009 Report SuzakiKuniyasu Suzaki
 
22nd ACM Symposium on Operating Systems Principles (SOSP2009)参加報告
22nd ACM Symposium on Operating Systems Principles (SOSP2009)参加報告22nd ACM Symposium on Operating Systems Principles (SOSP2009)参加報告
22nd ACM Symposium on Operating Systems Principles (SOSP2009)参加報告Kuniyasu Suzaki
 
文法性判断課題における反応時間と主観的測度は正答率を予測するか:文法項目の違いに焦点をあてて
文法性判断課題における反応時間と主観的測度は正答率を予測するか:文法項目の違いに焦点をあてて文法性判断課題における反応時間と主観的測度は正答率を予測するか:文法項目の違いに焦点をあてて
文法性判断課題における反応時間と主観的測度は正答率を予測するか:文法項目の違いに焦点をあててYu Tamura
 
データサイエンス概論第一=1-1 データとは
データサイエンス概論第一=1-1 データとはデータサイエンス概論第一=1-1 データとは
データサイエンス概論第一=1-1 データとはSeiichi Uchida
 
[DL輪読会]A Simple Unified Framework for Detecting Out-of-Distribution Samples a...
[DL輪読会]A Simple Unified Framework for Detecting Out-of-Distribution Samples a...[DL輪読会]A Simple Unified Framework for Detecting Out-of-Distribution Samples a...
[DL輪読会]A Simple Unified Framework for Detecting Out-of-Distribution Samples a...Deep Learning JP
 
リスク可視化の基本的方法
リスク可視化の基本的方法リスク可視化の基本的方法
リスク可視化の基本的方法Takayuki Itoh
 
データサイエンス概論第一=1-2 データのベクトル表現と集合
データサイエンス概論第一=1-2 データのベクトル表現と集合データサイエンス概論第一=1-2 データのベクトル表現と集合
データサイエンス概論第一=1-2 データのベクトル表現と集合Seiichi Uchida
 
データサイエンス概論第一=4-1 相関・頻度・ヒストグラム
データサイエンス概論第一=4-1 相関・頻度・ヒストグラムデータサイエンス概論第一=4-1 相関・頻度・ヒストグラム
データサイエンス概論第一=4-1 相関・頻度・ヒストグラムSeiichi Uchida
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
 
ICLR2018出張報告
ICLR2018出張報告ICLR2018出張報告
ICLR2018出張報告Yu Nishimura
 
ae-3. ディープラーニングの基礎
ae-3. ディープラーニングの基礎ae-3. ディープラーニングの基礎
ae-3. ディープラーニングの基礎kunihikokaneko1
 
事前登録のやり方
事前登録のやり方事前登録のやり方
事前登録のやり方Yuki Yamada
 

Similar to セッション「But Maybe All You Need Is Something to Trust」の紹介 (14)

USENIX Security ’12勉強会:Session「CAPTHAs and Password Strength」
USENIX Security ’12勉強会:Session「CAPTHAs and Password Strength」USENIX Security ’12勉強会:Session「CAPTHAs and Password Strength」
USENIX Security ’12勉強会:Session「CAPTHAs and Password Strength」
 
Usenix Security2009 Report Suzaki
Usenix Security2009 Report SuzakiUsenix Security2009 Report Suzaki
Usenix Security2009 Report Suzaki
 
22nd ACM Symposium on Operating Systems Principles (SOSP2009)参加報告
22nd ACM Symposium on Operating Systems Principles (SOSP2009)参加報告22nd ACM Symposium on Operating Systems Principles (SOSP2009)参加報告
22nd ACM Symposium on Operating Systems Principles (SOSP2009)参加報告
 
文法性判断課題における反応時間と主観的測度は正答率を予測するか:文法項目の違いに焦点をあてて
文法性判断課題における反応時間と主観的測度は正答率を予測するか:文法項目の違いに焦点をあてて文法性判断課題における反応時間と主観的測度は正答率を予測するか:文法項目の違いに焦点をあてて
文法性判断課題における反応時間と主観的測度は正答率を予測するか:文法項目の違いに焦点をあてて
 
