Hybritus:a password strength checker by ensemble learning from the query feedbacks of websites

Password authentication is vulnerable to dictionary attacks.Password strength measurement helps users to choose hard-to-guess passwords and enhance the security of systems based on password authentication.Although there are many password strength metrics and tools,none of them produces an objective measurement with inconsistent policies and different dictionaries.In this work,we analyzed the password policies and checkers of top 100 popular websites that are selected from Alexa rankings.The checkers are inconsistent and thus they may label the same password as different strength labels,because each checker is sensitive to its configuration,e.g.,the algorithm used and the training data.Attackers are empowered to exploit the above vulnerabilities to crack the protected systems more easily.As such,single metrics or local training data are not enough to build a robust and secure password checker.Based on these observations,we proposed Hybritus that integrates different websites'strategies and views into a global and robust model of the attackers with multiple layer perceptron(MLP)neural networks.Our data set is comprised of more than 3.3 million passwords taken from the leaked,transformed and randomly generated dictionaries.The data set were sent to 10 website checkers to get the feedbacks on the strength of passwords labeled as strong,medium and weak.Then we used the features of passwords generated by term frequency-inverse document frequency to train and test Hybritus.The experimental results show that the accuracy of passwords strength checking can be as high as 97.7%and over 94%even if it was trained with only ten thousand passwords.User study shows that Hybritus is usable as well as secure.

Password Pattern and Vulnerability Analysis for Web and Mobile Applications

Text-based passwords are heavily used to defense for many web and mobile applications. In this paper, we investigated the patterns and vulnerabilities for both web and mobile applications based on conditions of the Shannon entropy, Guessing entropy and Minimum entropy. We show how to substantially improve upon the strength of passwords based on the analysis of text-password entropies. By analyzing the passwords datasets of Rockyou and 163.com, we believe strong password can be designed based on good usability, deployability, rememberbility, and security entropies.

助记口令创建策略综述

口令身份验证因其简单性和可部署性而成为当今最常见的身份验证方式。随着口令猜测攻击算法的不断改进,对口令强度的要求也越来越高。强口令虽然能够提高安全性,但往往难以记忆,而易记口令则容易受到破解的威胁,因此选择既强大又易于记忆的口令成为一项挑战。随着每个用户的账户数量不断增加,需要记住的口令数量也在增加,这给人类记忆带来了明显的压力,因此寻找生成易记强口令的方法成为必须。在过去的二十多年里,许多研究者提出了基于不同助记工具的助记口令创建策略。故对现有的助记口令创建策略进行综述,首先针对口令创建背景、口令强度进行概况总结,其次根据助记工具的特点,将其分为基于句子、基于单词、基于键盘和其他特殊类型4类,并对每种类型进行了深入综述;最后,对助记口令创建策略进行了总结和展望,并指出了未来的研究方向和发展趋势。

口令猜测研究进展

口令是人类可记忆的短密钥,在身份认证、加密、签名等领域有广泛的应用.口令虽然被指出存在一系列安全性和可用性问题,但因其使用简单、成本低廉、容易更改,在可预见的未来仍无可替代.口令猜测是口令面临的最严重的安全威胁,是口令安全性研究的核心方向之一,引起了学术界的持续关注.本文首先采用数据驱动的研究方法,挖掘可被猜测攻击者利用的用户脆弱口令行为,分析用户口令构造规律,包括流行特性、语言依赖性、长度分布、口令重用、结构和语义特征等方面.接着,总结了近30年来学术界提出的28种主要口令猜测算法,并根据技术原理的不同对其进行分类.随后,回顾了目前广泛使用的口令猜测算法评估指标,探究了不同实验设置对评估算法攻破率和计算效率的影响,并根据实验结果讨论了不同猜测算法的技术特点和适用场景.最后,总结口令猜测领域的研究进展,并展望口令猜测算法的应用领域和未来的研究方向.

口令强度评估的分级先验模型研究

拒绝用户设置弱口令是系统信息安全防护的一种重要手段。针对完整口令集设计并实现了一个不同于基于规则的先验口令检验器的口令分级先验组合模型。利用马尔可夫模型,结合影响口令强度的长度、频次、首字母等相关因素,设计了有效的口令强度评估函数,并根据强度值分布设置阈值对全口令集进行合理分级,并将结果导入布鲁姆过滤器中,以在保证分级口令自身安全的同时,减少口令先验检索的时耗。多口令库实验结果表明:口令强度评价结果合理,分级结果在先验口令检测方面具有较好的适用性。

口令安全研究进展

身份认证是确保信息系统安全的第一道防线,口令是应用最为广泛的身份认证方法.尽管口令存在众多的安全性和可用性缺陷,大量的新型认证技术陆续被提出,但由于口令具有简单易用、成本低廉、容易更改等特性,在可预见的未来仍将是最主要的认证方法.因此,口令近年来引起了国内外学者的广泛关注,涌现出了一大批关于口令安全性的研究成果.从用户生成口令时的脆弱行为入手,介绍了中英文用户口令的特征、分布和重用程度;总结了近30年来提出的几个主流口令猜测算法,并根据它们所依赖的攻击对象的信息不同进行了分类;然后,回顾了当前广泛使用的基于统计学的口令策略强度评价标准;此外,对比了当前主流的几个口令强度评价器.最后,对当前研究现状进行了总结,并对未来研究方向进行了展望.

