密码在线破解成功率高达73%,国内首位口令安全博士让美国修改身份认证标准
作者:孙滔
来源:《海外星云》2019年第19期
作者:孙滔
来源:《海外星云》2019年第19期
说起口令,其实大家并不陌生,从我们每天解锁手机、登录邮箱到网络购物,都会涉及到口令。口令俗称“密码”,对应英文Password,是当前最主要的身份认证方法。
8.54亿中文用户占了世界上20%的互联网用户,比美国人口的两倍还多。北京大学汪定博士以第一作者完成的一项研究发现,虽然中文用户的密码构造行为与英文用户有很大差异,但世界各大知名网站对中英文用户采取同样的密码保护措施,都没有考虑中文用户密码的特点。汪定说,对于黑客而言,各大网站的密码保护措施无异于皇帝的新衣。
今年8月,这项针对中英文网民密码比较的研究发表在全球四大顶级信息安全学术会议之一的USENIX(美国高等计算系统协会)Security会议上。
汪定团队分析了2009年-2012年间由黑客曝光的1.06亿个真实网络密码,其中包括6个中文服务器上的7310万个密码和3个英文服务器上的3320万个密码。值得注意的是,虽然这是2012年之前的数据,但多年来密码系统进化很慢,其改变是很少的。
他们还比较了社交论坛、游戏、电子商务网、程序员论坛以及雅虎英文國际用户的密码。研究发现,与英文互联网用户相比,中文互联网用户的确在密码设置上有特点。
中文网民更喜欢用数字作为密码,尤其是手机号和生日,英文网民则更喜欢用纯粹字母作为密码。据汪定此前研究,中文网民的密码有27%到45%仅由数字构成,英文网民密码仅由数字构成的低于16%。
英文网民倾向于用某些单词和短语,有25.88%的网民会将5个字母以上的单词作为密码模块,如password(密码)、letmein(让我登录)、sunshine(阳光)、princess(公主),当然也包括“abcdef”“abcl23”以及“123456”。
研究还发现,16.99%的中文网民热衷在密码中插入6个日期数字的模块,这个数字更可能是生日。有30.89%的中文网民使用4个以上的日期数字,这个比例是英文网民的3.59倍。13.49%的中文网民使用4位数的年份数据作为密码模块,是英文网民的3.55倍。更有意思的是,如果一个中文用户使用一长串数字做密码,那么这个密码是11位手机号的概率是66.74%。要知道,2.91%中文网民使用11位手机号码作为密码模块,而4.36%的中文网民口令含有11位以上的数字,因此其概率为2.91/4.36=66.74%。类似地,如果知道一个中文用户的密码不低于11位,那么这个密码含有11位手机号的概率是23.48%。要知道,2.91%中文网民使用11位手机号码构造密码,同时有12.39%的中文网民密码长度不低于11位,因此其概率为2.91/12.39=23.48%。中文网民只有2.41%使用英文单词作为密码模块,但他们更喜欢用拼音名字(11.50%),尤其是全名。此外,爱情主题在中国网民口令中占很大地位,比如“woainil314”“5201314”。
研究发现,一些基于英文字母的所谓“强”密码可能在中文环境中很弱,比如“woainil314”,这个密码在谷歌、新浪微博等网络平台均被评为强等级,然而中文网络用户很容易猜到这个密码的含义。再比如“brysjhhrhl”,大部分中文网民能猜到这是“白曰依山尽,黄河入海流”的缩写。这就让从英文用户视角解决密码安全问题的思路出现偏差。
据汪定2016年的研究,对于具体网站而言,以126邮箱为例,前10位密码是123456,123456789,111111,password,UUUUUU,123123,123456/8,5201314,18881888,1234567,这10个口令占据总数的3.53%。而中国铁路12306网站的前10位口令是123456,a123456,5201314,123456a,111111,woainil314,123123,000000,qql23456,lqaz2wsx。这10位占1.28%。
根据密码破解过程中是否需要连网,密码猜测算法分为在线破解和离线破解。在线破解需要连网,但不需要拿到网站服务器上存储的密码库,攻击者只需要通过与服务器进行交互,针对目标账号依次尝试可能的密码,直到猜测出密码,或因尝试次数过多被服务器阻止。因此,在线猜测一般也称为小猜测次数下的攻击。离线破解不需要连网,但需要拿到网站服务器上存储的密码库,针对目标账号,在本地依次尝试可能的密码,直到猜测出密码或
因算力有限自动放弃猜测。因此,离线猜测不受猜测次数的限制,一般也称为大猜测次数下的攻击。
汪定团队的研究显示,中文网民的密码在小猜测次数下(即在线猜测)更弱。在基于概率的上下文无关文法(PCFG)的攻击实验中,如果允许100次猜测,约10%的中文用户口令会被破解,而仅有3.5%的英文用户口令被破解;如果允许1000万次猜测,32%的中文用户口令会被破解,而至少有43%的英文用户口令被破解。在基于马尔科夫链(一种口令出现概
