动态字典破解用户口令与安全口令选择

口令认证一直是最主要的身份认证方式。考虑到口令要满足口令策略和易记忆的要求,用户常常会将个人信息组合起来作为口令。因此,为了调查此类口令的比例,以2011年泄露的四种真实口令集为实验素材,预先设定口令的组合结构和格式,使用程序统计使用个人信息组合作为口令的比例。实验结果表明,使用姓名、电话号码、特殊日期等信息组合而成的口令比例为12.41%~25.53%。根据这一规律,提出了动态字典攻击。攻击者可以在获得用户部分个人信息后,生成具有针对性的动态字词典,并以此来破解用户口令。最后,还讨论了如何选择口令以防止攻击者通过动态字典破解用户口令。     

一种有效的图像口令身份认证方案

分析和比较一次性口令和图像口令的相关技术,指出在开放网络环境下进行身份认证时,图像口令存在的缺陷,并论证采用一次性口令弥补该缺陷的可行性和可靠性。基于一次性口令产生的会话密钥,设计一种有效的图像口令身份认证方案。该方案提高口令的安全性,能够防止窥探攻击和重放攻击。类似技术被应用于更加灵活的实际环境中,并增强了应用系统的安全性。     

文本口令强度评估工具的方法与应用

随着我国近年来互联网技术的飞速发展和智能手机的普及,我国互联网普及程度不断提高,互联网用户的信息安全值得重视。当前,使用文本口令仍是当前互联网服务商所采取的主要加密方式,但很多用户会偏向于采取容易记忆的信息来作为口令,从而形成容易导致用户信息泄露的弱口令。因此,应加强口令强度评估的方法研究,开发出更符合中国互联网用户口令设计特征的口令强度评估工具。基于此,笔者介绍了文本口令强度评估的工作流程,分析了当前国际上通行的文本口令强度评估工具所采用的4种主要方法,并讨论了文本口令强度评估方法的应用情况和前景。     

使用智能卡的动态口令认证机制

动态口令身份认证机制是目前身份认证技术发展的一个重要方向。但是在很多动态口令机制中,用户的认证数据通常利用在服务器储存的验证因子进行掩码传输,如果验证因子被盗,攻击者就可以伪造验证数据,因此动态口令认证机制易遭受盗窃攻击。最近提出了一种新的抗盗窃攻击的动态口令认证方案2GR,但是2GR不能抵抗拒绝服务攻击,也没有提供用户和服务器的双向认证。将在2GR方案的基础上提出一个基于智能卡的改进方案,该方案能解决上述问题。     

中文语境下的口令分析方法

针对目前口令语义分析挖掘主要针对英文口令，且局限于常见的单词或姓氏等口令单元的问题，在中文语境下，利用古诗、成语建立模式库，使用口令字符串的数据分析技术，提出了一种基于已知口令元的中文语境口令分析方法。首先，识别出已知口令元；然后，将其视作单个口令自由度；最后，计算给定攻击成功率下的自由度攻击成本，得出口令安全性的量化数值。设计实验对大量明文口令进行量化分析之后，可知在使用中文语境的口令中，80%的用户口令不具有高安全性，能够被字典攻击轻易攻破。     

对一个口令认证协议的可攻击性分析及改进

Rhee H S等人(Computer Standards &; Interfaces, 2009, No.1)提出的协议使用移动设备代替智能卡记忆数据降低风险和成本,但该协议仍存在一些不足。针对该问题,基于Chan-Cheng攻击案例,指出该协议难以抵抗假冒攻击和离线口令猜测攻击,为克服这些缺陷,给出一种改进方案,通过实验证明了该方案可以有效抵抗上述2种攻击,并能保证其口令的秘密性及身份认证的安全性。     

一种基于结构划分概率的口令攻击方法

选择有效的口令结构是提高口令字典攻击命中率的有效方法.人们在记忆口令时,通常不会一次性进行整体记忆,而是将口令划分成块分别记忆的.基于此,文中分析了已有的口令结构,提出了依据划分概率对口令结构进行再次划分的口令攻击方法.该方法将攻击口令的焦点放在高概率的口令结构上,通过对高概率的口令结构进行再次划分,产生更有效的口令结构,并用它们来产生候选口令,从而提高攻击命中率.最后通过真实口令测试数据对该方法进行了验证,实验结果表明,给定相同数目的高概率口令具体结构,通过划分,文中的方法与Matt Weir方法相比能够多恢复20%~30%的口令.根据攻击结果,文中的方法还可以更新所使用的字典,以达到学习的目的,提高后续攻击效率.     