データサイエンス概論第一=1-1 データとは
データサイエンス概論第一=1-1 データとはデータサイエンス概論第一=1-1 データとは
データサイエンス概論第一=1-1 データとは
 
[DL輪読会]A Simple Unified Framework for Detecting Out-of-Distribution Samples a...
[DL輪読会]A Simple Unified Framework for Detecting Out-of-Distribution Samples a...[DL輪読会]A Simple Unified Framework for Detecting Out-of-Distribution Samples a...
[DL輪読会]A Simple Unified Framework for Detecting Out-of-Distribution Samples a...
 
リスク可視化の基本的方法
リスク可視化の基本的方法リスク可視化の基本的方法
リスク可視化の基本的方法
 
データサイエンス概論第一=1-2 データのベクトル表現と集合
データサイエンス概論第一=1-2 データのベクトル表現と集合データサイエンス概論第一=1-2 データのベクトル表現と集合
データサイエンス概論第一=1-2 データのベクトル表現と集合
 
データサイエンス概論第一=4-1 相関・頻度・ヒストグラム
データサイエンス概論第一=4-1 相関・頻度・ヒストグラムデータサイエンス概論第一=4-1 相関・頻度・ヒストグラム
データサイエンス概論第一=4-1 相関・頻度・ヒストグラム
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
 
ICLR2018出張報告
ICLR2018出張報告ICLR2018出張報告
ICLR2018出張報告
 
NeurIPS2019参加報告
NeurIPS2019参加報告NeurIPS2019参加報告
NeurIPS2019参加報告
 
ae-3. ディープラーニングの基礎
ae-3. ディープラーニングの基礎ae-3. ディープラーニングの基礎
ae-3. ディープラーニングの基礎
 
事前登録のやり方
事前登録のやり方事前登録のやり方
事前登録のやり方
 

More from Akira Kanaoka

We regret to inform you
We regret to inform youWe regret to inform you
We regret to inform youAkira Kanaoka
 
ユーザブルセキュリティワークショップ(UWS)2017発表論文の特徴分析
ユーザブルセキュリティワークショップ(UWS)2017発表論文の特徴分析ユーザブルセキュリティワークショップ(UWS)2017発表論文の特徴分析
ユーザブルセキュリティワークショップ(UWS)2017発表論文の特徴分析Akira Kanaoka
 
Usable Security & Privacy研究でのクラウドソーシング利用の現状
Usable Security & Privacy研究でのクラウドソーシング利用の現状Usable Security & Privacy研究でのクラウドソーシング利用の現状
Usable Security & Privacy研究でのクラウドソーシング利用の現状Akira Kanaoka
 
IEEE-SP 2012勉強会:「Off-Path TCP Sequence Number Inference Attack - How Firewall...
IEEE-SP 2012勉強会:「Off-Path TCP Sequence Number Inference Attack - How Firewall...IEEE-SP 2012勉強会:「Off-Path TCP Sequence Number Inference Attack - How Firewall...
IEEE-SP 2012勉強会:「Off-Path TCP Sequence Number Inference Attack - How Firewall...Akira Kanaoka
 
USENIX Security ’12勉強会:Session「The Brain」
USENIX Security ’12勉強会:Session「The Brain」USENIX Security ’12勉強会:Session「The Brain」
USENIX Security ’12勉強会:Session「The Brain」Akira Kanaoka
 
透過型確率的パケットマーキング装置の提案と開発(オープンルータコンペティション発表資料)
透過型確率的パケットマーキング装置の提案と開発(オープンルータコンペティション発表資料)透過型確率的パケットマーキング装置の提案と開発(オープンルータコンペティション発表資料)
透過型確率的パケットマーキング装置の提案と開発(オープンルータコンペティション発表資料)Akira Kanaoka
 