率的计算模型)的攻击实验中,也观测到了类似的情况。这一现象意味着,应针对中文用户采取特别的密码保护措施。比如,针对中文用户定制密码黑名单,设计专门针对中文用户的密码强度评测算法。遗憾的是,当前世界各大主流网站均没有意识到这一点,对中英文用户采用完全相同的密码保护措施。
密码,也就是信息安全学者口中的“口令”,属于网络安全系统中的密钥范畴。更确切地说,密码是密钥类别中人类可记忆的短密钥。
人类大脑只能记住有限的5~7个密码,可记忆的密码要求尽量短、有规律、不复杂。然而密码太简单或具有共性,也就更容易被破解。要抗猜测的话,密码则应尽量长、无规律、越复杂越好。由于信息化社会的不断推进,越来越多的服务开始联网,用户拥有几十个甚至上百的密码帐号。为了方便记忆,用户不可避免地使用流行密码,在不同网站重复使用同一个密码,在密码中嵌入个人相关信息,如姓名和生曰。
2016年,汪定通过对442位中文用户的口令使用习惯调查发现,用户在新网站注册口令时,往往会重用(44.8%)现有口令,或者修改(32.6%)现有口令,只有14.5%的用户会构造全新口令。很多人基于个人信息构造口令,其中包括姓名、生日、用户名、Email前缀、身份证号、电话号码,甚至地名。比如12306网站密码中,名字含有率为22.35%,生日为24.10%,账号名为23.60%,Email前缀为12.66%,用户名3.00%,手机号2.73%。僅以名字为例,12306网站中,姓名全称的占比4.68%,姓氏有11.15%,仅名字6.49%,名字缩写+姓氏为13.64%。这就给了黑客很大的破解密码空间。根据破解过程中是否利用用户个人信息,密码猜测算法分为漫步破解和定向破解。前者不关心攻击对象是谁,按照猜测排名依次类推;后者则尽可能利用个人信息,如姓名、生日、年龄、职业、学历、性别,以及该网站的旧口令和其他网站泄露的密码。
网络上唾手可得的用户个人信息,以及近年公开泄露的数以千计的口令文件,使定向破解越来越现实。仅2019年上半年,就发生了数百起口令文件泄露事件。近年曾经发生过泄露事件的著名网站包括Yahoo、Dropbox、LinkedIn、Adobe、小米、CSDN和天涯等等。依据汪定的解释,传统的漫步破解方式就像盗贼偷来一大串钥匙,然后逐一进行开锁尝试,费时费力;新的定向破解方法相当于是盗贼对目标进行了调查了解后,给目标定制钥匙来开锁,也就是利用用户个人特定的脆弱密码行为来猜测密码。
汪定带领团队开发了定向猜测方法。他们验证了定向猜测方法的可行性。如果知道用户的姓名和生日等常见个人信息,仅猜100次,成功率就可达20%;如果还知道用户在其他网站用过的密码,成功率可以达到73%以上。这项研究引起了美国国家身份认证标准中关于密码安全部分的修改。
如何破解密码 口令安全研究是一个新领域,2017年拿到北大博士学位的汪定是中国口令安全领域的第一位博士。据他近10年的研究和了解,当前口令安全研究仍处于非常初级的阶段,很多看似简单的问题实则因涉及到多学科交叉知识,变得难以入手。这也合理地解释了,为什么当前一提起密码,人人似乎都遇到了很多问题,但又没有可供使用的较完善解决手段。
幸运的是,这一领域逐渐受到越来越多的重视,吸引了越来越多的研究力量。自2009年社交网站Rockyou泄露3200万用户帐号信息以来,数以千计的网站发生了口令文件泄露事件。这一方面引起了人们对口令安全问题的高度关注,同时也为口令安全研究提供了原始素材——密码集。一旦口令文件被黑客获得,往往会离线猜测出泄露文件中80%以上口令帐户,导致用户的隐私、声誉和财务受到损失。
需要指出的是,即使网站采用了强健的Hash函数(一种从任何一种数据中创建小的数字“指纹”的方法)并加盐(在散列中加入字符串)运算后存储,也只是一定程度上延缓了黑客破解口令的速度,并不能有效消除离线猜测的威胁。
汪定的博士题目是《口令安全关键问题研究》,导师是北大王平教授。汪定非常热爱这一研究领域,一谈密码(他口中的“口令”),眼神里便闪烁着光彩。“口令安全领域有太多需要研究的问题,尤其是缺乏一套口令安全理论体系。”为攻克这些既有理论价值,又有现实意义的难题,汪定常常放弃周末和节假日。在导师支持下,他带领的口令安全研究团队每周六举行讨论班,七年来风雨无阻。“我们周末也要忙碌,赶deadline(最后期限)熬夜写paper(论文)、做研究,这么努力的一个原因是我们身在口令安全这一重要的领域,里程碑式贡
献如果都是由欧美学者完成,这是多么可惜的一件事。中国学者需要发出声音。”一位著名密码学专家在看到他的博士论文后评价说:“一看这个论文,就知道你没有周末”。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论