一種基于網(wǎng)站反饋和集成學習的口令強度分類方法.pdf

1、在現(xiàn)有的認證方法中，口令是最常用的認證方法。盡管口令已經(jīng)被人們使用了數(shù)十年，對于蓄意破壞信息系統(tǒng)安全性的攻擊者來說，基于口令的系統(tǒng)仍然很容易受到攻擊?？诹钫J證系統(tǒng)的漏洞來源于用戶自身以及所選用的口令強度。
　　用戶傾向于選擇簡單的口令，比如自己的名字或電話號碼，當遇到要求使用不同的登錄口令時，他們習慣于使用相同的或相近的口令。另一方面，口令強度檢查器在口令強度上給用戶的反饋中顯示出不一致的行為。
　　關于口令認證存在這幾個問

2、題。首先，將最小長度和字符組成的類型作為口令強度要求的策略在信息行業(yè)中仍然是主要手段，令人驚訝的是，大多數(shù)網(wǎng)站都將其作為唯一手段。其次，信息行業(yè)中能夠使用的衡量口令強度并反饋給用戶的指標缺乏一致性。第三，大多數(shù)指標仍然是基于熵的測量，主要考慮口令字符的長度和組成。
　　攻擊者利用用戶在創(chuàng)建口令時與網(wǎng)站檢查器給出的建議不一致或不準確的弱點來實施口令破解，在這方面，信息行業(yè)如何應對當前的問題其實有很多方針和建議。
　　許多組織試

3、圖實施一個要求長度和字符組成的口令策略和檢查器，來迫使用戶創(chuàng)建強口令。然而，對于基于口令認證系統(tǒng)的安全性來說，如何測量口令的強度是一個關鍵問題。
　　口令強度是防御者和攻擊者之間的一個博弈，也是一個動態(tài)過程，這種動態(tài)過程需要適當?shù)慕！Ｔ谧髡叩挠^察中，一些網(wǎng)站試圖將這種動態(tài)策略納入他們的網(wǎng)站口令檢查器中。作者相信，本文的辦法是通過整合網(wǎng)站策略來建立一個先進的口令檢查器。
　　本論文對代表性的網(wǎng)站的口令安全措施的實現(xiàn)與實踐進行

4、大規(guī)模數(shù)據(jù)分析，發(fā)現(xiàn)了網(wǎng)站口令檢查器存在的各種問題，開發(fā)了一種基于神經(jīng)網(wǎng)絡學習網(wǎng)站口令檢查策略的口令強度檢查器。
　　首先選擇2016年6月Alexa排名前100的網(wǎng)站（排除了那些沒有用戶注冊頁面、有色情內(nèi)容、或需要社會安全號碼來注冊的網(wǎng)站），從每個選定的網(wǎng)站（通過訪問用戶注冊頁面）獲取了口令策略（口令要求）、用戶建議、用戶反饋、口令指標和其它類似的信息。
　　本論文使用的訓練口令集合是從不同站點收集并保存在Skull安全維

5、基百科的已遭泄漏的用戶口令。除此之外，還有約40％的口令是通過Rockyou口令的leet轉(zhuǎn)換而來的。
　　本文使用選中的10個網(wǎng)站檢查器分析了所收集的口令的強度。從Chrome調(diào)試器獲取到了使用客戶端檢查器的網(wǎng)站的JavaScript腳本，然而，使用php curl請求來訪問這些網(wǎng)站的服務器端檢查器，并且采用網(wǎng)站的口令檢查來訓練一個基于多層感知器(MLP)模型的神經(jīng)網(wǎng)絡，從而構(gòu)成了融合各種網(wǎng)站口令策略的口令檢查器。
　　從

6、分析的數(shù)據(jù)可以發(fā)現(xiàn)，不同的網(wǎng)站有不同的口令策略來適應他們的業(yè)務性質(zhì)。那些包含隱私信息（例如用于在線交易的銀行帳號或用于注冊的電子郵件地址）的網(wǎng)站往往需要嚴格的口令策略。另一方面，諸如博客之類的網(wǎng)站沒有嚴格的口令策略，這樣用戶就可以用最少的代價來創(chuàng)建口令。制定不嚴格的口令策略的原因之一是為了吸引更多的用戶，因為用戶通常會在這個過程中施以最小的認知努力。
　　最小字符長度、字符組成類型限制、禁用字典詞和過于簡單的口令，這些都是在網(wǎng)站上

7、所觀察到的口令策略。但是，最小字符長度是最主要的口令策略，實際上是所有被調(diào)查的網(wǎng)站都是這樣實現(xiàn)的，有一些網(wǎng)站允許的最小字符長度可以小于6，相對來說，這些網(wǎng)站不從事存儲或傳輸用戶機密信息的業(yè)務功能，這樣，可以允許用戶用最小的努力來創(chuàng)建口令。大多數(shù)網(wǎng)站都要求口令的最小長度為6或以上。盡管研究人員和不同的指導方針建議，信息行業(yè)中在最短口令長度要求方面仍然存在著不一致的問題。
　　考慮到口令字符組成的策略，有些網(wǎng)站在這方面并沒有過多要求，

