張 弘，石瑞民，丁 錳

(中國人民公安大學，北京 100038)

1 背景和意義

隨著計算機技術在我國各個領域的推廣、普及，越來越多的人開始學習計算機知識并且開始重視計算機存儲的各種信息的安全性，對重要內容設置密碼加密。此前有文章研究過學校的MIS系統(tǒng)的暴力破解［1］，發(fā)現使用的密碼復雜度越高，傳統(tǒng)的暴力破解會耗費越多的時間，破譯工作越困難。與暴力攻擊方式相比，字典攻擊方式在統(tǒng)計學意義上的破解速度要快很多，而其破解率主要依賴于所使用的口令字典。

口令字典中包括許多人們習慣性設置的密碼，配合解密軟件使用，可以有效縮短解密時間，提高解密軟件的密碼破解率?？诹钭值涞闹谱鞣椒ㄓ泻芏喾N，其中如何有效地運用社會工程學方法制作口令字典是破譯學領域中的熱點問題之一［2-4］。我們通過大范圍調查，運用統(tǒng)計學相關工具詳細分析了密碼持有人信息與所使用密碼的相關關系［5］，從而對口令字典的生成起到指導性作用。

2 資料與方法

1)資料:北京市范圍內發(fā)放問卷20 000份，回收有效問卷12 560份，有效回收率為63%。

2)方法:通過隨機發(fā)放問卷，進行調查。問卷的內容包括:年齡、受教育程度、密碼持有數量、持有密碼位數、密碼組成情況、密碼與本人信息是否相關。

3)統(tǒng)計分析:資料經整理錄入計算機，采用SPSS軟件包，結合手工進行統(tǒng)計分析。

3 分析

3.1 密碼持有人分析

3.1.1 密碼持有人分類

我們將密碼持有人按照年齡和受教育程度分別進行分類統(tǒng)計，結果見表1。

1)按年齡段劃分:1、20歲以下;2、21～35歲;3、36～50歲;4、50歲以上。

2)按最高學歷劃分:1、低學歷(高中及以下)，2、中等學歷(大學?？?、本科)，3、高學歷(碩士、博士)。

表1 密碼持有人分類

3.1.2 密碼持有人的年齡與使用密碼情況的相關分析

圖1和表2中列出了密碼持有人的年齡和使用密碼的位數及密碼組成的調查結果。統(tǒng)計發(fā)現66.6%的被調查人群持有密碼位數是6～8位，并且各個年齡段的被調查人群中，使用6～8位密碼的比例最多;74.6%的被調查人群持有密碼組成是數字+字母形式，其中21～35歲和36～50歲的被調查人群中使用數字+字母密碼的比例分別為78.2%和79.7%，明顯高于20歲以下和50歲以上的被調查人群中使用該密碼組成的比例。

圖1 密碼持有人使用密碼位數分布圖

表2 密碼持有人使用密碼組成比

對于20歲以下和50歲以上的人群，由于涉及密碼保護的內容較少以及計算機知識的匱乏，使用僅由數字構成的密碼的比例較高，破譯起來比較容易。而21～35歲和36～50歲的人群，由于需要密碼保護的內容較多以及對計算機知識比較熟悉，所以使用的密碼復雜度較高，破譯起來也就比較困難。按照對計算機的熟悉程度，我們將各年齡段密碼持有人分成4個等級，見表3第2列。按照密碼持有人使用密碼組成比，對每個年齡段賦一個密碼復雜程度值(以20歲以下年齡段為例，其使用密碼復雜程度 =24.2% × 1+59.8% × 2+16.0% × 3=1.918)，并相應地分成4個等級，見表3第4列。利用等級相關系數 ，我們計算了密碼持有人年齡和他們使用密碼復雜程度的相關性，此處n=4，di等于B等級減去相應的A等級。經計算rs=1，說明密碼持有人年齡和使用密碼復雜程度高度相關。因此生成口令字典時密碼組成應以數字和字母為主，輔以一些常見的其他字符。在編寫軟件時，增加密碼持有人年齡段的分類選項，以提高破譯效率。

表3 年齡段和密碼復雜程度等級表

3.1.3 密碼持有人的受教育程度與使用密碼情況的相關分析

通過統(tǒng)計調查，密碼持有人所使用的密碼位數及密碼組成和他們的受教育程度密切相關。從表4中可以看出，66.6%的被調查人群持有密碼位數是6～8位。低學歷人群中使用6～8位密碼的人數最多，占77.4%;其次是使用6位以下密碼的比例，占16.1%。中等學歷人群和高學歷人群使用的密碼位數則集中在6～8位和8～12位，并且中等學歷人群中使用6～8位密碼的人數最多，占68.7%;高等學歷人群中使用8～12位密碼的人數最多，占50.3%。從圖2中的數據分析得知，74.6%的被調查人群持有密碼組成是數字+字母形式。低學歷人群中有61.8%的人使用數字+字母形式的密碼;中等學歷人群和高等學歷人群中使用該密碼形式的比例提高到77.6%和74.3%，且高學歷人群中使用其它形式密碼的比例(14.1%)稍高于中等學歷人群中的比例(13.3%)。

