喵ID:uqcoG8免责声明

The Devil Is Phishing: Rethinking Web Single Sign-On Systems Security

网络钓鱼是魔鬼:重新思考 Web 单点登录系统安全

基本信息

DOI:
--
发表时间:
2013
期刊:
USENIX Workshop on Large-Scale Exploits and Emergent Threats
影响因子:
--
通讯作者:
Chuan Yue
中科院分区:
文献类型:
--
作者: Chuan Yue研究方向: -- MeSH主题词: --
关键词: --
来源链接:pubmed详情页地址

文献摘要

One significant trend in online user authentication is using Web Single Sign-On (SSO) systems. Especially, open Web SSO standards such as OpenID and OAuth are rapidly gaining adoption on the Web, and they enable over one billion user accounts. However, the largescale threat from phishing attacks to real-world Web SSO systems has been significantly underestimated and insufficiently analyzed. In this paper, we (1) pinpoint what are really unique in Web SSO phishing, (2) provide one example to illustrate how the identity providers (IdPs) of Web SSO systems can be spoofed with ease and precision, (3) present a preliminary user study to demonstrate the high effectiveness (20 out of 28, or 71% of participants became “victims”) of Web SSO phishing attacks, and (4) call for a collective effort to effectively defend against the insidious Web SSO phishing attacks.
在线用户认证的一个重要趋势是使用网络单点登录(SSO)系统。特别是,像OpenID和OAuth这样的开放网络SSO标准在网络上迅速得到采用,它们支持超过10亿个用户账户。然而,网络钓鱼攻击对现实世界中的网络SSO系统造成的大规模威胁被严重低估且分析不足。在本文中,我们(1)明确指出网络SSO钓鱼攻击的独特之处,(2)提供一个例子来说明网络SSO系统的身份提供者(IdPs)是如何能够轻易且精准地被伪造的,(3)展示一项初步的用户研究,以证明网络SSO钓鱼攻击的高效性(28人中有20人,即71%的参与者成为“受害者”),以及(4)呼吁共同努力有效抵御这种隐蔽的网络SSO钓鱼攻击。
参考文献(1)
被引文献(21)

数据更新时间:{{ references.updateTime }}

Chuan Yue
通讯地址:
--
所属机构:
--
电子邮件地址:
--
免责声明免责声明
1、猫眼课题宝专注于为科研工作者提供省时、高效的文献资源检索和预览服务;
2、网站中的文献信息均来自公开、合规、透明的互联网文献查询网站,可以通过页面中的“来源链接”跳转数据网站。
3、在猫眼课题宝点击“求助全文”按钮,发布文献应助需求时求助者需要支付50喵币作为应助成功后的答谢给应助者,发送到用助者账户中。若文献求助失败支付的50喵币将退还至求助者账户中。所支付的喵币仅作为答谢,而不是作为文献的“购买”费用,平台也不从中收取任何费用,
4、特别提醒用户通过求助获得的文献原文仅用户个人学习使用,不得用于商业用途,否则一切风险由用户本人承担;
5、本平台尊重知识产权,如果权利所有者认为平台内容侵犯了其合法权益,可以通过本平台提供的版权投诉渠道提出投诉。一经核实,我们将立即采取措施删除/下架/断链等措施。
我已知晓