说起口令，其实大家并不陌生，从我们每天解锁手机、登录邮箱到网络购物，都会涉及到口令。口令俗称“密码”，对应英文 Password，是当前最主要的身份认证方法。

　　8.54 亿中文用户占了世界上 20% 的互联网用户，比美国人口的两倍还多。北京大学汪定博士以第一作者完成的一项研究发现，虽然中文用户的密码构造行为与英文用户有很大差异，但世界各大知名网站对中英文用户采取同样的密码保护措施，都没有考虑中文用户密码的特点。

（来源：iStock）
汪定说，对于黑客而言，各大网站的密码保护措施无异于皇帝的新衣。
今年 8 月，这项针对中英文网民密码比较的研究发表在全球四大顶级信息安全学术会议之一的 USENIX （美国高等计算系统协会）Security 会议上。
中文网民常用密码：生日和手机号

　　
汪定团队分析了 2009 年到 2012 年间由黑客曝光的 1.06 亿个真实网络密码，其中包括 6 个中文服务器上的 7310 万个密码和 3 个英文服务器上的 3320 万个密码。值得注意的是，虽然这是 2012 年之前的数据，但多年来密码系统进化很慢，其改变是很少的。
他们还比较了社交论坛、游戏、电子商务网、程序员论坛以及雅虎英文国际用户的密码。研究发现，与英文互联网用户相比，中文互联网用户的确在密码设置上有特点。
中文网民更喜欢用数字作为密码，尤其是手机号和生日，英文网民则更喜欢用纯粹字母作为密码。据汪定此前研究，中文网民的密码有 27% 到 45% 仅由数字构成，英文网民密码仅由数字构成的低于 16%。
英文网民倾向于用某些单词和短语，有 25.88％的网民会将 5 个字母以上的单词作为密码模块，如 password（密码）、letmein（让我登录）、sunshine（阳光）、princess（公主），当然也包括“abcdef”“abc123”以及“123456”。
研究还发现，16.99％ 的中文网民热衷在密码中插入 6 个日期数字的模块，这个数字更可能是生日。有 30.89％ 的中文网民使用 4 个以上的日期数字，这个比例是英文网民的 3.59 倍。13.49% 的中文网民使用 4 位数的年份数据作为密码模块，是英文网民的 3.55 倍。
更有意思的是，如果一个中文用户使用一长串数字做密码，那么这个密码是 11 位手机号的概率是66.74%。要知道，2.91％ 中文网民使用 11 位手机号码作为密码模块，而 4.36%的中文网民口令含有 11 位以上的数字，因此其概率为 2.91/4.36=66.74%。
类似地，如果知道一个中文用户的密码不低于 11 位，那么这个密码含有 11 位手机号的概率是 23.48%。要知道，2.91％ 中文网民使用 11 位手机号码构造密码，同时有 12.39%的中文网民密码长度不低于 11 位，因此其概率为 2.91/12.39=23.48％。
中文网民只有2.41%使用英文单词作为密码模块，但他们更喜欢用拼音名字（11.50%），尤其是全名。
此外，爱情主题在中国网民口令中占很大地位，比如“woaini1314”“5201314”。
研究发现，一些基于英文字母的所谓“强”密码可能在中文环境中很弱，比如“woaini1314”，这个密码在谷歌、新浪微博等网络平台均被评为强等级，然而中文网络用户很容易猜到这个密码的含义。
再比如“brysjhhrhl”，大部分中文网民能猜到这是“白日依山尽，黄河入海流”的缩写。这就让从英文用户视角解决密码安全问题的思路出现偏差。

（来源：汪定）
据汪定 2016 年的研究，对于具体网站而言，以 126 邮箱为例，前 10 位密码是123456，123456789，111111，password，000000，123123，12345678，5201314，18881888，1234567，这 10 个口令占据总数的3.53%。
而中国铁路 12306 网站的前十位口令是 123456，a123456，5201314，123456a，111111，woaini1314，123123，000000，qq123456，1qaz2wsx。这十位占 1.28%。
中文网民密码在小猜测次数下更弱

　　
根据密码破解过程中是否需要连网，密码猜测算法分为在线破解和离线破解。
在线破解需要连网，但不需要拿到网站服务器上存储的密码库，攻击者只需要通过与服务器进行交互，针对目标帐号依次尝试可能的密码，直到猜测出密码，或因尝试次数过多被服务器阻止。因此，在线猜测一般也称为小猜测次数下的攻击。
离线破解不需要连网，但需要拿到网站服务器上存储的密码库，针对目标帐号，在本地依次尝试可能的密码，直到猜测出密码或因算力有限自动放弃猜测。因此，离线猜测不受猜测次数的限制，一般也称为大猜测次数下的攻击。
汪定团队的研究显示，中文网民的密码在小猜测次数下（即在线猜测）更弱。
在基于概率的上下文无关文法 （PCFG）的攻击实验中，如果允许 100 次猜测，约 10% 的中文用户口令会被破解，而仅有 3.5% 的英文用户口令被破解；如果允许 1000 万次猜测，32%的中文用户口令会被破解，而至少有 43%的英文用户口令被破解。
在基于马尔科夫链（一种口令出现概率的计算模型）的攻击实验中，也观测到了类似的情况。这一现象意味着，应针对中文用户采取特别的密码保护措施。比如，针对中文用户定制密码黑名单，设计专门针对中文用户的密码强度评测算法。遗憾的是，当前世界各大主流网站均没有意识到这一点，对中英文用户采用完全相同的密码保护措施。
密码更容易被定向破解

