口令攻击的集成学习模型构建方法

多年来,研究者们提出了多种不同的口令模型,提高了口令攻击的效率,其中包括基于概率上下文无关模型、马尔可夫模型等不同原理的方法,它们分别捕捉了口令中不同方面的特征,这使得通过这些不同特征结合到一起来提高攻击效率成为可能.另一方面,在机器学习领域被广泛使用的集成学习方法能够整合多种模型来学习数据集中的不同特征,因此本文提出将集成学习应用于口令生成领域.本文提出了可扩展的集成口令攻击方法,并重点描述它的两个实例,通过分析多个重要的影响因素,以及进行大量实验来研究它们对攻击性能的影响.本文提出的集成口令攻击方法可以显著提升攻击效率,实验结果表明它相对于经典口令模型有着更高的攻击成功率,尤其是在跨站攻击的场景中,有近20%的提升.

口令猜测技术研究

口令猜测技术常被用于渗透测试、电子取证等领域,是提升系统安全性、电子取证能力的重要手段。为了推动口令猜测技术的发展与运用,采用了理论+实践的研究方法,系统性地研究了口令猜测相关技术和口令猜测工具链。从口令猜测工作实际需求出发,基于口令猜测工具链构建一站式分布式口令猜测系统。最后,以猜测Wi-Fi登录口令为例介绍了口令猜测过程,并证明分布式口令猜测系统易使用、性能强,可实现数百倍的性能提升。

助记口令创建策略综述

口令身份验证因其简单性和可部署性而成为当今最常见的身份验证方式。随着口令猜测攻击算法的不断改进,对口令强度的要求也越来越高。强口令虽然能够提高安全性,但往往难以记忆,而易记口令则容易受到破解的威胁,因此选择既强大又易于记忆的口令成为一项挑战。随着每个用户的账户数量不断增加,需要记住的口令数量也在增加,这给人类记忆带来了明显的压力,因此寻找生成易记强口令的方法成为必须。在过去的二十多年里,许多研究者提出了基于不同助记工具的助记口令创建策略。故对现有的助记口令创建策略进行综述,首先针对口令创建背景、口令强度进行概况总结,其次根据助记工具的特点,将其分为基于句子、基于单词、基于键盘和其他特殊类型4类,并对每种类型进行了深入综述;最后,对助记口令创建策略进行了总结和展望,并指出了未来的研究方向和发展趋势。

口令猜测研究进展

口令是人类可记忆的短密钥,在身份认证、加密、签名等领域有广泛的应用.口令虽然被指出存在一系列安全性和可用性问题,但因其使用简单、成本低廉、容易更改,在可预见的未来仍无可替代.口令猜测是口令面临的最严重的安全威胁,是口令安全性研究的核心方向之一,引起了学术界的持续关注.本文首先采用数据驱动的研究方法,挖掘可被猜测攻击者利用的用户脆弱口令行为,分析用户口令构造规律,包括流行特性、语言依赖性、长度分布、口令重用、结构和语义特征等方面.接着,总结了近30年来学术界提出的28种主要口令猜测算法,并根据技术原理的不同对其进行分类.随后,回顾了目前广泛使用的口令猜测算法评估指标,探究了不同实验设置对评估算法攻破率和计算效率的影响,并根据实验结果讨论了不同猜测算法的技术特点和适用场景.最后,总结口令猜测领域的研究进展,并展望口令猜测算法的应用领域和未来的研究方向.

一种简单的远程动态口令认证方案

口令认证是身份认证的关键因素.分析传统远程口令认证系统的缺点,提出了采用动态口令来实现认证,并设计一种简单的、有效的远程动态口令认证方案.它利用了Hash函数(SHA函数)的单一性和唯一性产生数字摘要作为验证因子来进行认证,实现用户登录口令的动态变化,解决了远程登录的安全问题.该方案克服了一次性口令认证系统(S/KEY)的弱点,能抵御重传攻击,安全性好,计算量小,简单有效,具有较好的实用性.

