日前,纽约国际官方网站软件工程国家工程中心王平教授课题组关于定向口令猜测的研究取得重要进展。
口令是当前主流的身份认证方式,在可预见的未来也无可替代。现有研究大多关注当攻击者获取服务器口令存储文件后,如何更迅速地恢复用户口令,而在未获取网站服务器口令存储文件的情况下,攻击者如何高效猜测口令却鲜有报道。王平课题组针对“给定网站和目标用户的相关个人信息,如何以最少猜测次数确定目标用户的口令”这一问题,提出了一个定向口令在线猜测攻击框架。该框架包含七个概率攻击模型,分别刻画七种不同能力的现实攻击方法,且实现口令猜测过程自动化,其中五种攻击方法为首次被研究。对于9600×105条真实口令数据的测试结果显示,在允许猜测100次的前提下,如果攻击者仅知道目标用户的一些常见个人信息,成功率约为20%;如果还知道该用户曾在其他网站泄露的一个口令,成功率可提升达77%。
以上研究以《定向口令在线猜测:一种被低估的威胁》(Targeted online password guessing: an underestimated threat)为题,发表于美国计算机协会主办的第23届计算机与通信安全会议(ACM Conference on Computer and Communications Security, ACM CCS)。该会议被公认是网络与信息安全领域的顶级学术会议之一(也是中国计算机学会所推荐的A类国际学术会议),创办23年来,中国大陆研究机构以第一完成单位发表的长文(regular paper)不超过10篇。论文第一作者为588888纽约国际官方网站、高可信软件技术教育部重点实验室博士研究生汪定,第二作者为信息学院本科生张子健,王平为通讯作者。
该论文展示了该项研究成果对全球网络日常信息安全的直接影响,在线发表以后即受到业界人士的跟踪和关注,例如美国国家标准与技术研究院曾就其数字认证安全指南(NIST SP-800-63-3)向作者征询防御措施,以修订在线猜测防御部分的内容。与此同时,也引起来自二十多个国家和地区的百余家媒体的关注,例如《每日邮报》、《福布斯》、《每日镜报》、《大学先驱报》等综合媒体,以及《每日科学》、《美国计算机协会技术新闻》(ACM Technews)等有影响的科技媒体均以较长篇幅报道或转载。
此项研究工作得到国家自然科学基金,国家重点研发计划等资助。
论文链接:http://dl.acm.org/citation.cfm?id=2978339