　　
密码，也就是信息安全学者口中的“口令”，属于网络安全系统中的密钥范畴。更确切地说，密码是密钥类别中人类可记忆的短密钥。
人类大脑只能记住有限的 5-7 个密码，可记忆的密码要求尽量短、有规律、不复杂。然而密码太简单或具有共性，也就更容易被破解。要抗猜测的话，密码则应尽量长、无规律、越复杂越好。
由于信息化社会的不断推进，越来越多的服务开始联网，用户拥有几十个甚至上百的密码帐号。为了方便记忆，用户不可避免地使用流行密码，在不同网站重复使用同一个密码，在密码中嵌入个人相关信息，如姓名和生日。
2016 年，汪定通过对 442 位中文用户的口令使用习惯调查发现，用户在新网站注册口令时，往往会重用（44.8%）现有口令，或者修改（32.6%）现有口令，只有 14.5%的用户会构造全新口令。很多人基于个人信息构造口令，其中包括姓名、生日、用户名、Email 前缀、身份证号、电话号码，甚至地名。

（来源：汪定）
比如 12306 网站密码中，名字含有率为 22.35%，生日为 24.10%，账号名为 23.60%，Email 前缀为 12.66%，用户名 3.00%，手机号 2.73%。
仅以名字为例，12306 网站中，姓名全称的占比 4.68%，姓氏有 11.15%，仅名字 6.49%，名字缩写+姓氏为 13.64%。
这就给了黑客很大的破解密码空间。根据破解过程中是否利用用户个人信息，密码猜测算法分为漫步破解和定向破解。前者不关心攻击对象是谁，按照猜测排名依次类推；后者则尽可能利用个人信息，如姓名、生日、年龄、职业、学历、性别，以及该网站的旧口令和其他网站泄露的密码。
网络上唾手可得的用户个人信息，以及近年公开泄露的数以千计的口令文件，使定向破解越来越现实。仅 2019 上半年，就发生了数百起口令文件泄露事件。近年曾经发生过泄露事件的著名网站包括 Yahoo、Dropbox、linkedIn、Adobe、小米、 CSDN 和天涯，等等。
依据汪定的解释，传统的漫步破解方式就像盗贼偷来一大串钥匙，然后逐一进行开锁尝试，费时费力；新的定向破解方法相当于是盗贼对目标进行了调查了解后，给目标定制钥匙来开锁，也就是利用用户个人特定的脆弱密码行为来猜测密码。
汪定带领团队开发了定向猜测方法。他们验证了定向猜测方法的可行性。如果知道用户的姓名和生日等常见个人信息，仅猜 100 次，成功率就可达 20%；如果还知道用户在其它网站用过的密码，成功率可以达到 73%以上。这项研究引起了美国国家身份认证标准中关于密码安全部分的修改。
专访汪定：如何设置你的密码

　　
口令安全研究是一个新领域，2017 年拿到北大博士学位的汪定是中国口令安全领域的第一位博士。据他近 10 年的研究和了解，当前口令安全研究仍处于非常初级的阶段，很多看似简单的问题实则因涉及到多学科交叉知识，变得难以入手。这也合理地解释了，为什么当前一提起密码，人人似乎都遇到了很多问题，但又没有可供使用的较完善解决手段。
幸运的是，这一领域逐渐受到越来越多的重视，吸引了越来越多的研究力量。自 2009 年社交网站 Rockyou 泄露 3200 万用户帐号信息以来，数以千计的网站发生了口令文件泄露事件。这一方面引起了人们对口令安全问题的高度关注，同时也为口令安全研究提供了原始素材——密码集。一旦口令文件被黑客获得，往往会离线猜测出泄露文件中 80%以上口令帐户，导致用户的隐私、声誉和财务受到损失。
需要指出的是，即使网站采用了强健的Hash 函数（一种从任何一种数据中创建小的数字“指纹”的方法）并加盐（在散列中加入字符串）运算后存储，也只是一定程度上延缓了黑客破解口令的速度，并不能有效消除离线猜测的威胁。
汪定的博士题目是《口令安全关键问题研究》，导师是北大王平教授。汪定非常热爱这一研究领域，一谈密码（他口中的“口令”），眼神里便闪烁着光彩。“口令安全领域有太多需要研究的问题，尤其是缺乏一套口令安全理论体系。”
为攻克这些既有理论价值，又有现实意义的难题，汪定常常放弃周末和节假日。在导师支持下，他带领的口令安全研究团队每周六举行讨论班，7 年来风雨无阻。“我们周末也要忙碌，赶 deadline（最后期限）熬夜写 paper（论文）、做研究，这么努力的一个原因是我们身在口令安全这一重要的领域，里程碑式贡献如果都是由欧美学者完成，这是多么可惜的一件事。中国学者需要发出声音。”
一位著名密码学专家在看到他的博士论文后评价说，“一看这个论文，就知道你没有周末”。
他的付出也得到了回报，仅仅这篇博士论文就获得了北京大学优秀博士论文奖、中国计算机学会优秀博士论文奖、ACM SIGSAC 中国优秀博士论文奖、 ACM 中国优秀博士论文奖等多个奖励。博士毕业后，汪定留在北大进行博士后研究（合作导师是中科院院士黄如），继续深耕口令安全，取得了包括前文介绍的 Usenix Security 论文在内的数项成果。
这位 1985 年 12 月出生的青年学者虽然没有出国留学经历，但鉴于研究出色，他在今年博士后出站后要迎来另一个身份：南开大学网络空间安全学院教授。

    以上就是本篇文章【密码在线破解成功率高达73%，国内首位口令安全博士让美国修改身份认证标准 ｜ 独家专访】的全部内容了，欢迎阅览 ！ 文章地址：http://dfvalve.xrbh.cn/news/9097.html 
     资讯      企业新闻      行情      企业黄页      同类资讯      首页      网站地图      返回首页 迅博思语资讯移动站 http://keant.xrbh.cn/ , 查看更多