中文语境下的口令分析方法

针对目前口令语义分析挖掘主要针对英文口令,且局限于常见的单词或姓氏等口令单元的问题,在中文语境下,利用古诗、成语建立模式库,使用口令字符串的数据分析技术,提出了一种基于已知口令元的中文语境口令分析方法。首先,识别出已知口令元;然后,将其视作单个口令自由度;最后,计算给定攻击成功率下的自由度攻击成本,得出口令安全性的量化数值。设计实验对大量明文口令进行量化分析之后,可知在使用中文语境的口令中,80%的用户口令不具有高安全性,能够被字典攻击轻易攻破。

口令攻击与口令保护

口令是信息系统安全重要的防范措施 .首先讨论了口令安全所面临的问题 ,比较分析了多种口令安全保护机制方法 ,然后提出了一种基于伪装的口令保护机制 ,有助于推进口令系统的主动式防御 ,确保网络信息安全 .最后 。

口令重用行为与多维口令体系研究

互联网的迅速发展与网络服务的高度分散,促使广大网民不断注册更多的账户,并导致口令重用行为普遍化,使得用户信息面临泄露的风险。为此,基于2011年底互联网泄密门数据和大学生在线调查数据,分析了网民口令的结构特征和重用行为,并由此设计融入信息维度和分级管理思想的多维口令体系。该体系以根口令-重用码结构为基础,内容维包含多个独立的信息因子,构成口令的可记忆性主体;形式维负责形式变换,以提升口令的复杂性和安全性;时空维用于保障口令的时效性和重用性。对比量化分析结果表明,该口令体系具备良好的记忆性和便捷性,能有效抵御暴力攻击和熟人攻击。

基于AES算法的口令安全传输方案

在当今复杂的网络环境中,网络攻击、数据窃取时有发生,网络中数据传输的安全显得尤为重要。口令作为大部分应用系统认证用户身份的唯一凭据。特别是一部分人为了方便记住口令,在所使用的多个应用系统中都使用同一个口令作为身份认证凭据。对远端访问的应用系统来说,口令失控将造成用户的重大损失。针对这一问题,提出一种基于AES算法的口令加密传输方案,该协议结合随机数的特性、两次握手的交互流程来保护口令在网络中传输的安全。

基于属性拆分与数据挖掘的真实口令分析

目前对网络口令安全性的研究通常集中在通信协议和加密算法的安全性分析上,较少涉及用户设置口令行为本身。为此,提出一种新的口令分析方法。通过设置口令属性,对原始口令依次进行属性拆分、属性归类,采用Apriori算法对归类后的口令属性进行数据挖掘,获得用户设置口令的内在特征。实验结果表明,该方法能够有效地从CSDN泄露的口令中分析出真实用户设置口令的习惯。用户设置的口令中存在大量弱口令,纯数字口令占总量的45.03%,姓氏拼音与数字的组合构成口令的另一大部分,占13.79%。能够在24 min之内分析处理642万条口令,可有效应对海量口令数据。

常见口令遗忘问题及对策

就计算机应用中所遇到的一些常见口令遗忘问题提出一些相应的解决办法

一次性口令技术的研究

LeslieLamport一次性口令认证方案是一种著名的口令认证方案,但存在不足之处:如果用户想为远程系统重新生成口令链,或为新的远程系统生成口令链,则必须再次到特定的系统注册,这很不方便,也不灵活 为解决该问题,提出了一种初始化和修改一次性口令的方案.

基于主题PCFG的口令猜测模型研究

口令是一种重要的身份认证方式,用户为了能够方便记住口令,常把一些与人相关的要素信息加入口令中。传统基于概率上下文无关文法(PCFG)算法进行的口令安全评估,并没有关注用户兴趣爱好、文化背景等与人相关的主题因素。文章基于传统PCFG算法,重点针对口令字母字段进行分析研究,通过对所收集的数据库字母字段的对比,提取用户口令与主题的关系,进而提出基于主题PCFG的口令猜测模型--T-PCFG模型。文章围绕收集的7个数据库中的3300万口令数据集进行实验,结果显示,主题为兴趣爱好时口令的猜测成功率比普通口令的猜测成功率高2.37-8.2个百分点。

