安全口令选择策略

本文指出了用户在选择口令时存在的弱点,介绍了用户选择安全口令的几种策略,并简述了前置式口令检查策略的两种实现技术。

动态字典破解用户口令与安全口令选择

口令认证一直是最主要的身份认证方式。考虑到口令要满足口令策略和易记忆的要求,用户常常会将个人信息组合起来作为口令。因此,为了调查此类口令的比例,以2011年泄露的四种真实口令集为实验素材,预先设定口令的组合结构和格式,使用程序统计使用个人信息组合作为口令的比例。实验结果表明,使用姓名、电话号码、特殊日期等信息组合而成的口令比例为12.41%~25.53%。根据这一规律,提出了动态字典攻击。攻击者可以在获得用户部分个人信息后,生成具有针对性的动态字词典,并以此来破解用户口令。最后,还讨论了如何选择口令以防止攻击者通过动态字典破解用户口令。

单分组散列函数的口令安全存储算法的设计与实现

随着互联网的普及和计算机技术的发展,信息安全愈加重要。保护个人隐私的数据安全已经成为每个人关注的焦点。其中,身份认证技术是必不可少的,目前常用的用户认证方式主要是口令认证。通常使用散列函数处理静态口令,依据散列函数原理填充位数过多影响口令的安全。因此,文章依照散列函数的设计原则,首先从外部和内部的结构上重新设计一个输入长度小于256比特的安全单分组散列函数(SSBH)。其次提出了基于SSBH的口令安全存储算法。通过实验表明SSBH函数具有更高的可靠性和运行效率。

基于AES算法的口令安全传输方案

在当今复杂的网络环境中,网络攻击、数据窃取时有发生,网络中数据传输的安全显得尤为重要。口令作为大部分应用系统认证用户身份的唯一凭据。特别是一部分人为了方便记住口令,在所使用的多个应用系统中都使用同一个口令作为身份认证凭据。对远端访问的应用系统来说,口令失控将造成用户的重大损失。针对这一问题,提出一种基于AES算法的口令加密传输方案,该协议结合随机数的特性、两次握手的交互流程来保护口令在网络中传输的安全。

基于渗透测试的应用安全问题分析

针对当下网络安全形势提出通过渗透测试进行安全检测的方法,介绍了渗透测试概念及相关工作流程,结合部分检测实例对口令安全、Web安全(文件上传漏洞、SQL注入、XSS攻击)、单点登录安全(明文信息标识、简单编码标识、固定加密凭据)、开源组件安全(Struts2漏洞、Shiro反序列化漏洞、Log4j远程代码执行漏洞)等重点应用安全问题及渗透方法进行分析,提出问题解决措施,同时建议建立完善的渗透性安全检测机制,提升应用系统的安全防护水平,降低此类问题引发的安全风险。

试论如何选择安全的口令

介绍了口令应用的领域和重要性,分析了常见的口令攻击的类型,列举了选择安全口令的一些基本准则,指出用户的安全意识和自我保护意识对于口令的安全同样不可或缺。

基于口令的变电站数据与通信安全认证

依据电力系统数据与通信安全标准IEC62351,研究既能满足认证安全需求,又能保证最小的计算和传输开销,基于口令的变电站数据与通信安全认证方法。比较了几种国际上先进的安全口令技术,分析了IEC61850标准中智能电子设备(IED)访问安全模型,提出采用安全远程口令(SRP)协议实现IED访问应用关联时的安全认证。最后,以变电站自动化IED间的身份鉴别为例,介绍了SRP协议的改进方法和具体的认证过程。研究结果对在变电站自动化系统中实施IEC62351标准具有参考意义。

口令安全研究进展

身份认证是确保信息系统安全的第一道防线,口令是应用最为广泛的身份认证方法.尽管口令存在众多的安全性和可用性缺陷,大量的新型认证技术陆续被提出,但由于口令具有简单易用、成本低廉、容易更改等特性,在可预见的未来仍将是最主要的认证方法.因此,口令近年来引起了国内外学者的广泛关注,涌现出了一大批关于口令安全性的研究成果.从用户生成口令时的脆弱行为入手,介绍了中英文用户口令的特征、分布和重用程度;总结了近30年来提出的几个主流口令猜测算法,并根据它们所依赖的攻击对象的信息不同进行了分类;然后,回顾了当前广泛使用的基于统计学的口令策略强度评价标准;此外,对比了当前主流的几个口令强度评价器.最后,对当前研究现状进行了总结,并对未来研究方向进行了展望.

