<div dir="ltr">Hi everyone,<div><br></div><div>The BUsec seminars are back! The first talk of the semester will be next Wednesday (9/16) at 10am by Jeremiah Blocki. Jeremiah just joined MSR as a post-doc and he will be talking about Usable and Secure Human Authentication.</div><div><br></div><div><br></div><div>Hope to see you all there!</div><div>Foteini<br><br><br><span style="background-color:rgb(255,255,255)"><span style="font-size:12.8px"><font><span class="">BUsec</span></font></span><span style="font-size:12.8px"> </span><span style="font-size:12.8px"><font>Calendar</font></span><span style="font-size:12.8px">:  </span><a href="http://www.bu.edu/cs/busec/" target="_blank" style="font-size:12.8px">http://www.bu.edu/cs/<font color="#222222"><span class="">busec</span></font>/</a></span><div style="font-size:12.8px"><span style="background-color:rgb(255,255,255)"><font><span class="">BUsec</span></font> Mailing list: <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" target="_blank">http://cs-mailman.bu.edu/mailman/listinfo/<font color="#222222"><span class="">busec</span></font></a></span></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">The <span class="">busec</span> <span class="">seminar</span> gratefully acknowledges the support of BU&#39;s Center for Reliable Information Systems and Cyber Security (RISCS). <br></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">******</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><span style="font-size:12.8px">Towards Usable and Secure Human Authentication</span><br></div><div style="font-size:12.8px">Speaker: <span style="font-size:small">Jeremiah Blocki, MSR New England</span></div><div style="font-size:12.8px">Wednesday Sept 16, 2015  10-11am</div><div style="font-size:12.8px">Hariri <span class="">Seminar</span> Room, MCS180</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Abstract: <span style="font-size:12.8px">A typical computer user today manages passwords for many</span><br></div><span style="font-size:12.8px">different online accounts. Users struggle with this task — often</span><br style="font-size:12.8px"><span style="font-size:12.8px">forgetting their passwords or adopting insecure practices, such as using</span><br style="font-size:12.8px"><span style="font-size:12.8px">the same passwords for multiple accounts and selecting weak passwords.</span><br style="font-size:12.8px"><span style="font-size:12.8px">While there are many books, articles, papers and even comics about</span><br style="font-size:12.8px"><span style="font-size:12.8px">selecting strong individual passwords, there is very little work on</span><br style="font-size:12.8px"><span style="font-size:12.8px">password management schemes — systematic strategies to help users create</span><br style="font-size:12.8px"><span style="font-size:12.8px">and remember multiple passwords. Before we can design good password</span><br style="font-size:12.8px"><span style="font-size:12.8px">management schemes it is necessary to address a fundamental question: How</span><br style="font-size:12.8px"><span style="font-size:12.8px">can we quantify the usability or security of a password management scheme.</span><br style="font-size:12.8px"><span style="font-size:12.8px">One way to quantify the usability of a password management scheme would be</span><br style="font-size:12.8px"><span style="font-size:12.8px">to conduct user studies evaluating each user’s success at remembering</span><br style="font-size:12.8px"><span style="font-size:12.8px">multiple passwords over an extended period of time. However, these user</span><br style="font-size:12.8px"><span style="font-size:12.8px">studies would necessarily be slow and expensive and would need to be</span><br style="font-size:12.8px"><span style="font-size:12.8px">repeated for each new password management scheme. In this talk we argue</span><br style="font-size:12.8px"><span style="font-size:12.8px">that user models and security models can guide the development of password</span><br style="font-size:12.8px"><span style="font-size:12.8px">management schemes with analyzable usability and security properties. We</span><br style="font-size:12.8px"><span style="font-size:12.8px">present several results in support of this premise. First, we introduce</span><br style="font-size:12.8px"><span style="font-size:12.8px">Naturally Rehearsing Password schemes. Notably, our user model, which is</span><br style="font-size:12.8px"><span style="font-size:12.8px">based on research on human memory about spaced rehearsal, allows us to</span><br style="font-size:12.8px"><span style="font-size:12.8px">analyze the usability of this family of schemes while experimentally</span><br style="font-size:12.8px"><span style="font-size:12.8px">validating only the common user model underlying all of them. Second, we</span><br style="font-size:12.8px"><span style="font-size:12.8px">introduce Human Computable Password schemes, which leverage