基于攻击算法的海量真实用户口令数据分析

口令认证是现今主要的身份认证方式,已广泛应用于金融、军事和网络等领域。文中从攻击者的角度对口令的安全性展开研究,利用海量真实的用户数据对口令的一般特征进行统计分析,基于概率上下文无关文法(Probabilistic Context-Free Grammars,PCFG)口令猜测算法、TarGuess-I定向口令猜测模型的口令脆弱性分析,发现了用户在选择生成口令时存在易被攻击者发现并被利用的脆弱行为,如偏好使用简单结构口令、基于模式设计口令、基于语义生成口令以及偏好使用姓名和用户名等个人信息生成口令等,总结了这些脆弱行为的特征,为避免用户设置脆弱口令以及设计口令强度评估方法提供了依据。     

基于神经网络的定向口令猜测研究

文本口令是现如今最主要的身份认证方式之一,很多用户为了方便记忆在构造口令时使用个人信息。然而,目前利用用户个人信息进行定向口令猜测,进而评估口令安全的工作相对欠缺。同时,神经网络在文本序列处理问题上的成功应用,使得利用神经网络进行口令安全问题研究成为一种新的研究思路。本文基于大规模口令集合,对用户口令构造行为进行分析的基础上,研究用户个人信息在口令构造中的作用,进而提出一种结合神经网络和用户个人信息的定向口令猜测模型TPGXNN（TargetedPassword Guessing using X Neural Networks）,并在8组共计7000万条口令数据上进行定向口令猜测实验。实验结果显示,在各组定向口令猜测实验中,TPGXNN模型的猜测成功率均比概率上下文无关文法、马尔科夫模型等传统模型更高,表明了TPGXNN模型的有效性。     

一种基于姓名首字母简写结构的口令破解方法

用户口令猜测研究是口令安全性研究的重要组成部分之一,根据用户个人信息和用户口令之间的联系,分析用户个人信息的结构特点,扩展Weir的概率语境自由语法方法,基于用户姓名首字母简写结构,提出一个概率口令攻击方法。通过训练找到用户姓名首字母简写结构,引入到用户口令结构生成算法中,从而生成新的更有效的口令结构,并使用训练集中学习出来的个人信息,作为简写结构的替换变量进行猜测攻击。采用网上泄露的用户口令数据集设计不同实验场景,实验结果表明,在猜测2000万次的情况下,该方法的猜测成功率超过了John the Ripper的字典模式,和概率上下文无关文法相比最高提升48.12%。     

使用智能卡的动态口令认证机制

动态口令身份认证机制是目前身份认证技术发展的一个重要方向。但是在很多动态口令机制中,用户的认证数据通常利用在服务器储存的验证因子进行掩码传输,如果验证因子被盗,攻击者就可以伪造验证数据,因此动态口令认证机制易遭受盗窃攻击。最近提出了一种新的抗盗窃攻击的动态口令认证方案2GR,但是2GR不能抵抗拒绝服务攻击,也没有提供用户和服务器的双向认证。将在2GR方案的基础上提出一个基于智能卡的改进方案,该方案能解决上述问题。     

动态口令身份认证和报警系统

针对目前普遍使用的固定口令身份认证系统,给出了一种基于白噪声器件的动态口令身份认证系统。该系统中,动态口令是通过自噪声器件产生的随机序列经过特定的不可逆映射函数变换后得到的,这使得攻击者很难从已知的任何数量的口令中推断出下一个口令。此外,系统还提供了无线报警提示功能,可将用户的登录信息及时地发送给对应的合法用户,从而能够有效地防止非法用户的假冒攻击行为。     

口令攻击及其防范措施浅论

攻击者在攻击目标时,通常把破译普通用户的口令作为攻击的开始.口令是网络系统的第一道防线.当前的网络系统都是通过口令来验证用户身份、实施访问控制的.口令攻击是指黑客以口令为攻击目标,破解合法用户的口令,或避开口令验证过程,然后冒充合法用户潜入目标网络系统,夺取目标系统控制权的过程.本文主要介绍口令攻击的几种方式及如何来进行防范的.     

