ProcurePass: A User Authentication Protocol to Resist Password Stealing and Password Reuse Attack

CellphoneとSMSを利用することで,パスワードの盗難と再利用攻撃(Password Reuse Attack: アカウントリスト攻撃?)に対抗できるユーザ認証プロトコルを考案した,という論文.
携帯通信事業者を個人認証の仕組みの1つとして利用しつつ,Webサービス運用側にも認証要求をSMSで受け付けるため電話番号を持つことを必要とする仕組み.
(ISCBI 2013).

Read more

An Empirical Study of Wireless Carrier Authentication for SIM Swaps

SIM Swapによる攻撃に対する脆弱性の調査.SMSによる二要素認証のコード通知は実際に運用されているが,この認証に対する攻撃として SIM Swap攻撃 によるなりすましの問題がある.この問題について調査した結果,いくつかのWeb(キャリア?)では実際にこの攻撃に対して脆弱であることが確認できた.という研究.
(SOUPS 2020)

著者らのWebで情報公開も行っている
URL: https://www.issms2fasecure.com/.

Read more

“You still use the password after all – Exploring FIDO2 Security Keys in a Small Company"

とある小さな会社が,Webアプリケーションの個人認証にセキュリティトークンによるFIDO2の個人認証を導入した.その導入プロセスにおける観察とインタビュにより,個人認証のユーザビリティとセキュリティ認知に関する定性的調査を行なった論文
(SOUPS 2020)

Read more