PG-RNN:一种基于递归神经网络的密码猜测模型

用户名—密码(口令)是目前最流行的用户身份认证方式,鉴于获取真实的大规模密码明文非常困难,利用密码猜测技术来生成大规模密码集,可以评估密码猜测算法效率、检测现有用户密码保护机制的缺陷等,是研究密码安全性的主要方法。本文提出了一种基于递归神经网络的密码猜测概率模型(password guessing RNN, PG-RNN),区别于传统的基于人为设计规则的密码生成方法,递归神经网络能够自动地学习到密码集本身的分布特征和字符规律。因此,在泄露的真实用户密码集上训练后的递归神经网络,能够生成非常接近训练集真实数据的密码,避免了人为设定规则来破译密码的局限性。实验结果表明,PG-RNN生成的密码在结构字符类型、密码长度分布上比Markov模型更好地接近原始训练数据的分布特征,同时在真实密码匹配度上,本文提出的PG-RNN模型比目前较好的基于生成对抗网络的PassGAN模型提高了1.2%。

基于神经网络的多源密码猜测模型

用户在设置密码时总是会以某一种形式来组合密码,使得密码猜测成为新的研究方向。目前成熟的技术是基于统计概率的方法,运算量大,耗时长。随着深度学习的兴起,运用递归神经网络生成密码的技术被证明是更加有效的。然而,目前基于深度学习的研究仅仅针对单一数据集,数据量受限,使得跨数据集的命中率不高。因此,提出了基于单数据集的密码生成模型PL(PCFG+LSTM)。相比LSTM,PL提升单数据集的命中率16%～30%。此外,提出了基于多数据集的对抗生成模型GENPass,相比简单混合多个数据集,命中率提升超过20%。

基于条件变分自编码的密码攻击算法

使用密码猜测算法是评估用户密码强度和安全性的有效方法,提出一种基于条件变分自编码密码猜测算法PassCVAE。算法基于条件变分自编码模型,将用户个人信息作为条件特征,训练密码攻击模型。在编码器端,分别使用双向循环神经网络(GRU)和文本卷积神经网络(TextCNN),实现对密码序列和用户个人信息的编码和特征的抽象提取;在解码器端使用两层GRU神经网络,实现对用户个人信息和密码数据隐编码的解码,生成密码序列。该算法可以有效地拟合密码数据的分布和字符组合规律,生成高质量的猜测密码数据。多组实验结果表明,提出的PassCVAE算法优于现有的主流密码猜测算法。

基于服务器私人密钥轻量级的身份验证协议

通过对已有智能卡远程用户认证协议进行分析,指出该身份验证协议无法抵御离线密码猜测攻击,且不能提供用户匿名性,并提出一种轻量级的身份验证协议。所有发送的信息均不包含密码信息,通过设置服务器私人密钥的方式抵御离线密码猜测攻击。为实现用户匿名性,使攻击者无法对用户的行为进行跟踪,在每个会话中采用掩码用户身份标识。BAN逻辑证明了所提协议的正确性。与其它协议相比,所提协议在身份验证安全性方面更优,执行时间适中,适用于真实环境。

基于动态ID的远程认证方案的分析和改进

分析了段晓毅等人提出的动态ID的远程认证方案,发现该方案不能抵御离线密码字猜测攻击,重放攻击,冒充服务器攻击,且在相互认证后不能提供会话密钥。提出了一个改进方案,改进后的方案克服了以上的安全缺陷,且用户可自由选择登录系统的密码,相互认证后用户和服务器共享一个会话密钥。

一种基于Smart Card的远程用户身份验证方案的安全性讨论

身份验证是计算机通信的一个重要方面。由于密码验证协议的简单性,它已经被广泛地用于身份验证。最近,Lee氏等利用Smart Card,提出了一个基于随机数的远程用户验证方案。指出了这个方案并不像其提出者所声称的那样安全,同时提出了两种攻击方法以破解其验证方案。

举一反三解决系统弱点（二）

在《在线技术》第七期《举一反三解决系统弱点(一)》一文中，我们介绍IIS和MS SQL相关弱点的解决方法，在本文中，我们将针对Windows授权以及IE与Outlook相关弱点给出相应的解决办法。