当前位置:
X-MOL 学术
›
arXiv.cs.HC
›
论文详情
Our official English website, www.x-mol.net, welcomes your
feedback! (Note: you will need to create a separate account there.)
Is This Really You? An Empirical Study on Risk-Based Authentication Applied in the Wild
arXiv - CS - Human-Computer Interaction Pub Date : 2020-03-17 , DOI: arxiv-2003.07622 Stephan Wiefling, Luigi Lo Iacono and Markus D\"urmuth
arXiv - CS - Human-Computer Interaction Pub Date : 2020-03-17 , DOI: arxiv-2003.07622 Stephan Wiefling, Luigi Lo Iacono and Markus D\"urmuth
Risk-based authentication (RBA) is an adaptive security measure to strengthen
password-based authentication. RBA monitors additional implicit features during
password entry such as device or geolocation information, and requests
additional authentication factors if a certain risk level is detected. RBA is
recommended by the NIST digital identity guidelines, is used by several large
online services, and offers protection against security risks such as password
database leaks, credential stuffing, insecure passwords and large-scale
guessing attacks. Despite its relevance, the procedures used by
RBA-instrumented online services are currently not disclosed. Consequently,
there is little scientific research about RBA, slowing down progress and deeper
understanding, making it harder for end users to understand the security
provided by the services they use and trust, and hindering the widespread
adoption of RBA. In this paper, with a series of studies on eight popular online services, we
(i) analyze which features and combinations/classifiers are used and are useful
in practical instances, (ii) develop a framework and a methodology to measure
RBA in the wild, and (iii) survey and discuss the differences in the user
interface for RBA. Following this, our work provides a first deeper
understanding of practical RBA deployments and helps fostering further research
in this direction.
中文翻译:
这真的是你?基于风险的认证在野外应用的实证研究
基于风险的身份验证 (RBA) 是一种增强基于密码的身份验证的自适应安全措施。RBA 在密码输入期间监控其他隐式功能,例如设备或地理位置信息,并在检测到特定风险级别时请求其他身份验证因素。RBA 由 NIST 数字身份指南推荐,被多家大型在线服务使用,并提供安全风险保护,例如密码数据库泄漏、凭据填充、不安全的密码和大规模猜测攻击。尽管具有相关性,但 RBA 检测的在线服务所使用的程序目前尚未披露。因此,关于 RBA 的科学研究很少,减缓了进度和更深入的理解,使最终用户更难了解他们使用和信任的服务所提供的安全性,并阻碍了 RBA 的广泛采用。在本文中,通过对八种流行在线服务的一系列研究,我们 (i) 分析了哪些特征和组合/分类器被使用并且在实际实例中有用,(ii) 开发了一个框架和方法来衡量 RBA ,以及 (iii) 调查和讨论 RBA 用户界面的差异。在此之后,我们的工作提供了对实际 RBA 部署的第一个更深入的了解,并有助于促进在这个方向上的进一步研究。我们 (i) 分析哪些特征和组合/分类器被使用并且在实际情况中有用,(ii) 开发一个框架和方法来衡量 RBA,以及 (iii) 调查和讨论用户界面中的差异澳洲联储。在此之后,我们的工作提供了对实际 RBA 部署的第一个更深入的了解,并有助于促进在这个方向上的进一步研究。我们 (i) 分析哪些特征和组合/分类器被使用并且在实际情况中有用,(ii) 开发一个框架和方法来衡量 RBA,以及 (iii) 调查和讨论用户界面中的差异澳洲联储。在此之后,我们的工作提供了对实际 RBA 部署的第一个更深入的了解,并有助于促进在这个方向上的进一步研究。
更新日期:2020-03-18
中文翻译:
这真的是你?基于风险的认证在野外应用的实证研究
基于风险的身份验证 (RBA) 是一种增强基于密码的身份验证的自适应安全措施。RBA 在密码输入期间监控其他隐式功能,例如设备或地理位置信息,并在检测到特定风险级别时请求其他身份验证因素。RBA 由 NIST 数字身份指南推荐,被多家大型在线服务使用,并提供安全风险保护,例如密码数据库泄漏、凭据填充、不安全的密码和大规模猜测攻击。尽管具有相关性,但 RBA 检测的在线服务所使用的程序目前尚未披露。因此,关于 RBA 的科学研究很少,减缓了进度和更深入的理解,使最终用户更难了解他们使用和信任的服务所提供的安全性,并阻碍了 RBA 的广泛采用。在本文中,通过对八种流行在线服务的一系列研究,我们 (i) 分析了哪些特征和组合/分类器被使用并且在实际实例中有用,(ii) 开发了一个框架和方法来衡量 RBA ,以及 (iii) 调查和讨论 RBA 用户界面的差异。在此之后,我们的工作提供了对实际 RBA 部署的第一个更深入的了解,并有助于促进在这个方向上的进一步研究。我们 (i) 分析哪些特征和组合/分类器被使用并且在实际情况中有用,(ii) 开发一个框架和方法来衡量 RBA,以及 (iii) 调查和讨论用户界面中的差异澳洲联储。在此之后,我们的工作提供了对实际 RBA 部署的第一个更深入的了解,并有助于促进在这个方向上的进一步研究。我们 (i) 分析哪些特征和组合/分类器被使用并且在实际情况中有用,(ii) 开发一个框架和方法来衡量 RBA,以及 (iii) 调查和讨论用户界面中的差异澳洲联储。在此之后,我们的工作提供了对实际 RBA 部署的第一个更深入的了解,并有助于促进在这个方向上的进一步研究。
京公网安备 11010802027423号