More from Akira Kanaoka (6)

We regret to inform you
We regret to inform youWe regret to inform you
We regret to inform you
 
ユーザブルセキュリティワークショップ(UWS)2017発表論文の特徴分析
ユーザブルセキュリティワークショップ(UWS)2017発表論文の特徴分析ユーザブルセキュリティワークショップ(UWS)2017発表論文の特徴分析
ユーザブルセキュリティワークショップ(UWS)2017発表論文の特徴分析
 
Usable Security & Privacy研究でのクラウドソーシング利用の現状
Usable Security & Privacy研究でのクラウドソーシング利用の現状Usable Security & Privacy研究でのクラウドソーシング利用の現状
Usable Security & Privacy研究でのクラウドソーシング利用の現状
 
IEEE-SP 2012勉強会:「Off-Path TCP Sequence Number Inference Attack - How Firewall...
IEEE-SP 2012勉強会:「Off-Path TCP Sequence Number Inference Attack - How Firewall...IEEE-SP 2012勉強会:「Off-Path TCP Sequence Number Inference Attack - How Firewall...
IEEE-SP 2012勉強会:「Off-Path TCP Sequence Number Inference Attack - How Firewall...
 
USENIX Security ’12勉強会:Session「The Brain」
USENIX Security ’12勉強会:Session「The Brain」USENIX Security ’12勉強会:Session「The Brain」
USENIX Security ’12勉強会:Session「The Brain」
 
透過型確率的パケットマーキング装置の提案と開発(オープンルータコンペティション発表資料)
透過型確率的パケットマーキング装置の提案と開発(オープンルータコンペティション発表資料)透過型確率的パケットマーキング装置の提案と開発(オープンルータコンペティション発表資料)
透過型確率的パケットマーキング装置の提案と開発(オープンルータコンペティション発表資料)
 