基于Hash函数的强口令认证方案设计与分析

分析了几种常用的一次性口令(OTP)认证方案存在的不足,提出了一种基于Hash函数的强口令认证方案.该方案能够实现用户端和服务器端双向认证,系统开销小,在认证过程中保护了用户的身份信息.并对安全性进行了分析,结果表明该方案能够防止字典攻击、重放攻击、假冒攻击和拒绝服务攻击,适用于运算能力有限的轻量级终端用户.     

口令攻击及其防范措施浅论

攻击者在攻击目标时,通常把破译普通用户的口令作为攻击的开始.口令是网络系统的第一道防线.当前的网络系统都是通过口令来验证用户身份、实施访问控制的.口令攻击是指黑客以口令为攻击目标,破解合法用户的口令,或避开口令验证过程,然后冒充合法用户潜入目标网络系统,夺取目标系统控制权的过程.本文主要介绍口令攻击的几种方式及如何来进行防范的.     

一个简单有效的口令识别方案

基于口令的身份识别技术是分布式网络环境中使用最为广泛的一种技术，然而传统的口令识别技术容易受到字典攻击、重传攻击和拒绝服务攻击。针对Sandirigara等人提出的SAS协议，提出了一种简单有效的口令识别方案SEPA，该方案可以抵御字典攻击、重传攻击和服务器拒绝服务攻击，且计算负荷和通信负荷较小。     

密码创建方案①

密码是计算机安全的重要组成部分,是保护用户各类账号的前线。本方案的目的在于建立一个创建强密码,保护这些密码以及更换频率的标准。内容有密码的安全性,密码保护标准,密码构造指导方针等。研究了用于个人、基于家用的机器、与工作相关的网络系统的密码方案。     

一种随机变动密码的实现方法

介绍一和中不易反推的随机变动密码方式,并以ＦｏｘＰｒｏ为例,说明其设计方法。     

密码装备应用技术发展研究

文章分析了密码装备技术发展的主要特点,对构建网络环境下的信息安全密码保障体系、密码算法、密码系统安全理论、密码测评和安全性分析技术等方面进行了研究探讨。     

密码学的发展研究

本文简述私钥密码学与公钥密码学的工作原理、应用方向,有代表性的密码系统,密码今后的发展方向和相应的理论依据。     

基于集成学习的口令强度评估模型

针对现有的口令评估模型通用性差,没有一个可以对从简单口令到非常复杂口令都适用的评估模型的问题,设计了一种基于多模型的集成学习的口令评估模型。首先,使用真实的口令训练集训练多个现有的口令评估模型作为子模型;其次,将多个经过训练的子模型作为基学习器进行集成学习,采用偏弱项投票法的结合策略实现各个子模型的优势集成;最后,实现一个以高准确性为前提的通用口令评估模型。实验中使用网络泄露的真实用户口令数据集作为实验数据,实验结果表明,基于多模型集成学习模型针对不同复杂程度的口令进行口令强度评估,其评估结果准确率高、通用性强,所提模型在口令评估方面具有较好的适用性。     

动态口令双因素认证及其应用

身份认证是信息安全技术领域的一个重要部分,文章阐述了身份认证的主要因素和动态口令双因素认证的机制,并详细分析了动态密码双因素认证技术在各种信息系统中的应用。     

基于神经网络的定向口令猜测研究

文本口令是现如今最主要的身份认证方式之一,很多用户为了方便记忆在构造口令时使用个人信息。然而,目前利用用户个人信息进行定向口令猜测,进而评估口令安全的工作相对欠缺。同时,神经网络在文本序列处理问题上的成功应用,使得利用神经网络进行口令安全问题研究成为一种新的研究思路。本文基于大规模口令集合,对用户口令构造行为进行分析的基础上,研究用户个人信息在口令构造中的作用,进而提出一种结合神经网络和用户个人信息的定向口令猜测模型TPGXNN（TargetedPassword Guessing using X Neural Networks）,并在8组共计7000万条口令数据上进行定向口令猜测实验。实验结果显示,在各组定向口令猜测实验中,TPGXNN模型的猜测成功率均比概率上下文无关文法、马尔科夫模型等传统模型更高,表明了TPGXNN模型的有效性。     

AMIBIOS口令,编码与解码

本文较全面地介绍了有关ＡＭＩ ＢＩＯＳ的口令设置、编码规则以及密码在ＣＭＯＳＲＡＭ的存放位置，并介绍了一种解码７方法，文本给出了执行程序。