基于攻击算法的海量真实用户口令数据分析

摘要

口令认证是现今主要的身份认证方式,已广泛应用于金融、军事和网络等领域.文中从攻击者的角度对口令的安全性展开研究,利用海量真实的用户数据对口令的一般特征进行统计分析,基于概率上下文无关文法(Probabilistic Context-Free Grammars,PCFG)口令猜测算法、TarGuess-I定向口令猜测模型的口令脆弱性分析,发现了用户在选择生成口令时存在易被攻击者发现并被利用的脆弱行为,如偏好使用简单结构口令、基于模式设计口令、基于语义生成口令以及偏好使用姓名和用户名等个人信息生成口令等,总结了这些脆弱行为的特征,为避免用户设置脆弱口令以及设计口令强度评估方法提供了依据.