セッション「But Maybe All You Need Is Something to Trust」の紹介

  • 1. Session “But Maybe All You Need Is Something to Trust”の論文紹介 USENIX Security ‘15 勉強会 2015年12月2日 金岡 晃(東邦大)
  • 2. Papers on the session • Measuring Real-World Accuracies and Biases in Modeling Password Guessability – Blase Ur, Sean M. Segreti, Lujo Bauer, Nicolas Christin, Lorrie Faith Cranor, Saranga Komanduri, and Darya Kurilova (Carnegie Mellon University), Michelle L. Mazurek (University of Maryland), William Melicher , Richard Shay (Carnegie Mellon University) • Sound-Proof: Usable Two-Factor Authentication Based on Ambient Sound – Nikolaos Karapanos, Claudio Marforio, Claudio Soriente, and Srdjan Čapkun (ETH Zürich) • Android Permissions Remystified: A Field Study on Contextual Integrity – Primal Wijesekera (University of British Columbia), Arjun Baokar, Ashkan Hosseini, Serge Egelman, and David Wagner (University of California, Berkeley), Konstantin Beznosov (University of British Columbia) 1 2015/12/2 USENIX Security '15勉強会
  • 3. MEASURING REAL-WORLD ACCURACIES AND BIASES IN MODELING PASSWORD GUESSABILITY Blase Ur, Sean M. Segreti, Lujo Bauer, Nicolas Christin, Lorrie Faith Cranor, Saranga Komanduri, and Darya Kurilova (Carnegie Mellon University), Michelle L. Mazurek (University of Maryland), William Melicher , Richard Shay (Carnegie Mellon University) 2 2015/12/2 USENIX Security '15勉強会
  • 4. 概要 • パスワードの強度 – 本当の、実世界における、パスワードの強度ってどうなんですか? – 統計的なパスワード強度ではなく、現実的なパスワード強度を、しかもパスワード単体 (データセットではなく)で求めたい • アプローチはある – 統計的アプローチ • シャノンの情報量 • Alpha-guesswork • Guessability – 何回の推測試行でどれくらいの量のパスワードが推測成功するか • 4つのパスワードセットと、5つのパスワードクラックアプローチを準備 • まとめ – プロによる半自動攻撃は自動攻撃より強い – 複数手法を混ぜると強い • しかし注意深いチューニングが必要 – 1つの方法での解析は不十分 – 研究へのインパクト • 荒い解析だと攻撃手法が異なっても同じ結果になるが、きちんと(Fine-grained)解析 されると異なる結果になる • 1つのパスワードに対する解析結果も異なる • Password Guessability Service(PGS)というサービスを提供 3 2015/12/2 USENIX Security '15勉強会
  • 5. 5つのクラッキングアプローチ 2015/12/2 USENIX Security '15勉強会 4 John The Ripper 自動手法・ツール Hashcat マルコフモデル 確率的文脈非依存文法 (Probabilistic Context-Free Grammer、PCFG) 人手(半自動) KoreLogic社による解析
  • 6. KoreLogic • パスワードリカバリサービスを提供している会社 – Fortune誌のトップ500会社にサービス提供 • DEFCONのCrack Me If You Canを主催 • 利用ツール – JTR – HashCat – マルコフモデル(これまでの10年を超える検査から得ている) 2015/12/2 USENIX Security '15勉強会 5
  • 7. データセット 2015/12/2 USENIX Security '15勉強会 6 • 13345のパスワード • これまでの研究で得たパスワード(どういう構成ポリシで作成されてい たかの付属データ付) 論文のTable1より引用
  • 8. データセット 2015/12/2 USENIX Security '15勉強会 7 発表資料のスライド35より引用
  • 9. 訓練データ • 漏えいパスワードデータを利用 – MySpace – RockYou – Yahoo! • 辞書 – Google Web Corpus – UNIX Dictionary – SCOWL(250000語) 2015/12/2 USENIX Security '15勉強会 8
  • 10. 結果:Basic 2015/12/2 USENIX Security '15勉強会 9 論文のFigure2より引用
  • 11. 結果:Complex 2015/12/2 USENIX Security '15勉強会 10 論文のFigure3より引用
  • 12. 結果:LongBasic 2015/12/2 USENIX Security '15勉強会 11 論文のFigure4より引用
  • 13. 結果:LongComplex 2015/12/2 USENIX Security '15勉強会 12 論文のFigure5より引用
  • 14. 結果: 2015/12/2 USENIX Security '15勉強会 13 論文のFigure6より引用
  • 15. 結果: 2015/12/2 USENIX Security '15勉強会 14 論文のFigure8より引用