基于真实数据集的密码定量分析及规则创建

大规模泄密事件频发,攻击者越来越容易获得用户真实密码信息,利用这些真实密码及用户在设置密码中的行为倾向,攻击者可以大幅提高其攻击效率。利用可用性较好的密码创建规则约束用户行为是提高用户密码安全性的重要手段,使用户设置的密码在整体密码空间上趋于均匀分布,以提高用户密码抵抗猜解攻击的能力。文章在大规模真实数据集的基础上,从强度和可记忆度两个维度定量分析了国内用户密码的安全性及可记忆性,提出了能根据用户历史密码数据动态约束用户密码设置行为的密码创建规则:若用户采用纯数字密码,则密码长度不应低于7位,大写字母+小写字母组合的密码应避开6位和8位,大写字母+特殊字符的组合推荐使用9位。实验结果表明,在该密码创建规则的约束下,用户创建的密码具有高安全性和高可记忆性的优点。

一种用户模式驱动的安卓图形口令强度计

为了鼓励用户选择更强的安卓图形口令,设计了一个用户模式驱动的安卓图形口令强度计;在视觉特征的基础上,添加了常用特殊字符形状和常用三元组子模式2个特征,共同计算口令的强度得分;同时,进行了在线调查,收集了102个用户创建的安卓图形口令,评估强度计的有效性;通过与其他强度计方法进行对比,建立了马尔可夫模型并度量了部分猜测熵指标.研究结果表明在强度计的帮助下用户可以创建安全性更强的口令.该强度计有效地增强了安卓图形解锁模式的安全性,并且用户创建的口令特征也发生了明显的变化.

一种基于频率和熵的口令策略生成框架

文本口令具有实现简单、可部署性强的优点,是当前最主要的身份认证技术之一,口令安全至关重要,合理的口令生成策略有助于提升口令安全。文章针对已有基于频率的口令策略生成器HTPG中因为仅使用频率作为口令分类标准,从而只反映了口令的流行性的问题,设计了基于频率和熵的口令策略生成器框架(FEPG),创新性地引入熵作为口令复杂性的衡量标准,通过Zipf分布和正态分布构建了基于频率和熵的口令四分类方法,并使用口令强度评价工具zxcvbn验证了四分类的有效性。FEPG通过比较弱口令与低频高熵口令的差异,提供了一套修改策略,并在模拟用户修改口令行为后,使用概率上下文无关语法(PCFG,probabilisticcontext-freegrammar)进行测试,结果表明,经过FEPG强化的口令比经过HTPG强化的口令被成功猜测的比例下降了69.30%,验证了FEPG的有效性。

基于中文句法的口令助记策略

助记策略用于帮助用户生成安全性较高且易于记忆的口令,近年来受到中外学者的广泛关注。现有助记策略多存在安全性低、不便记忆等问题。现提出一种基于中文句法的口令助记策略,用户选择一个易于记忆的句子作助记句,利用预定义规则或基于用户的选择,将其转换为口令,通过对照实验评估了其性能。采用马尔可夫链模型等性能评估工具,将实验中收集的口令与大量真实口令进行对比、分析,评估该助记策略的安全性和易用性。在易用性方面,NASA-TLX量表结果显示,虽然使用助记策略在生成口令阶段的负荷量偏高,但在短期可记忆性和长期可记忆性方面,是否使用助记策略没有明显的差别。此外,在安全性方面,所有口令强度评估结果均表明,该助记策略生成的口令强度远高于真实口令。在将助记句转化为口令的同时,本策略隐藏了个人敏感信息,降低了因个人信息泄露而导致口令泄露的风险,提高了方案的安全性。

基于集成学习的口令强度评估模型

针对现有的口令评估模型通用性差,没有一个可以对从简单口令到非常复杂口令都适用的评估模型的问题,设计了一种基于多模型的集成学习的口令评估模型。首先,使用真实的口令训练集训练多个现有的口令评估模型作为子模型;其次,将多个经过训练的子模型作为基学习器进行集成学习,采用偏弱项投票法的结合策略实现各个子模型的优势集成;最后,实现一个以高准确性为前提的通用口令评估模型。实验中使用网络泄露的真实用户口令数据集作为实验数据,实验结果表明,基于多模型集成学习模型针对不同复杂程度的口令进行口令强度评估,其评估结果准确率高、通用性强,所提模型在口令评估方面具有较好的适用性。

文本口令强度评估工具的方法与应用

随着我国近年来互联网技术的飞速发展和智能手机的普及,我国互联网普及程度不断提高,互联网用户的信息安全值得重视。当前,使用文本口令仍是当前互联网服务商所采取的主要加密方式,但很多用户会偏向于采取容易记忆的信息来作为口令,从而形成容易导致用户信息泄露的弱口令。因此,应加强口令强度评估的方法研究,开发出更符合中国互联网用户口令设计特征的口令强度评估工具。基于此,笔者介绍了文本口令强度评估的工作流程,分析了当前国际上通行的文本口令强度评估工具所采用的4种主要方法,并讨论了文本口令强度评估方法的应用情况和前景。