基于真实数据集的密码定量分析及规则创建

大规模泄密事件频发,攻击者越来越容易获得用户真实密码信息,利用这些真实密码及用户在设置密码中的行为倾向,攻击者可以大幅提高其攻击效率。利用可用性较好的密码创建规则约束用户行为是提高用户密码安全性的重要手段,使用户设置的密码在整体密码空间上趋于均匀分布,以提高用户密码抵抗猜解攻击的能力。文章在大规模真实数据集的基础上,从强度和可记忆度两个维度定量分析了国内用户密码的安全性及可记忆性,提出了能根据用户历史密码数据动态约束用户密码设置行为的密码创建规则:若用户采用纯数字密码,则密码长度不应低于7位,大写字母+小写字母组合的密码应避开6位和8位,大写字母+特殊字符的组合推荐使用9位。实验结果表明,在该密码创建规则的约束下,用户创建的密码具有高安全性和高可记忆性的优点。