Hitoshi Kokumai

4年前 · 2 分の読書時間 · ~100 ·

ブログ作成
>
ブログ Hitoshi
>
Advanced Persistent Threats in Digital Identity

Advanced Persistent Threats in Digital Identity

 

wan

 

Ava
Comtiuction
Caml
fares
ES

 

 

 

 

nd

 

Tram porte

 

 

Te]

HE services


You may have heard this disturbing news report - Chinese hacker group caught bypassing 2FA - Chinese state-sponsored group APT20 has been busy hacking government entities and managed service providers.

 We were amazed by the capability of those cyber attack forces, which might possibly be backed up by huge budgets and irresistible means to bribe and threaten the insiders of target organizations.

 Well, we could make meaningful contributions in such areas as (1) preventing the compromise of an OTP token from affecting the overall security of 2F authentication, to (2) preventing the OTP token from getting compromised in the first place and (3) preventing the inside jobs.

 Below are the conclusions that we reached.

1. Our proposition of the simplest 2F authentication could help. 

 We could consider an extremely simple two factor authentication made of a remembered password (what we remember) and a memo/storage with a long password written/stored on (what we possess), which we can use right away at no cost.

 If properly hashed, the resulting high-entropy hashed value can stand fierce brute force attacks. Theft/copy of the memo/storage alone would not affect when the remembered password is unknown to the criminals.

 Furthermore, ‘Image-to-Password Converter cum Entropy Amplifier’ software could be considered for better balance of security and convenience at a higher level when Expanded Password System becomes readily available. The ‘Image-to-Password Converter cum Entropy Amplifier’ software can be offered as a plug-in module either for the server or the user’s device.

 These schemes are closely explained in the "Proposition on How to Build Sustainable Digital Identity Platform" selected as a finalist for ‘FDATA Global Open Finance Summit & Awards 2019’

2. Our proposition of 2-channel authentication could help. 

 With our 2-channel scheme, the onetime code can be recovered and sent to the server only by the legitimate user who retains the secret credential in their brain.

 Further details are provided in this slide “2-Channel Authentication with No Physical Tokens and No SMS” for the specifics.

 It is also referred to as a powerful phishing deterrent in “Targeted/Spear Phishing and Expanded Password System”

 By the way, this 2-channel scheme is not just a concept, but was actually implemented in the real world for corporate use. 

 3.      Our proposition of Authority-Distributed Authentication could help.

 With this scheme, an encryption key gets reproduced by any combination of 3 registered operators and gets eliminated after operation as outlined in this slide “On-the-fly Key Generation from Our Memory”.  It would be extremely hard to quietly bribe or threaten 3 people at a time

 Again, this scheme is not just a concept but the prototype software proved to work.


Conclusion

 We are confident that we could make significant contributions to mitigating these 3 problems of

 preventing the compromise of an OTP token from affecting the overall security of 2F authentication,

 preventing the OTP token from getting compromised in the first place

 and

 preventing the inside jobs.


< Related Articles >

 History, Current Status and Future Scenarios of Expanded Password System

 Removal of Passwords and Its Security Effect

 #identity #authentication #password #security #fintech #finance #banking #biometrics #ethic #privacy #democracy

コメント

Hitoshi Kokumaiの記事

ブログを見る
2年前 · 2 分の読書時間

Bad guys, who have a quantum computer at hand, would still have to break the part of user authentica ...

2年前 · 2 分の読書時間

“Expanded Password System is no bad, but we do not need it. · We can rely on password managers that ...

2年前 · 2 分の読書時間

Today's topic is BBC's “Facebook to end use of facial recognition software” · https://www.bbc.com/n ...

この職種に興味がある方はこちら

  • Chocolat ABENO(ショコラ アベノ)アシスタント

    美容師/スタイリスト・アシスタント・幹部候補

    次の場所にあります: beBee S2 JP - 1週間前


    Chocolat ABENO(ショコラ アベノ)アシスタント 大阪市阿倍野区, 日本 正社員

    更新日: · 【業務内容】新卒入社からアシスタント2年⇒スタイリスト2年の5年目でトップスタイリストに♪24歳で日本No.1のお給料&休日数をお約束します。美容業界最高水準の環境であなたの未来を創造して下さい · 【雇用形態】 正社員 · 【勤務地】大阪阿部野橋駅より徒歩30秒 · 各線「天王寺駅」より徒歩1分のヘアサロン · 【給与】■1年目 20歳 新卒アシスタント · 月収20万 / 年 ...

  • 株式会社ラーニングシステム

    プログラミング指導スタッフ

    次の場所にあります: Whatjobs JP C2 - 2日前


    株式会社ラーニングシステム 世田谷区, 日本

    【職種名】 · 【レゴスクール 二子玉川ライズS.C.】プログラミング指導スタッフ/未経験OK/年間休日114日 · **仕事内容**: · 未経験の方でもしっかり学んで働けるよう、社員教育に注力また、OJT研修で先輩の元で学べる事も魅力の1つです · 仕事内容は、プログラミングの指導、学習指導、スクール運営などです。プログラミングの指導や授業のない時間帯は、保護者からのお問い合わせ対応や資料準備 ...

  • Engage Squared

    ジュニア デジタルワークプレイスコンサルタント日本

    次の場所にあります: Talent JP C2 - 6日前


    Engage Squared Tokyo, 日本 フルタイム

    Engage Squaredでは、多様性とインクルージョンを重視しています。調査によると、ニューロダイバーシティで過小評価されているバックグラウンドの候補者は、すべての基準を満たしている場合にのみ役割に応募することがよくあります。弊社は経験だけでなく、適性と情熱の組み合わせに基づいて採用を決定しています。応募に熱心で、合理的な調整が必要な場合は、お知らせください。また、採用プロセス中の任意の時点で ...