Honeywords nel Browser: rilevare credenziali trapelate

Mostra/Apri
Autore
Giovanetti, Davide <2000>
Data
2024-12-18
Disponibile dal
2024-12-26
Abstract
Le honeyword sono password esca, i cui hash vengono archiviati in un sistema pur non corrispondendo a nessuna password reale associata agli utenti. Quando una honeyword viene utilizzata, segnala una compromissione del database delle password, avvisando gli amministratori di sistema di una potenziale violazione della sicurezza. In questa tesi, il ruolo delle honeywords viene esteso oltre la loro funzione tradizionale di rilevamento delle fughe di password. Il sottoscritto propone di adoperarle non solo come strumenti per identificare violazioni, ma anche come stringhe complesse associate agli utenti, archiviate in modo sicuro nel gestore di password del browser. Gli utenti possono trasformare queste esche in password operative applicando tecniche mnemoniche analoghe a quelle utilizzate nei gestori di password mentali. Tale approccio incrementa la sicurezza generando password complesse e facili da ricordare, derivate dalle honeyword. In aggiunta, l'eventuale utilizzo di una honeyword in un sistema reale allerta l'utente che il proprio browser potrebbe essere stato compromesso o che il gestore di password potrebbe essere a rischio. La tesi analizza nel dettaglio queste misure di sicurezza e presenta uno studio empirico che ne valuta l’usabilità, il carico cognitivo e l’efficacia in scenari reali di gestione delle password.
 
Honeywords are decoy passwords whose hashed versions are stored within a system, even though they do not correspond to any real user's password. When used, they indicate that a password database has been compromised, alerting system administrators to a potential breach. In this thesis, the role of honeywords is expanded beyond their traditional function of detecting password leaks. I propose leveraging honeywords not only as breach detectors, but also as complex strings related to a user and stored securely in the browser's password manager. The user then transforms these decoys into real passwords by applying mnemonic techniques similar to those used in mental password managers ([BSG20], [BSW20]). This method enhances security by creating more complex and memorable passwords derived from the decoy. Furthermore, if a decoy password is used in the real system, the user is alerted, indicating that their browser may have been compromised or the password manager might be at risk. This thesis provides an in-depth examination of the proposed security measures and an empirical study assessing the usability, cognitive load, and effectiveness of these techniques in real-world password management scenarios.
 
Tipo
info:eu-repo/semantics/masterThesis
Collezioni
URI
https://unire.unige.it/handle/123456789/10734
Metadati
Mostra tutti i dati dell'item