口令设置策略对用户口令对安全性的影响概述.
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 攻击效果曲线图,以Tianya为例
研究方法——安全性评估
• 攻击效果曲线图,以Rockyou为例
• • • •
研究背景 研究问题 研究方法 研究结果
研究结果——中文用户口令
Tianya Dodonew Sina weibo
研究结果——英文用户口令
Rockyou Yahoo Battlefield
研究结果
• 安全性方面:“包含特殊符号”> “包含大写字母” > “blacklist”>“包含数字”
• “blacklist”这一策略仅对抵抗在线口令猜测攻击有效
• 对中文用户来说,让口令“包含数字”的有效性不 如让“口令len>=7” • 对英文用户来说,让口令“包含数字”的有效性不 如让“口令len>=9”
长度 带数字 有黑名单
>=7 >=8 >=9 >=10
69.63% 50.34% 30.36% 18.24%
40.06% 30.00% 18.32% 10.98%
百度文库
4.58% 3.40% 2.12% 1.31%
3.41% 62.52% 2.84% 46.69% 2.19% 29.53% 1.60% 18.14%
– 安全性 VS. 可用性存在在冲突
• 需要评估各类口令策略的有效性
已有研究的不足
• [Weir et al. CCS 2010] Testing Metrics For Password Creation Policy By Attacking Large Sets of Revealed Passwords
研究方法——安全性评估
训练集 Markov 4-order
End-Symbol Normalization Laplace Soomthing
测试集
Rest Rockyou
Rockyou400w
Yahoo Battlefield Rest Tianya
Tianya400w
Dodonew
Weibo
研究方法——安全性评估
– 没有比较各类规则的优劣
无法回答诸如:二者只能选其一情况下,应当增 加口令长度,还是增加口令字符的复杂度?
– 评估方法不够先进
基于JTR& navie-009 PCFG
新的更有效方法已被提出
(2014 Ma et al. Markov)
提纲
• • • • 研究背景 研究问题 研究方法 研究结果
口令设置策略对用户口令 安全性的影响
顾乾辰,汪定,王平
北京大学 信息科学技术学院
提纲
• • • • 研究背景 研究问题 研究方法 研究结果
研究背景
• 国内外各大网站的口令设置策略
研究问题
• 存在的问题:
– 口令策略五花八门,对用户造成困惑
有的网站对口令长度进行限制,有的对字符的复杂度限 制,还有的设置黑名单。。。。 无法回答诸如:是增加口令长度更有效,还是增加口令 字符的复杂度更有效?
谢谢!
研究方法
• 考虑以下几类策略
– – – – – 长度限制 长度限制 +必须包含数字 长度限制+必须包含大写字母 长度限制+必须包含特殊字符 长度限制+黑名单
• 策略有效性的考量指标
– 可用性 – 安全性
• 策略有效性评估方法
– 使用大规模真实口令集模拟(8500万用户口令) – 基于用户习惯来评估口令可用性 – 采用口令攻击算法来评估口令安全性
研究方法——基于用户真实口令
• 8500万真实用户口令
研究方法——可用性评估
原始 Tianya 带大写 字母 带特殊 字符
• 统计用户的口令使用习惯(中文口令,以Tianya为例)
长度 带数字 有黑名单
>=7 >=8 >=9
64.59% 57.31% 50.65% 45.05% 32.57% 29.14%
2.80% 2.65% 2.22% 1.95%
1.82% 1.64% 1.39% 1.14%
62.24% 48.95% 31.76% 22.79%
>=10 22.89% 20.67%
研究方法——可用性评估
原始 Rockyou 带大写 字母 带特殊 字符
• 统计用户的口令使用习惯(英文口令,以Rockyou为例)
研究方法——安全性评估
• 攻击效果曲线图,以Rockyou为例
• • • •
研究背景 研究问题 研究方法 研究结果
研究结果——中文用户口令
Tianya Dodonew Sina weibo
研究结果——英文用户口令
Rockyou Yahoo Battlefield
研究结果
• 安全性方面:“包含特殊符号”> “包含大写字母” > “blacklist”>“包含数字”
• “blacklist”这一策略仅对抵抗在线口令猜测攻击有效
• 对中文用户来说,让口令“包含数字”的有效性不 如让“口令len>=7” • 对英文用户来说,让口令“包含数字”的有效性不 如让“口令len>=9”
长度 带数字 有黑名单
>=7 >=8 >=9 >=10
69.63% 50.34% 30.36% 18.24%
40.06% 30.00% 18.32% 10.98%
百度文库
4.58% 3.40% 2.12% 1.31%
3.41% 62.52% 2.84% 46.69% 2.19% 29.53% 1.60% 18.14%
– 安全性 VS. 可用性存在在冲突
• 需要评估各类口令策略的有效性
已有研究的不足
• [Weir et al. CCS 2010] Testing Metrics For Password Creation Policy By Attacking Large Sets of Revealed Passwords
研究方法——安全性评估
训练集 Markov 4-order
End-Symbol Normalization Laplace Soomthing
测试集
Rest Rockyou
Rockyou400w
Yahoo Battlefield Rest Tianya
Tianya400w
Dodonew
研究方法——安全性评估
– 没有比较各类规则的优劣
无法回答诸如:二者只能选其一情况下,应当增 加口令长度,还是增加口令字符的复杂度?
– 评估方法不够先进
基于JTR& navie-009 PCFG
新的更有效方法已被提出
(2014 Ma et al. Markov)
提纲
• • • • 研究背景 研究问题 研究方法 研究结果
口令设置策略对用户口令 安全性的影响
顾乾辰,汪定,王平
北京大学 信息科学技术学院
提纲
• • • • 研究背景 研究问题 研究方法 研究结果
研究背景
• 国内外各大网站的口令设置策略
研究问题
• 存在的问题:
– 口令策略五花八门,对用户造成困惑
有的网站对口令长度进行限制,有的对字符的复杂度限 制,还有的设置黑名单。。。。 无法回答诸如:是增加口令长度更有效,还是增加口令 字符的复杂度更有效?
谢谢!
研究方法
• 考虑以下几类策略
– – – – – 长度限制 长度限制 +必须包含数字 长度限制+必须包含大写字母 长度限制+必须包含特殊字符 长度限制+黑名单
• 策略有效性的考量指标
– 可用性 – 安全性
• 策略有效性评估方法
– 使用大规模真实口令集模拟(8500万用户口令) – 基于用户习惯来评估口令可用性 – 采用口令攻击算法来评估口令安全性
研究方法——基于用户真实口令
• 8500万真实用户口令
研究方法——可用性评估
原始 Tianya 带大写 字母 带特殊 字符
• 统计用户的口令使用习惯(中文口令,以Tianya为例)
长度 带数字 有黑名单
>=7 >=8 >=9
64.59% 57.31% 50.65% 45.05% 32.57% 29.14%
2.80% 2.65% 2.22% 1.95%
1.82% 1.64% 1.39% 1.14%
62.24% 48.95% 31.76% 22.79%
>=10 22.89% 20.67%
研究方法——可用性评估
原始 Rockyou 带大写 字母 带特殊 字符
• 统计用户的口令使用习惯(英文口令,以Rockyou为例)