口令设置策略对用户口令对安全性的影响

1、口令设置策略对用户口令安全性的影响北京大学北京大学 信息科学技术学院信息科学技术学院顾乾辰，汪定，王平提纲 研究背景 研究问题 研究方法 研究结果研究背景 国内外各大网站的口令设置策略研究问题 存在的问题： 口令策略五花八门，对用户造成困惑 有的网站对口令长度进行限制，有的对字符的复杂度限 制，还有的设置黑名单。 无法回答诸如：是增加口令长度更有效，还是增加口令 字符的复杂度更有效？ 安全性 VS. 可用性存在在冲突 需要评估各类口令策略的有效性 Weir et al. CCS 2010 Testing Metrics For Password Creation Policy By Attac

2、king Large Sets of Revealed Passwords 没有比较各类规则的优劣 无法回答诸如：二者只能选其一情况下，应当增 加口令长度，还是增加口令字符的复杂度？ 评估方法不够先进 基于JTR& navie-009 PCFG 新的更有效方法已被提出 （2014 Ma et al. Markov)已有研究的不足 提纲 研究背景 研究问题 研究方法 研究结果研究方法 考虑以下几类策略 长度限制 长度限制 +必须包含数字 长度限制+必须包含大写字母 长度限制+必须包含特殊字符 长度限制+黑名单 策略有效性的考量指标 可用性 安全性 策略有效性评估方法 使用大规模真实口令集

3、模拟（8500万用户口令） 基于用户习惯来评估口令可用性 采用口令攻击算法来评估口令安全性研究方法基于用户真实口令 8500万真实用户口令研究方法可用性评估 统计用户的口令使用习惯（中文口令，以中文口令，以Tianya为例为例）长度长度原始原始TianyaTianya带数字带数字带大写带大写字母字母带特殊带特殊字符字符有黑名单有黑名单=7=764.59%64.59% 57.31%57.31%2.80%2.80%1.82%1.82%62.24%62.24%=8=850.65%50.65% 45.05%45.05%2.65%2.65%1.64%1.64%48.95%48.95%=9=932.57%

4、32.57% 29.14%29.14%2.22%2.22%1.39%1.39%31.76%31.76%=10=10 22.89%22.89% 20.67%20.67%1.95%1.95%1.14%1.14%22.79%22.79%研究方法可用性评估 统计用户的口令使用习惯（英文口令，以文口令，以Rockyou为例为例）长度长度原始原始RockyouRockyou带数字带数字带大写带大写字母字母带特殊带特殊字符字符有黑名单有黑名单=7=769.63%69.63%40.06%40.06%4.58%4.58%3.41%3.41%62.52%62.52%=8=850.34%50.34%30.00%30

5、.00%3.40%3.40%2.84%2.84%46.69%46.69%=9=930.36%30.36%18.32%18.32%2.12%2.12%2.19%2.19%29.53%29.53%=10=1018.24%18.24%10.98%10.98%1.31%1.31%1.60%1.60%18.14%18.14%研究方法安全性评估训练集测试集Rockyou400wTianya400wRest RockyouYahooBattlefieldRest TianyaDodonewWeiboMarkov 4-orderEnd-Symbol NormalizationLaplace Soomthing研究方法安全性评估 攻击效果曲线图，以Tianya为例研究方法安全性评估 攻击效果曲线图，以Rockyou为例 研究背景 研究问题 研究方法 研究结果研究结果中文用户口令TianyaDodonewSina weibo研究结果英文用户口令RockyouYahooBattlefield研究结果 安全性方面：安全性方面：“包含特殊符号” “包含大写字母” “blacklist”“包含数字” “blacklist”这一策略仅对抵抗在线口令猜测攻击有效仅对抵抗在