8、但只要求口令的最小字符長度，只要滿足這個要求，就不強迫用戶必須創(chuàng)建由不同類型的字符組成的口令。相反，有些網(wǎng)站在字符組成上就有要求，甚至一些網(wǎng)站有特定的要求，比如至少包含大寫字母、小寫字母、數(shù)字和符號中的兩種類型。
　　一些實施嚴格的字符組成策略的網(wǎng)站是通過強制用戶從大量的字符中進行選擇來增加口令的隨機性，但是，那些沒有實現(xiàn)組合策略的網(wǎng)站賦予用戶全部的權限，讓他們可以選擇任何所期望的字符。與最小長度策略相似，可以發(fā)現(xiàn)字符組合的策略中

9、也存在不一致的問題。
　　至于字典詞或被禁用的簡單口令（例如qwerty123）的策略，僅有很少量的網(wǎng)站給予實施。很明顯，攻擊者使用字典詞或被禁用的簡單口令來建模破解口令的算法，因此，通過字典或禁用的簡單詞語創(chuàng)建的口令很可能會受到攻擊。在這方面，對該策略的強調(diào)并不令人滿意。
　　對用戶進行口令創(chuàng)建的教育不足是提高口令安全性的一個重要問題。教導用戶的方法之一是在注冊網(wǎng)頁中提供一項建議或信息，說明安全口令的重要性及其特性。從分析

10、中發(fā)現(xiàn)，幾乎所有的網(wǎng)站中向用戶提供的口令策略，主要都是針對最短口令長度的要求，卻不告知能夠成為“強口令”的口令特征是怎樣的。因此，總的來說，對用戶關于安全口令重要性及其特征的教育短板在本文研究中得到發(fā)現(xiàn)，這對于信息行業(yè)的安全起著至關作用。
　　每個網(wǎng)站可以根據(jù)自己的基準對口令的強度進行分類，然后將所選口令的強度反饋給用戶。用戶根據(jù)網(wǎng)站給予他們的反饋修改其先前所選擇的口令，從而創(chuàng)建更安全的口令。但問題就是如何檢測口令的強度，基于什么

11、標準將口令分為弱、中、強三類。
　　熵度量法是口令的主要指標，但是對于不同的網(wǎng)站有不同的測量策略。有些網(wǎng)站僅使用簡單策略來測量口令的強度，例如僅考慮組合字符的類型，以及重復度，在這種情況下，網(wǎng)站可以對于不同長度的字符串給出不同的強度值，然后根據(jù)組合的不同字符類型來增大其強度值，根據(jù)其字符的重復度在減小其強度值;另一方面，一些網(wǎng)站部署復雜的策略來測量口令的強度，除了字符串長度、組合類型以及重復度等策略外，還包括連續(xù)字符、leet轉(zhuǎn)換

12、等策略，然后構(gòu)建一個范圍來完成對口令的強度分類，但是用什么來確定范圍是不明顯的。
　　本論文使用收集的泄露口令字典對10個網(wǎng)站的口令檢測器進行分析，發(fā)現(xiàn)不同的網(wǎng)站在口令強度級別上給予用戶的反饋是不一致的。如上所述，每個網(wǎng)站都會使用自己的策略來完成對口令強度的測量和標記，并且他們會根據(jù)自己的口令級別向用戶反饋結(jié)果，由于策略不同，對于相同的口令反饋的結(jié)果也會不同，在某網(wǎng)站被標記為中等級別的口令在其他網(wǎng)站可能會被標記為弱或強，這樣可能會

13、使用戶混淆如何才能選擇安全的口令。在本文中提出使用神經(jīng)網(wǎng)絡構(gòu)建一個新穎的模型來實現(xiàn)口令強度的檢測，該模型整合了來自不同網(wǎng)站的口令強度檢測策略。
　　由于神經(jīng)網(wǎng)絡是建立輸入和輸出之間關系的良好的近似方法，所以可以選擇它來模擬預期的方法。只要有足夠的隱藏層，并在每個隱藏層引入足夠數(shù)量的神經(jīng)元，神經(jīng)網(wǎng)絡就可以學習任何大小的數(shù)據(jù)。多層感知器(MLP)是具有多個隱藏層的神經(jīng)網(wǎng)絡之一。輸入數(shù)據(jù)及其特征，輸出標簽，隱層數(shù)，每個隱層的神經(jīng)元數(shù)，訓

14、練參數(shù)（如激活函數(shù)，學習方法）是構(gòu)建MLP模型的決定性因素。
　　在訓練數(shù)據(jù)的準備階段，在所有選定的口令檢測器中測量給定口令，假設可以將來自所有檢測器的強度標簽邏輯組合起來，則可以根據(jù)不同網(wǎng)站的策略來建立一個綜合的檢測器。以這種方式來準備包含口令以及其新類標簽的數(shù)據(jù)。將字符的“詞頻-逆文檔頻率”TF-IDF作為口令數(shù)據(jù)的特征。本文中MLP模型的實驗結(jié)果可以證明創(chuàng)建一個組合多個站點的策略的檢測器是可行的，因此，可以創(chuàng)建具有集成特征的