返回
基于概率上下文无关文法的口令强度评估方法

基于概率上下文无关文法的口令强度评估方法

ID:10930182

大小:38.00 KB

页数:10页

时间:2018-07-09

基于概率上下文无关文法的口令强度评估方法_第1页
基于概率上下文无关文法的口令强度评估方法_第2页
基于概率上下文无关文法的口令强度评估方法_第3页
基于概率上下文无关文法的口令强度评估方法_第4页
基于概率上下文无关文法的口令强度评估方法_第5页
资源描述:

《基于概率上下文无关文法的口令强度评估方法》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、基于概率上下文无关文法的口令强度评估方法 摘要:口令作为当前互联网应用最主要的安全认证方式之一,口令的强弱决定着用户账户和系统的安全。文中针对目前常用的口令强度评估工具Passwordmeter等存在口令强度评估简单、参数较少等口令易遭受字典攻击等问题,利用信息熵进行口令强度的方法研究,提出一种新的口令强度评估方法。该方法采用概率上下文无关文法建模,对网络泄露的真实口令明文进行特征分析,通过口令的结构划分来计算其出现的概率,从而计算信息熵得出口令强度值,该方法计算代价较小,能够有效抵抗字典攻击。本文采集自网络,本站发布的论文均是优质论文,供学习和研究使用,文中立场与本网站无

2、关,版权和著作权归原作者所有,如有不愿意被转载的情况,请通知我们删除已转载的信息。 关键词:安全认证;口令规则;口令强度;信息熵;概率上下文无关文法  中图分类号:TP391文献标识码:A文章编号:2095-1302(2017)04-00-03  0引言  据统计,现今互联网用户平均每天访问25个需要登入口令的网站[1]。口令作为当前互联网登录最常用的安全机制,时刻影响着人们的日常生活,尽管其他认证手段如生物特征信息认证等认证方式在技术上已取得了较快进展,但是口令以其成本较低、使用快捷的特点一直作为安全认证的最主要方式。对于用户和网站的管理者而言,口令的安全性就显得至关重要

3、。所谓安全,是指口令在一定时间和代价下黑客无法破解[2]。  用户往往会选择一个便于记忆的口令,这就导致口令强度较低,很容易被人破解[3]。近日国外账号密码安全管理软件Keeper发布了2016年25大最常见密码,指出到2016年为止,还有17%的用户使用“123456”作为密码;最受欢迎的密码前五位分别是:“123456”、“123456789”、“qwerty”、“12345678”和“111111”,这也说明人们对口令强度的重视程度还不够。用户的口令设置习惯还与其所处地区、文化背景有很大的关系,有研究表明不同国家的用户在进行口令长度和字符类型的选择时存在差异,比如中国

4、大陆人偏好用纯数字口令[4]。为了使用户选择强度更高的口令,很多网站都会采用口令强度检验器来实现,大多数检验器都通过规定口令长度、字符类型来让用户选择口令,但用户依然能够设置出符合这些检验器规则但强度却很低的口令。  当前有很多口令强度的评估工具,以Passwordmeter和PasswordCheckOnline为例,将需要评估强度的口令明文输入这些工具,工具就会给出一个分数介于0到100之间的强度值。这些口令强度评估工具看似有用,但使用的规则过于简单,导致得出的口令强度值不够准确。  关于口令??度评估的研究有很多,国内的刘公申等基于数据挖掘提出一种方法[3],通过制定

5、多个口令强度因素并赋予一定的权重来进行口令强度的评估。  2006年,美国国家标准与技术研究院提出利用信息熵来计算口令强度的方法[5],通过计算口令在字典中出现的概率来评估口令强度。ClaudeCastelluccia等人则在此基础上利用马尔可夫模型计算口令的概率[6],该方法强调的是口令相邻字符之间的联系。但在实际中,多数口令以分段式结构出现,类似于“ABC23456”、“791346qwer”、“!@#QWE123”,这种情况与马尔可夫模型强调的相邻字符之间的联系存在差别。  本文针对口令存在结构划分的特点,通过对网站泄露的真实口令进行分析,采用概率上下文无关文法(Pr

6、obabilisticContextFreeGrammar,PCFG)建模,提出一种自适应的口令强度评估方法。  1相关研究  关于口令强度评估的研究是信息安全领域内的一个重要研究方向,近年来国内外研究人员在该领域也提出了一些新的口令强度评估方法。  1.1现有的口令强度评估工具  当前网上存在很多口令强度评估工具,但其原理和操作方法都大同小异,以Passwordmeter为例,口令强度值的影响因素分为正向加分和负向减分两种,加分项有长度、数字、大小写字母、特殊符号等,每种因素赋予不同的权重;减分项有是否纯数字、是否纯字母、是否有重复字符等,且为每种因素赋予不同的权重;最后

7、把两种因素的分数值进行简单加减运算得出口令的强度值,大小介于0到100之间,数值越大表示其强度越高。以2016年最常见的25大密码中排名第17的“1q2w3e4r”为例,通过Passwordmeter工具评估得出该口令得分62,强度级别属于“strong”,显然与事实不符。  可以看出这类评估工具的方法十分简单,仅通过口令字符的简单规则就得出口令强度值为“strong”的口令是无法抵抗字典攻击的。  1.2基于真实数据挖掘的口令脆弱性评估  刘功申等提出一种基于真实数据挖掘的口令脆弱性评估方法[3]。该方法通过对真

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。