一所大学对利用重用密码进行攻击的脆弱性的二十年回顾性分析

作者:

亚历山德拉·尼塞诺夫,芝加哥大学/卡内基梅隆大学;马克西米利安·戈拉,芝加哥大学/马克斯·普朗克安全与隐私研究所;Miranda Wei,芝加哥大学/华盛顿大学;朱丽叶·海因琳、海莉·西马内克、安妮卡·布劳恩、安妮卡·希尔德布兰特、布莱尔·克里斯滕森、大卫·兰根伯格和布莱斯·乌尔,芝加哥大学

杰出论文奖得主

摘要:

凭据猜测攻击经常利用用户在线帐户中重复使用的密码。为了了解组织如何更好地保护用户,我们回顾性地分析了20年来我校在凭证猜测攻击方面的脆弱性。给出一个大学用户名列表,我们在数百个网站的数据泄露和十几个大型泄露汇编中搜索匹配项。在破解散列密码和调整猜测后,我们在数据泄露中成功地猜测了32.0%与大学电子邮件地址匹配的帐户的密码,以及6.5%与用户名(但不一定是域)匹配的帐户。在被泄露的数据被泄露后,这些账户中的许多账户在数年内仍然存在漏洞,在泄露中逐字发现的密码被利用的可能性(即观察到可疑账户活动)几乎是经过调整的猜测的四倍。超过70种不同的数据泄露和各种匹配用户名的策略引导了正确的猜测。在对40名密码被我们猜到的用户进行的调查中,许多用户不知道他们的大学帐户存在风险,也不知道他们所持有的证书遭到了破坏。我们大学对密码重用的分析为组织保护帐户提供了实用建议。

开放存取媒体

USENIX致力于开放访问我们活动上展示的研究。活动开始后,所有人都可以免费获得论文和会议记录。活动结束后发布的任何视频、音频和/或幻灯片也免费向所有人开放。支持USENIX以及我们对开放存取的承诺。

BibTeX公司
@进行中{291235,
作者={Alexandra Nisenoff和Maximilian Golla和Miranda Wei和Juliette Hainline和Hayley Szymanek和Annika Braun和Annika Hildebrandt和Blair Christensen和David Langenberg和Blase Ur},
title={A{两个十年}一所大学{\textquoteright}对利用重用密码进行攻击的漏洞的回顾性分析},
booktitle={第32届USENIX安全研讨会(USENIX-Security 23)},
年份={2023},
isbn={978-1-939133-37-3},
地址={加利福尼亚州阿纳海姆},
页码={5127--5144},
url={https://www.usenix.org/conference/usenixsecurity23/presentation/nisenoff-retrospective},
publisher={USENIX协会},
月=八月
}
下载
PDF图标 尼森诺夫PDF
查看幻灯片

演示文稿视频