human</span><br style="font-size:12.8px"><span style="font-size:12.8px">capabilities for simple arithmetic operations. We provide constructions</span><br style="font-size:12.8px"><span style="font-size:12.8px">that make modest demands on users and we prove that these constructions</span><br style="font-size:12.8px"><span style="font-size:12.8px">provide strong security: an adversary who has seen 100 10-digit passwords</span><br style="font-size:12.8px"><span style="font-size:12.8px">of a user cannot compute any other passwords except with very low</span><br style="font-size:12.8px"><span style="font-size:12.8px">probability. Our password management schemes are precisely specified and</span><br style="font-size:12.8px"><span style="font-size:12.8px">publishable: the security proofs hold even if the adversary knows the</span><br style="font-size:12.8px"><span style="font-size:12.8px">scheme and has extensive background knowledge about the user (hobbies,</span><br style="font-size:12.8px"><span style="font-size:12.8px">birthdate, etc.).</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">The talk is based on joint works with Manuel Blum, Anupam Datta, Lorrie</span><br style="font-size:12.8px"><span style="font-size:12.8px">Cranor, Saranga Komanduri and Santosh Vempala.</span><br style="font-size:12.8px"><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">Bio: Jeremiah Blocki is a Post Doc at Microsoft Research New England Lab.</span><br style="font-size:12.8px"><span style="font-size:12.8px">He completed his PhD at Carnegie Mellon University in 2014 under the</span><br style="font-size:12.8px"><span style="font-size:12.8px">supervision of Manuel Blum and Anupam Datta. His thesis on Usable Human</span><br style="font-size:12.8px"><span style="font-size:12.8px">Authentication explored the following question: Can we develop password</span><br style="font-size:12.8px"><span style="font-size:12.8px">management schemes --- systematic user strategies for creating and</span><br style="font-size:12.8px"><span style="font-size:12.8px">remembering multiple passwords --- that provably balance security and</span><br style="font-size:12.8px"><span style="font-size:12.8px">usability? His general research interests include: cryptography, usable</span><br style="font-size:12.8px"><span style="font-size:12.8px">authentication, passwords, differential privacy, game theory and learning</span><br style="font-size:12.8px"><span style="font-size:12.8px">theory. One of his more ambitious research goals is to develop</span><br style="font-size:12.8px"><span style="font-size:12.8px">cryptographic protocols that are so simple that a human could execute them</span><br style="font-size:12.8px"><span style="font-size:12.8px">without receiving assistance from a trusted computer. In the Fall of 2016,</span><br style="font-size:12.8px"><span style="font-size:12.8px">he will join the Computer Science Department at Purdue University as an</span><br style="font-size:12.8px"><span style="font-size:12.8px">Assistant Professor.<br><br><br>************<br></span><div style="font-size:12.8px"><span style="font-size:12.8px">Authentication in Constrained Settings: challenges and directions</span><br></div><div style="font-size:12.8px">Speaker: Katerina Mitrokotsa, Chalmers University of Technology, Sweden.</div><div style="font-size:12.8px">Wednesday Sept 23, 2015  10-11am</div><div style="font-size:12.8px">Hariri <span class="">Seminar</span> Room, MCS180</div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">Abstract: Wireless communications technologies have received great attention in recent years, mainly due to the evolution of wireless networking and mobile computing hardware and their broad applicability. However, their inherent vulnerabilities have serious security and privacy implications. In this talk, we will discuss authentication in wireless communications which is often performed in: i) noisy conditions, ii) hostile environments and iii) constrained settings. By noisy conditions, we refer to noise in the communication channel that may lead to modification of the transmitted information. By hostile environments we mainly refer to environments where attackers may attempt to impersonate legitimate users, while by constrained settings we refer to environments that may include communication among wireless devices with limited resources.  We have extensively investigated a family of authentication protocols called distance bounding protocols that can be employed as the main countermeasure against relay attacks. We analyse the security of such protocols and we discuss the main challenges of designing efficient and secure distance-bounding protocols. The authentication problem will also be  connected to the need of privacy-preservation of  a prover&#39;s location as well as when the credentials used for authentication (e.g. biometrics) need to remain private.</span><span style="font-size:12.8px"><br></span></div></div>