최소 단어 이상 선택하여야 합니다.
최대 10 단어까지만 선택 가능합니다.
다음과 같은 기능을 한번의 로그인으로 사용 할 수 있습니다.
NTIS 바로가기情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.30 no.1, 2020년, pp.17 - 27
웹사이트 로그인 정보 및 결제 정보들을 편리하게 관리하기 위해 패스워드 매니저를 이용하는 사용자가 증가하고 있다. 패스워드 매니저는 사용자의 웹사이트 로그인 정보 및 결제 정보들을 서버상에 암호화하여 저장하고, 사용자는 서버에 접속하여 패스워드 정보들을 수신하여 사용한다. 따라서, 공격자가 패스워드 매니저와 서버와의 통신 메시지를 스니핑하여 메시지 내용을 해독할 수 있거나, 또는 공격자가 사용자의 메모리 정보를 탈취하여 메시지 내용을 해독할 수 있으면, 사용자의 모든 패스워드 정보가 노출되는 심각한 문제가 발생한다. 본 논문에서는 주요 패스워드 매니저들의 클라이언트-서버 통신 및 암호 방법을 분석하고, 클라이언트-서버 통신에 심각한 취약점이 있음을 보인다.
Many users are using password managers in order to conveniently manage several usernames and passwords needed to access the web sites. The password manager encrypts and stores several passwords on the server, and the user accesses the server to receive the password information. Thus, if an attacker ...
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
핵심어 | 질문 | 논문에서 추출한 답변 |
---|---|---|
LastPass 클라이언트 프로그램은 로그인이 완료되면 서버로부터 무엇을 수신하여 로컬 컴퓨터에 저장하는가? | LastPass 클라이언트 프로그램은 로그인이 완료되면, 서버로부터 사용자 비밀 정보 데이터베이스를 수신하여 로컬 컴퓨터에 저장한다. 데이터베이스가 저장되는 파일 경로는 브라우저에 따라 다르며 크롬, 인터넷 익스플로러, 파이어폭스 브라우저는 Table 1에 기술한 바와 같다. | |
LastPass와 서버 간의 송수신 과정에서 LastPass는 서버로 보내는 요청 메시지에 무엇을 포함하여 전송하는가? | 4는 LastPass와 서버 간의 송수신 과정을 보인다. 사용자 컴퓨터에 설치된 LastPass는 서버로 보내는 요청 메시지에 사용자의 아이디와 마스터 패스워드의 해쉬값을 포함하여 전송한다. 서버는 클라이언트가 보낸 요청 메시지의 아이디와 패스워드를 확인한 후, 클라이언트에 보내는 응답 메시지에 사용자의 비밀 정보 데이터베이스를 복호화할 수 있는 “pwdeckey”를 포함하여 전송한다. | |
LastPass은 무엇에 따라 사용자의 비밀 정보 데이터베이스 저장 위치를 달리하는가? | LastPass는 Fig. 2와 같은 로그인 화면에서 “암호 기억” 옵션에 따라 사용자의 비밀 정보 데이터베이스 저장 위치를 달리한다[23]. 옵션을 선택하면 사용자 로컬 컴퓨터에 저장하고, 옵션을 선택하지 않으면 서버에 저장한다. |
J. Bonneau, C. Herley, P. C. van Oorschot, and F. Stajano, "The quest to replace passwords: A framework for comparative evaluation of web authentication schemes," in Proc. IEEE Symposium on Security and Privacy, pp. 553-567, May 2012.
ResearchAndMarcket, "Global password management market to 2024," https://www.researchandmarkets.com/reports/4773624, Jun. 2019.
ResearchAndMarcket, "Password management market - Growth, trends, and forecast (2020-2025)," https://www.mordorintelligence.com/industry-reports/password-management-market, Jan. 2020.
P. Gasti and K. B. Rasmussen, "On the security of password manager database formats," in Proc. European Symposium on Research in Computer Security, pp. 770-787, Sep. 2012.
S. Kim and H. Kim, "Security analysis of password managers," Review of Korea Institute of Information Security and Cryptology, vol. 28, no. 1, pp. 36-42, Feb. 2018.
H. Jeong and J. So, "Security of password vaults of password managers," Journal of the Korea Institute of Information Security and Cryptology, vol. 28, no. 5, pp. 1047-1057, Oct. 2018.
