Distributed single password protocols

Abstract

Parolalar, çevrimici kullanıcı kimlik dogrulamada kullanılan en yaygın yöntemdir.Geleneksel parola sistemlerinde, bir kullanıcı bir giriş sunucusuna kimlik doğrulamasınıdüşük dağıntılı hatırlaması kolay bir parola ile yapar. Maalesef bu alandaki mevcutçözümler ne oltalama (phishing), aradaki adam (man-in-the-middle), balküpü (honeypot)ve çevrimdışı sözlük gibi saldırılarılara karşı güvenli ne de portatiftirler. Dağıtılmış tek parolalı sistemler yukarıda bahsi geçen saldırlara karşıgüvensiz olan geleneksel parola protokollerinin zorluklarını gidermek amacıyla önerilmiştir. Dağıtılmış tek parolalı sistemler bu saldırılara kars güvenliği normalsistemlere ek bir depolama saglaycısı ekleyerek (ornegin; bir bulut depolama veyataşınabilir bir mobil cihaz) sağlar. Bu sistemler teorik olarak güvenlik ispatı sunmalarının yanı sıra, kullancının bütün hesapları için düşük dagıntııl tek bir parolayı güvenli bir sekilde kullanmasına olanak sağlarlar. Bu tezde, güvenli dağıtılmış tek parolalı sistemler için genel bir yapı (çerçeve) sunulmustur. Bu yapıdan ve buyapıda sunulan özelliklere sahip farklı kriptografik taslaklardan faydalanarak güvenlidağıtılmış tek parolalı sistem örnekleri sunulmuş ve bu örneklerin performans değerlendirmelerisayısal olarak ortaya konmuştur. Bu yapıdan oluşturulan bir sistem örneğitanıtılmıştır. Genel yapının teorik ispatı için ideal ve reel dünya güvenlik tanımlamarıyapılmış ve bu örneğin teorik ispatını da bu ideal-reel simulasyon ile kanıtlanmıştır.Son olarak, sundugumuz örneğin ve daha önceden literaturde sunulmuş ancak kullanıcı deneyi yapılmamış olan dagıtılmış tek parolalı bir sistemin kullanıcı deneyçalışmaları gercekleştirilmiştir. Bu sistemlerin kullanıcı deneylerini günümüzde yaygınolarak kullanlan ve bir çok saldırıya karşı guvensiz olan geleneksel parola ve iki faktörlü kimlik doğrulama sistemleriyle karşılaştırılmış ve dağıtılmış tek parolalı sistemlerinbu alternatiferine göre daha kullanılabilir olduğu gözlemlenmiştir.

Passwords are the most widely used factor in various areas such as secret sharing,key establishment, and user authentication. Single password protocols are proposed(starting with [Belenkiy et al., 2011]) to overcome the challenges of traditional passwordprotocols and provide provable security against offline dictionary, man-in-the-middle,phishing, and honeypot attacks. While they ensure provable security, theyallow a user securely to use a single low-entropy human-memorable password for allher accounts. They achieve this with the help of a cloud or mobile storage device.However, an attacker corrupting both the login server and storage can mount anonline dictionary attack on user's single password.In this thesis, we introduce a framework for distributed single password protocols(DiSPP) that analyzes existing protocols, improves upon them regarding novel constructionsand distributed schemes, and allows exploiting alternative cryptographicprimitives to obtain secure distributed single password protocols with various tradeoffs. Previous single password solutions can be instantiated as part of our framework.We further introduce a secure DiSPP instantiation derived from our framework enforcingthe adversary to corrupt several cloud and mobile storage devices in additionto the login server in order to perform a successful offline dictionary attack. We alsoprovide a comparative analysis of different solutions derived from our framework.We define ideal and real world indistinguishability for DiSPP, and formally prove securityof our proposed solution via ideal-real simulation. Finally, we implement twoDiSPP instantiations (based on mobile and cloud) and assess their usability with theircounterparts (traditional password and two-factor authentication). We conclude thatDiSPP systems overall constitute a usable alternative to existing solutions that donot provide offline dictionary attack protection.