  • 16. 論文の周辺情報 • 著者数 – 10人 • ページ数 – 19 • 参考文献数 – 72 2015/12/2 USENIX Security '15勉強会 15 1. Introduction(1.5p) 2. Related Work(1.5p) 3. Methodology(3p) 1. Datasets 2. Training Data 3. Simulating Password Cracking 4. Computational Limitations 4. Results(7p) 1. The Importance of Configuration 2. Comparison of Guessing Approaches 3. Differences Across Approaches 4. Robustness of Analyses to Approach 5. Conclusion(0.5p)
  • 17. 概要 • パスワードの強度 – 本当の、実世界における、パスワードの強度ってどうなんですか? – 統計的なパスワード強度ではなく、現実的なパスワード強度を、しかもパスワード単体 (データセットではなく)で求めたい • アプローチはある – 統計的アプローチ • シャノンの情報量 • Alpha-guesswork • Guessability – 何回の推測試行でどれくらいの量のパスワードが推測成功するか • 4つのパスワードセットと、5つのパスワードクラックアプローチを準備 • まとめ – プロによる半自動攻撃は自動攻撃より強い – 複数手法を混ぜると強い • しかし注意深いチューニングが必要 – 1つの方法での解析は不十分 – 研究へのインパクト • 荒い解析だと攻撃手法が異なっても同じ結果になるが、きちんと(Fine-grained)解析 されると異なる結果になる • 1つのパスワードに対する解析結果も異なる • Password Guessability Service(PGS)というサービスを提供 16 2015/12/2 USENIX Security '15勉強会
  • 18. SOUND-PROOF: USABLE TWO-FACTOR AUTHENTICATION BASED ON AMBIENT SOUND Nikolaos Karapanos, Claudio Marforio, Claudio Soriente, and Srdjan Čapkun (ETH Zürich) 17 2015/12/2 USENIX Security '15勉強会
  • 19. 手法概要 • パスワード – 問題あり • 2要素認証(2 Factor Authentication:2FA)に注目 – 端末にコード送るとか – めんどい(ユーザのアクションが) • 音声を利用 – サーバが端末とPCの両方に音声データ送信 – PCが音声発信 – 端末が音声受信 • 類似度計算 – 類似度をサーバに送る – サーバが判定 18 2015/12/2 USENIX Security '15勉強会
  • 20. 結果 2015/12/2 USENIX Security '15勉強会 19 論文のFigure3より引用
  • 21. 結果 2015/12/2 USENIX Security '15勉強会 20 論文のFigure5より引用
  • 22. ユーザ実験 • 32人 2015/12/2 USENIX Security '15勉強会 21 発表資料のスライド16より引用
  • 23. 論文の周辺情報 • 著者数 – 4人 • ページ数 – 16 • 参考文献数 – 53 2015/12/2 USENIX Security '15勉強会 22 1. Introduction(1p) 2. Assumptions and Goals(0.5p) 3. Alternative Approaches(1p) 4. Background on Sound Similarity (1p) 5. Sound-Proof Architecture (1.5p) 6. Prototype Implementation (1p) 7. Evaluation(3.5p) 1. Analysis 2. False Rejection Rate 3. Advanced Attack Scenarios 8. User Study(1.5p) 9. Discussion(1.5p) 10.Related Work(0.5p) 11.Conclusion(0.2p)
  • 24. ANDROID PERMISSIONS REMYSTIFIED: A FIELD STUDY ON CONTEXTUAL INTEGRITY Primal Wijesekera (University of British Columbia), Arjun Baokar, Ashkan Hosseini, Serge Egelman, and David Wagner (University of California, Berkeley), Konstantin Beznosov (University of British Columbia) 23 2015/12/2 USENIX Security '15勉強会
  • 25. 概要 • Android OSにおいて、どれくらい・どの状況でスマホアプリがパー ミッションに保護されたリソースにアクセスしているか、のデータ を収集 • 36人のフィールド調査 – Contextual Integrityの意向調査: • Contextual Integrityユーザが予期しないときにアプリが保護リ ソースにアクセスすること • 調査後のインタビューを含め、複数のことが判明 – パーミッションへのリクエストの回数 – 利用者の8割が少なくとも1回はパーミッションリクエストをブ ロックした経験 – 全リクエストの35%が不適切である、という結果 24 2015/12/2 USENIX Security '15勉強会
  • 27. 結果 2015/12/2 USENIX Security '15勉強会 26 発表資料のスライド9より引用
  • 28. 結果 2015/12/2 USENIX Security '15勉強会 27 発表資料のスライド16より引用
  • 29. 結果 2015/12/2 USENIX Security '15勉強会 28 発表資料のスライド18より引用
  • 30. 論文の周辺情報 • 著者数 – 6人 • ページ数 – 16 • 参考文献数 – 48 2015/12/2 USENIX Security '15勉強会 29 1. Introduction(1p) 2. Related Work(1p) 3. Methodology(3.5p) 1. Tracking Access to Sensitive Data 2. Recruitment 3. Exit Survey 4. Application Behaviors(3p) 1. Invisible Permission Requests 2. High Frequency Requests 3. Frequency of Data Exposure 5. User Expectations and Reactions (2p) 1. Reasons for Blocking 2. Influential Factors 6. Feasibility of Runtime Requests (1.5p) 7. Discussion(1p)