抗凭证泄露攻击的图形口令认证方案

图形口令既可以减轻用户记忆传统文本口令的负担, 又可以简化用户输入口令的步骤, 近年来, 广泛应用于移动设备的用户认证. 现有的图形口令认证方案面临严峻的安全问题. 首先, 图形口令容易遭受肩窥攻击: 用户的登录过程被攻击者通过眼睛或者摄像头等方式偷窥导致图形口令泄露. 更为严重的是, 这类认证方案不能抵抗凭证泄露攻击: 服务器存储与用户图形口令有关的认证凭证并利用其验证用户身份, 攻击者如果得到服务器保存的凭证就可以通过离线口令猜测攻击恢复用户图形口令. 为了解决上述问题, 提出了一个安全的图形口令认证方案(GADL). GADL方案通过将随机的挑战值嵌入到用户的图形口令来抵御肩窥攻击, 因此攻击者即使捕获了用户的登录信息也无法得到用户图形口令. 为了解决服务器凭证数据库泄露问题, GADL方案采用了一种确定性的门限盲签名技术来保护用户图形口令. 该技术利用多个密钥服务器来协助用户生成凭证, 使得攻击者即使获得凭证也无法实施离线猜测攻击来获得用户口令. 给出的安全性分析证明了GADL方案可以抵抗上述攻击. 此外, 给出了全面的性能分析表明GADL方案在计算、存储和通信开销这3个方面性能较高, 且在移动设备上易于部署.     

基于口令的身份认证系统研究

阐述了基于静态口令与动态口令身份认证系统的工作原理,针对网络窃听、截取/重放、字典攻击、伪造服务器攻击、口令泄露等几种常见网络攻击手段,对两种认证方案的安全性和优缺点进行了分析,指出了动态口令在身份认证领域的优势和未来的发展前景。     

口令安全管理

为了计算机系统的安全,系统中的各种资源（文件、数据库、应用系统）需要认证机制的保护,以确保这些资源被已授权的人使用。口令作为一种保护手段被广泛应用于计算机系统中。口令作为用户身份的证明以及系统识别用户的标识,往往是唯一的。在口令系统中,如果每次都使用不同的口令,即动态口令,则可以大大提高系统的安全性。     

大数据环境下用户口令认证风险分析及对策

认证是信息安全的基本服务之一,口令认证是最常用的认证方法,但是目前用户口令设置存在许多隐患和风险.在分析目前用户口令设置存在的问题的基础上,提出了大数据环境下用户口令防护的攻防博弈模型,分析指出攻击者借助大数据分析技术能提高对用户口令的破译能力,而用户要想确保其安全性或更进一步降低其风险性则需要设置更有效的口令,使用身份交叉认证技术或动态跟踪用户访问信息系统行为的技术,降低大数据分析成本.提出相应的对策并使用用户数据画像思想建立大数据环境下信息系统用户身份交叉认证模型,通过模拟实验对模型的有效性进行验证.     

Impact of restrictive composition policy on user password choices

This study investigates the efficacy of using a restrictive password composition policy. The primary function of access controls is to restrict the use of information systems and other computer resources to authorised users only. Although more secure alternatives exist, password-based systems remain the predominant method of user authentication. Prior research shows that password security is often compromised by users who adopt inadequate password composition and management practices. One particularly under-researched area is whether restrictive password composition policies actually change user behaviours in significant ways. The results of this study show that a password composition policy reduces the similarity of passwords to dictionary words. However, in this case the regime did not reduce the use of meaningful information in passwords such as names and birth dates, nor did it reduce password recycling.     

Secure Dynamic Identity-Based Authentication Scheme Using Smart Cards

ABSTRACT

In 2004, Das et al. proposed a dynamic identity-based remote user authentication scheme using smart cards. This scheme allows users to choose and change their passwords freely, and the server does not maintain any verification table. Das et al. claimed that their scheme is secure against stolen verifier attack, replay attack, forgery attack, dictionary attack, insider attack and identity theft. However, many researchers have demonstrated that Das et al.'s scheme is susceptible to various attacks. Furthermore, this scheme does not achieve mutual authentication and thus cannot resist malicious server attack. In 2009, Wang et al. argued that Das et al.'s scheme is susceptible to stolen smart card attack. If an attacker obtains the smart card of the user and chooses any random password, the attacker gets through the authentication process to get access of the remote server. Therefore, Wang et al. suggested an improved scheme to preclude the weaknesses of Das et al.'s scheme. However, we found that Wang et al.'s scheme is susceptible to impersonation attack, stolen smart card attack, offline password guessing attack, denial of service attack and fails to preserve the user anonymity. This paper improves Wang et al.'s scheme to resolve the aforementioned problems, while keeping the merits of different dynamic identity based smart card authentication schemes.     

