Credential stuffing attacks use stolen passwords to log into victim accounts. To defend against these attacks, recently deployed compromised credential checking (C3) services provide APIs that help users and companies check whether a username, password pair is exposed. These services however only check if the exact password is leaked, and therefore do not mitigate credential tweaking attacks in which the adversary guesses variants of a user's leaked passwords. We initiate work on C3 APIs that protect users from credential tweaking attacks. The core underlying challenge is how to identify passwords that are similar to their leaked passwords while preserving honest clients' privacy and also preventing malicious clients from extracting breach data from the service. We formalize the problem and explore a variety of ways to measure password similarity that balance efficacy, performance, and security. Based on this exploration, we design "Might I Get Pwned" (MIGP), a new kind of breach alerting service. Our simulations show that MIGP reduces the efficacy of state-of-the-art 10-guess credential tweaking attacks by 81%. MIGP preserves user privacy and limits potential exposure of sensitive breach entries. We show that the protocol is fast, with response time close to existing C3 services, and suitable for real-world deployment.


翻译:为了防范这些攻击,最近部署的失密身份检查(C3)服务提供了API, 帮助用户和公司检查用户名、密码对对口是否暴露。然而,这些服务只检查准确密码是否泄漏,因此不能减少对口人猜测用户密码泄漏变异的确认性攻击。我们启动了C3 API的工作,保护用户不受身份攻击。核心挑战在于如何识别类似于其泄露密码的密码,同时保护诚实客户的隐私,并防止恶意客户从服务中获取违反数据。我们把问题正式化,并探索多种方法来测量密码的相似性,以平衡、性能和安全性。根据这次探索,我们设计了“Iight I get Pwned” (MIGP),这是一种新型的违约警报服务。我们的模拟显示,MIGP降低了10号状态密码的功效,同时防止恶意客户从服务中获取违反数据。我们把问题正式化,并探索了各种方法来测量密码的类似性能、性能和安全性。我们设计了“MIGP ”,这是一种新的违约警报服务。我们的模拟显示MIGP降低了10号状态的效能效率, 和准确的密码访问限制,我们展示了现有密码访问的准确的密码访问的准确度。

0
下载
关闭预览

相关内容

移动数字广告与互联网反欺诈蓝皮报告
专知会员服务
26+阅读 · 2021年5月13日
专知会员服务
112+阅读 · 2020年11月16日
专知会员服务
39+阅读 · 2020年9月6日
Linux导论,Introduction to Linux,96页ppt
专知会员服务
78+阅读 · 2020年7月26日
2019年机器学习框架回顾
专知会员服务
35+阅读 · 2019年10月11日
[综述]深度学习下的场景文本检测与识别
专知会员服务
77+阅读 · 2019年10月10日
已删除
将门创投
5+阅读 · 2019年6月28日
A Technical Overview of AI & ML in 2018 & Trends for 2019
待字闺中
17+阅读 · 2018年12月24日
Arxiv
0+阅读 · 2021年11月19日
Arxiv
6+阅读 · 2018年2月7日
VIP会员
相关VIP内容
移动数字广告与互联网反欺诈蓝皮报告
专知会员服务
26+阅读 · 2021年5月13日
专知会员服务
112+阅读 · 2020年11月16日
专知会员服务
39+阅读 · 2020年9月6日
Linux导论,Introduction to Linux,96页ppt
专知会员服务
78+阅读 · 2020年7月26日
2019年机器学习框架回顾
专知会员服务
35+阅读 · 2019年10月11日
[综述]深度学习下的场景文本检测与识别
专知会员服务
77+阅读 · 2019年10月10日
相关资讯
已删除
将门创投
5+阅读 · 2019年6月28日
A Technical Overview of AI & ML in 2018 & Trends for 2019
待字闺中
17+阅读 · 2018年12月24日
Top
微信扫码咨询专知VIP会员