安全口令生成器的设计与实现

基于口令的安全机制经常被应用到操作系统用户登录、个人电子账户、文档数据加密等各种信息系统中,用来保证账户的安全和用户信息的机密性。论文采用"字符摘取扩展变换"方法设计与实现了一种安全口令生成器,在保证用户方便记忆口令串的同时得到复杂高强度的口令串,从而提高了用户信息系统口令认证体制的密码安全。

口令的安全分析及真随机数在金融安全中的应用

文章介绍了口令安全,对金融系统的口令安全进行了分析,提出了两种用于提高金融系统安全的口令系统:随机口令系统和动态口令系统,这两种系统也可以用于其它网络安全中。

基于我院办公自动化系统的口令安全研究

结合一个具体的办公自动化系统,分析了这个系统可能存在的通过用户帐号、网络监听、获取用户口令文件等渠道获取口令的安全隐患。通过防止检测和嗅探、加强口令安全、强化身份认证等措施,以增强系统的安全性能。

用启发式策略检测口令安全

针对现有口令安全措施中存在的问题进行了分析,提出一种利用启发式策略检测口令安全的方法,该方法模拟社交工程破解口令的逻辑推理过程,利用启发式策略指导口令核的检测过程,从而有针对性的选择口令核字典,缩小搜索空间,再利用计算机的强计算能力完成变形重组工作,提高效率.以攻击者的思维、角度来考虑安全问题,假定攻击者在了解用户有关信息的情况下,模拟攻击者破解口令的智能推导过程来检验口令的安全性.同时,还描述了利用此方法实现的一个原型系统,实验表明,它可以改进口令检测的效果和效率.

基于安全远程口令和公钥体制的Kerberos改进算法

首先使用改进SRP实现加密的私钥下载,最后通过解密的私钥进行数据签名及认证。在此基础上,还给出了改进算法的安全性和时间性能分析。

图书馆电子阅览室口令安全更换的设计方法

本文对我校图书馆电子阅览室管理系统安全性设计中提出了一种在公开网络中对口令进行安全传输的方法,该方法是利用有抗冲突能力的hash函数(如SHA-1)和随机数对口令进行安全传输,可有效抵御假冒攻击。在该基础上,提出了实现口令安全更换的方法。

单向散列函数与用户口令的安全保护

本文介绍了单向散列函数的基本知识,对重放攻击、词典攻击和碰撞攻击等方法进行了阐述。通过详细分析单向散列函数和随机字符串对用户进行口令保护的方案,说明用户口令的抗攻击强度有了较大的提升。最后,本文给出了.NET平台和网络教学管理系统MOODLE进行口令保护的实例。

基于安全散列算法的口令安全机制及其java实现

介绍了安全散列算法的基本原理及特点.讨论了在网络环境下基于该算法的口令安全机制,并用java语言给出具体的实现方法.

计算机网络中的口令安全

讨论了影响口令安全的有关问题，以及针对这些问题所应采取的措施。

CSNN:基于汉语拼音与神经网络的口令集安全评估方法

口令猜测攻击是一种最直接的获取信息系统访问权限的攻击,采用恰当方法生成的口令字典能够准确地评估信息系统口令集的安全性。该文提出一种针对中文口令集的口令字典生成方法(CSNN)。该方法将每个完整的汉语拼音视为一个整体元素,后利用汉语拼音的规则对口令进行结构划分与处理。将处理后的口令放入长短期记忆网络(LSTM)中训练,用训练后的模型生成口令字典。该文通过命中率实验评估CSNN方法的效能,将CSNN与其它两种经典口令生成方法(即,概率上下文无关文法PCFG和5阶马尔可夫链模型)对生成口令的命中率进行实验对比。实验选取了不同规模的字典,结果显示,CSNN方法生成的口令字典的综合表现优于另外两种方案。与概率上下文无关文法相比,在猜测数为107时,CSNN字典在不同测试集上的命中率提高了5.1%~7.4%(平均为6.3%);相对于5阶马尔可夫链模型,在猜测数为8×105时,CSNN字典在不同测试集上的命中率提高了2.8%~12%(平均为8.2%)。

基于社工信息的口令生成与安全性分析

文本口令是现今网络信息系统用户身份认证的关键凭据。为评估用户口令的安全性,运用分词算法将获取的口令样本中的每条口令拆分成可理解的口令因子组合,通过分析口令样本中各口令的口令因子组成规律,利用关联规则挖掘用户口令的设置规则。根据设置规则,结合社会工程学收集的信息,利用k-gram算法生成口令字典。通过实验验证,借助社工信息生成的口令字典,在特定应用场景中针对性强,具有更好的破解效果,为检测口令安全性提供了一种新的手段。

政务信息系统口令常见安全隐患及对策

总结政务信息系统口令常见的4种安全隐患:弱口令、明文存储、不安全的密码算法、未限制登陆失败次数。提出强化管理、巧设口令、妥善保管的三条管理对策和口令强度检测、口令加密、部署数字证书、限制登陆失败次数等技术对策。结合口令隐患整改实践,作者认为,口令隐患整改离不开管理对策,但需以技术对策为基础。