动态字典破解用户口令与安全口令选择

口令认证一直是最主要的身份认证方式。考虑到口令要满足口令策略和易记忆的要求,用户常常会将个人信息组合起来作为口令。因此,为了调查此类口令的比例,以2011年泄露的四种真实口令集为实验素材,预先设定口令的组合结构和格式,使用程序统计使用个人信息组合作为口令的比例。实验结果表明,使用姓名、电话号码、特殊日期等信息组合而成的口令比例为12.41%~25.53%。根据这一规律,提出了动态字典攻击。攻击者可以在获得用户部分个人信息后,生成具有针对性的动态字词典,并以此来破解用户口令。最后,还讨论了如何选择口令以防止攻击者通过动态字典破解用户口令。

基于LLM的多粒度口令分析研究

基于口令的认证是常见的身份认证机制。然而,大规模口令泄露事件时有发生,表明口令仍面临着被猜测或者盗用等风险。由于口令可以被视作一种特殊的自然语言,近年来运用自然语言处理技术进行口令分析的研究工作逐渐展开。目前少有工作在大语言模型(LLM,large language model)上探究口令文本分词粒度对口令分析效果的影响。为此,提出了基于LLM的多粒度口令分析框架,总体上沿用预训练范式,在大量未标记数据集上自主学习口令分布先验知识。该框架由同步网络、主干网络、尾部网络3个模块构成。其中,同步网络模块实现了char-level、template-level和chunk-level这3种粒度的口令分词,并提取了口令的字符分布、结构、词块组成等特征知识;主干网络模块构建了通用的口令模型来学习口令组成规律;尾部网络模块生成了候选口令对目标库进行猜测分析。在Tianya、Twitter等8个口令库上进行大量实验,分析总结了多粒度分词下所提框架在不同语言环境中的口令分析效果。实验结果表明,在中文用户场景中,基于char-level和chunk-level分词的框架口令分析性能接近一致,且显著优于基于template-level分词的框架;在英文用户场景中,基于chunk-level分词的框架口令分析性能最佳。

如何防范口令攻击

文章介绍了入侵者常用的口令入侵方法及工具，讨论了用户选择怎样的口令才是有效的，通过对windowsNT系统帐户策略的分析，提出了一个好的帐户管理系统所应具备的口令保护功能。

基于格的最优轮数口令认证秘密共享协议

口令认证秘密共享将口令认证和秘密共享相结合,是一个贴合实际用户需求的分布式方案。该协议允许一个用户在多个服务器间共享秘密,并且只需要记忆一个简短口令即可在后续同时完成身份验证以及秘密恢复。协议安全性保证只要敌手控制的服务器不超过阈值,敌手就不能从协议中窃取任何有关口令和秘密的信息。口令认证秘密共享方案最初基于离散对数及其变体的假设,不能抵抗量子攻击,因此找到量子安全的构造成为亟需解决的问题。ROY等人提出一种恶意安全且量子安全的构造,但其通信轮数并非最优,在有恶意敌手干扰的情况下,轮数甚至不再是常数。针对轮数优化问题,文章利用可验证不经意伪随机函数原语,给出了基于格的最优轮数的量子安全构造并严格证明了其安全性。此外,协议保证多数诚实服务器场景时,诚实用户一定能在最优轮数内成功恢复正确的秘密,具有很强的鲁棒性。

基于线性代数的登录口令生成与验证算法研究

计算机或网络中的一些信息系统需要获得一定的授权才能使用,而且很多授权都有一定的使用期限,例如登录口令。通过提供不同的授权可以控制用户对信息系统的使用权。阐述了一种基于线性代数的口令生成及验证的方法,并对此方法的安全性进行了论证。

单分组散列函数的口令安全存储算法的设计与实现

随着互联网的普及和计算机技术的发展,信息安全愈加重要。保护个人隐私的数据安全已经成为每个人关注的焦点。其中,身份认证技术是必不可少的,目前常用的用户认证方式主要是口令认证。通常使用散列函数处理静态口令,依据散列函数原理填充位数过多影响口令的安全。因此,文章依照散列函数的设计原则,首先从外部和内部的结构上重新设计一个输入长度小于256比特的安全单分组散列函数(SSBH)。其次提出了基于SSBH的口令安全存储算法。通过实验表明SSBH函数具有更高的可靠性和运行效率。