M. Golla, B. Beuscher, and M. Durmuth, "On the security of cracking-resistant password vaults," in Proc. ACM SIGSAC Conference on Computer and Communications Security (CCS), pp. 1230-1241, Oct. 2016.
D. Silver, S. Jana, D. Boneh, E. Chen, and C. Jackson, "Password managers: Attacks and defenses," in Proc. USENIX Security Symposium, pp. 449-464, Aug. 2014.
Z. Li, W. He, D. Akhawe, and D. Song, "The emperor's new password manager: Security analysis of web-based password managers," in Proc. USENIX Security Symposium, pp. 465-479, Aug. 2014.
X. Li and Y. Xue, "A survey on server-side approaches to securing web applications," ACM Computing Surveys, vol. 46, no. 4, pp. 1-29, Apr. 2014.
R. Zhao and C. Yue, "All your browser-saved passwords could belong to us: A security analysis and a cloud-based new design," in Proc. ACM conference on Data and Application Security and Privacy, pp. 333-340, Feb. 2013.
M. Vigo and A. Garcia, "Even the Last Pass will be gone, deal with it," Black Hat Europe 2015.
J. Gray, V. N. L, Franqueira, and Y. Yu, "Forensically-sound analysis of security risks of using local password managers," in Proc. International Requirements Engineering Conference Workshops, pp. 1-8, Sep. 2016.
H. Zhang, J. Hong, and J. Hu, "Analysis of encryption mechanism in KeePass Password Safe 2.30," in Proc. IEEE International Conference on Anti-counterfeiting, Security, and Identification (ASID), pp. 43-46, Sep. 2016.
Asecurelife, "Best password manager for stroing, secure passwords," https://www.asecurelife.com/best-password-manager/, Dec. 2019.
T. Ferrill, "The 6 best password managers," CSO news, https://www.csoonline.com/article/3198507/the-6-best-password-managers.html, Jul, 2019.
N. J. Rubenking, "The best password managers for 2020," PC Reviews, https://www.pcmag.com/roundup/300318/the-best-password-managers, Dec. 2019.
Tom's guide, "Best password managers 2020," https://www.tomsguide.com/us/best-password-managers,review-3785.html, Dec. 2019.
Google Play, "LastPass password manager," https://play.google.com/store/apps/details?idcom.lastpass.lpandroid&hlko, Jan. 2020.
LastPass, "LastPass Homepage," https://www.lastpass.com/, Jan. 2020.
Chrome Web store, "LastPass: Free password manager," https://chrome.google.com/webstore/detail/lastpass-freepassword-ma/hdokiejnpimakedhajhdlcegeplioahd?hlko, Jan. 2020.
Statcounter, "Desktop browser market share in republic of korea - December 2019," https://gs.statcounter.com/browser-market-share/desktop/south-korea, Jan. 2020
LastPass, "Technical whitepaper," http://enterprise.lastpass.com, pp. 1-20, Mar. 2018.
SQLite, "DB browser for SQLite," http://sqlitebrowser.org, Mar. 2018.
Softcows, "Quick memory editor," http://softcows.com, Mar. 2018.
G. McDonald, "Proecess dump," GitHub, https://github.com/glmcdona/Process-Dump, Apr. 2019.
KeePass Password Safe, "KeePass password safe," https://keepass.info, Apr. 2018.
KeePass, "Awards/ratings - Keepass," http://keepass.info/ratings.html, Sep, 2015.
KeePassHttp, "KeePass plugin to expose password entries securely over HTTP," https://github.com/pfn/keepasshttp/, May 2017.
PassIFox and chromeIPass, "Extensions to allow Chrome and Firefox," https://github.com/pfn/passifox, Feb. 2018.
KeePassHttp-Connector, "Extension to allow Chrome and Firefox," https://github.com/smorks/keepasshttp-connector, Aug. 2019.
mh-nexus, "HxD - Freeware Hex editor and disk editor," https://mh-nexus.de/en/hxd, May 2018.
*원문 PDF 파일 및 링크정보가 존재하지 않을 경우 KISTI DDS 시스템에서 제공하는 원문복사서비스를 사용할 수 있습니다.
Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문
※ AI-Helper는 부적절한 답변을 할 수 있습니다.