基于文本的口令仍然是计算机系统中最主流的用户认证方法。虽然人们引入了不同的认证机制,但是没有一种方案既有口令认证的好处,又不对用户带来额外的负担。由于用户设置的口令必需好记,因此人们倾向于选择常见的口令或个人信息来创建口令,因为这些信息都是最容易记忆的。
为了系统地研究口令安全,有研究人员提出了一些概率猜测模型(probabilistic guessing models),包括概率上下文语法(PCPF)和Markov n-grams。这些概率模型的一个典型特征就是可以区分出搜索离线猜测黑客,但这些模型会忽略用户创建口令时常见的一些行为相关,而且模型是计算集中型的,需要大量的硬盘空间。
因此这些模型是不适用于实践中的口令强度评估的,甚至有时候在口令猜测中的准确率也不高。针对性的口令猜测可以利用一些常见的弱口令和含有个人信息的口令。
研究人员收集了大量的现实口令数据集,主要是黑客攻击泄露的,整个数据集包括3.556亿明文口令。
由于一些口令中是不包含个人身份信息的,因此研究人员将这些口令与fling、neopets、12306等3个数据集以及ClixSense、Experian、Hetel、51job等4个个人身份数据集进行了关联。最终生成了8个个人身份信息相关的口令集。
N表示匹配的口令部分数量,len i表示相关匹配的口令部分长度,len total表示整个口令的长度。
研究人员提出一个针对性口令猜测框架——TPGXNN,研究人员用口令集和个人身份信息利用神经网络来计算口令的概率。
如图所示,TPGXNN共包含3个部分。研究人员最开始选择LSTM和VDCNN作为针对性口令猜测的候选神经网络,因为这2个模型处理文本非常有效。
如下表所示,其中描述了用户使用个人身份信息来构造口令的频率。个人身份信息在口令构造中处于非常重要的地位,因为其中包含不同种类的个人身份信息,比如用户名、生日、姓名、邮箱前缀等。最终,研究人员在训练过程中使用了上述4种个人身份信息。
实验表明TPGXNN可以在有限的猜测次数中有效地破解口令。
文章来源:http://www.ieee-security.org/TC/SP2017/poster-abstracts/IEEE-SP17_Posters_paper_24.pdf
本文作者:ang010ela
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/123447.html
必填 您当前尚未登录。 登录? 注册
必填(保密)