Hybritus: a password strength checker by ensemble learning from the query feedbacks of websites

Password authentication is vulnerable to dictionary attacks.Password strength measurement helps users to choose hard-to-guess passwords and enhance the security of systems based on password authentication.Although there are many password strength metrics and tools,none of them produces an objective measurement with inconsistent policies and different dictionaries.In this work,we analyzed the password policies and checkers of top 100 popular websites that are selected from Alexa rankings.The checkers are inconsistent and thus they may label the same password as different strength labels,because each checker is sensitive to its configuration,e.g.,the algorithm used and the training data.Attackers are empowered to exploit the above vulnerabilities to crack the protected systems more easily.As such,single metrics or local training data are not enough to build a robust and secure password checker.Based on these observations,we proposed Hybritus that integrates different websites'strategies and views into a global and robust model of the attackers with multiple layer perceptron(MLP)neural networks.Our data set is comprised of more than 3.3 million passwords taken from the leaked,transformed and randomly generated dictionaries.The data set were sent to 10 website checkers to get the feedbacks on the strength of passwords labeled as strong,medium and weak.Then we used the features of passwords generated by term frequency-inverse document frequency to train and test Hybritus.The experimental results show that the accuracy of passwords strength checking can be as high as 97.7%and over 94%even if it was trained with only ten thousand passwords.User study shows that Hybritus is usable as well as secure.     

具有主动报警功能的动态身份认证系统

针对目前普遍存在的身份认证密码易被破解的问题，本文提出一种基于物理噪声源的动态身份认证系统，该系统将编码后的随机密码通过无线通讯的方式传送给合法用户，这既使得攻击者不可能推断出下一口令，又解决了已有的一次一密认证系统给用户带来的麻烦和负担。此外，系统还提供了无线报警提示功能，可将用户的登录信息及时地发送送给对应的合法用户，从而能够有效地主动防止非法用户的假冒攻击行为。     

口令安全研究进展

身份认证是确保信息系统安全的第一道防线,口令是应用最为广泛的身份认证方法.尽管口令存在众多的安全性和可用性缺陷,大量的新型认证技术陆续被提出,但由于口令具有简单易用、成本低廉、容易更改等特性,在可预见的未来仍将是最主要的认证方法.因此,口令近年来引起了国内外学者的广泛关注,涌现出了一大批关于口令安全性的研究成果.从用户生成口令时的脆弱行为入手,介绍了中英文用户口令的特征、分布和重用程度;总结了近30年来提出的几个主流口令猜测算法,并根据它们所依赖的攻击对象的信息不同进行了分类;然后,回顾了当前广泛使用的基于统计学的口令策略强度评价标准;此外,对比了当前主流的几个口令强度评价器.最后,对当前研究现状进行了总结,并对未来研究方向进行了展望.     

中文语境下的口令分析方法

针对目前口令语义分析挖掘主要针对英文口令，且局限于常见的单词或姓氏等口令单元的问题，在中文语境下，利用古诗、成语建立模式库，使用口令字符串的数据分析技术，提出了一种基于已知口令元的中文语境口令分析方法。首先，识别出已知口令元；然后，将其视作单个口令自由度；最后，计算给定攻击成功率下的自由度攻击成本，得出口令安全性的量化数值。设计实验对大量明文口令进行量化分析之后，可知在使用中文语境的口令中，80%的用户口令不具有高安全性，能够被字典攻击轻易攻破。     

一个简单有效的口令识别方案

基于口令的身份识别技术是分布式网络环境中使用最为广泛的一种技术，然而传统的口令识别技术容易受到字典攻击、重传攻击和拒绝服务攻击。针对Sandirigara等人提出的SAS协议，提出了一种简单有效的口令识别方案SEPA，该方案可以抵御字典攻击、重传攻击和服务器拒绝服务攻击，且计算负荷和通信负荷较小。     

Shoulder-surfing-proof graphical password authentication scheme

The graphical password authentication scheme uses icons instead of text-based passwords to authenticate users. Icons might be somehow more familiar to human beings than text-based passwords, since it is hard to remember the latter with sufficient security strength. No matter what kind of password is used, there are always shoulder-surfing problems. An attacker can easily get text-based password or graphical password by observation, capturing a video or recording the login process. In this paper, we propose a shoulder-surfing-proof graphical password authentication scheme using the convex-hull graphical algorithm. We give evaluation and comparisons to demonstrate the security strength and the functionality advantages of our scheme.