表4 密碼持有人受教育程度與使用密碼位數的比例%

圖2 密碼持有人使用密碼組成分布圖

我們將密碼持有人按照受教育程度分成3個等級，見表5第2列。按照密碼持有人使用密碼位數比，對每種學歷人群賦一個平均密碼位數，并相應地分成4個等級，見表5第4列。利用等級相關系數，我們計算了密碼持有人受教育程度和他們使用密碼位數的相關性，此處n=3，di等于D等級減去相應的C等級。經計算rs=1，說明密碼持有人受教育程度和使用密碼位數高度相關。

密碼持有人的受教育程度越高，其密碼保護意識越強，使用的密碼復雜度越高，設置的密碼位數越多。但是密碼位數越多，采用的字符集越復雜，生成的口令字典就越龐大，破譯時需要的時間就越多。而且在我們的調查結果中，僅有0.7%的人會設置多于12位的密碼，絕大多數人表示由于記憶困難等原因，密碼位數不會超過12位，這個統(tǒng)計結果與此前的文章［7］結論基本一致。因此生成口令字典時密碼位數應以12位以下為主，同時增加密碼持有人受教育程度的分類選項，以提高破譯效率。

表5 受教育程度和平均密碼位數等級表

3.2 密碼來源分析

統(tǒng)計調查發(fā)現，密碼持有人的密碼來源大致分為兩類。第一類是密碼持有人直接使用自身相關信息作為密碼，例如生日、手機號碼等信息(可被看成口令因子)，或者使用在自身相關信息的基礎上生成的密碼;第二類是使用完全隨機生成的密碼。眾所周知，口令字典對于破解第一類密碼有比較好的破譯效果，而當密碼持有人使用第二類密碼時，使用口令字典的破解模式便無從下手，只能通過暴力破解的方式破譯密碼。

第一類密碼的優(yōu)點在于易于記憶，不容易遺忘，因此97.3%的被調查人群選擇使用這類密碼(其中22.9%的人群直接使用自身相關信息作為密碼，74.4%的人群使用相關信息生成的密碼);缺點在于一旦他人掌握密碼持有人的相關信息，其密碼將會比較容易破譯。第二類密碼的優(yōu)點在于他人無法利用密碼持有人的相關信息破譯密碼，缺點是不易于記憶，一旦長時間不使用很容易遺忘，從而造成自己也無法解密的情況。因此，在調查人群中僅有2.7%的人群使用此類密碼，而且使用此類密碼的人多數(2.1%)使用密碼位數在8位以內，使用隨機密碼且位數多于8位的僅占0.6%。這個結果與目前已有的一些口令數據庫的分析結果一致:用戶密碼和真正隨機密碼的分布是不同的［8］。而且，此前有文章提出了通過這些口令因子生成口令字典的方法，并得到了較高的破解成功率［9］。

表6 被調查人密碼來源比例

3.3 密碼持有人持有密碼數量分析

隨著科技的發(fā)展和時代的進步，人們在日常生活和工作中對電子產品的需求越來越大，存儲在電子產品中需要密碼保護的內容也越來越多。為了確保一些個人信息的安全，大家設置了多于一個的密碼。調查發(fā)現，85.8%的人持有2個以上密碼，只有14.2%的人所有信息都只用一個密碼加密。但是持有密碼數量的增加也給人們的工作生活帶來一些不便，比如多個密碼之間容易產生混淆等問題，因此人們持有的密碼數量也不會太多。根據我們的統(tǒng)計，97%的人在日常工作和生活中使用的密碼不會超過3個，持有3個以上密碼的人的數量僅占被調查人群的3%。

表7 被調查人持有密碼個數比例

4 結論

如何有效地制作口令字典是破譯學領域中的熱點問題之一，它是一項關系到密碼能否成功破譯的重要工作。本文中，我們通過12 560份有效隨機調查問卷，詳細分析了密碼持有人信息與所使用密碼的相關關系。統(tǒng)計調查發(fā)現，密碼持有人所使用的密碼位數及密碼組成和他們的年齡及受教育程度密切相關。因此生成口令字典時密碼組成應以數字和字母為主，輔以一些常見的其他字符;密碼位數以12位以下為主;基于數據的相關性計算得到的結果，建議在編寫軟件時，增加密碼持有人年齡段和學歷層次的分類選項，以提高破譯密碼的效率。同時我們也對密碼持有人的密碼來源和持有密碼數量進行了調查分析，發(fā)現97.3%的被調查人群使用自身相關信息作為密碼或是由相關信息生成密碼。因此在口令字典的前期準備工作中，應重點收集密碼持有人本人及其相關關系人(夫、妻，父母，子女，男女朋友等)的各類信息(身份證號，生日，手機，家庭電話等數字信息)。

由于本次調研我們只在北京市范圍內發(fā)放問卷，得出統(tǒng)計結果，這使得我們的統(tǒng)計具有一定的地域性。我們希望在后續(xù)的研究中能夠擴大調研的范圍和數量，通過對二、三線城市以及農村地區(qū)進行調研，得到更加廣泛的統(tǒng)計數據，進而對數據進行更深入的研究。

［1］ 王勝利，劉明月，馬立國.暴力破解MIS登錄密碼的一種方法［J］.電腦編程技巧與維護，2012(10):118-132.

［2］ 王宏波.社會工程的概念和方法［J］.西安交通大學學報:社會科學版，2000(1):41-53.

［3］ 王治，范明鈺，王光衛(wèi).信息安全領域中的社會工程學研究［J］.信息安全與通信保密，2005(7):230-231.

［4］ Granger S.Social engineering fundamentals，Part I:Hacker Tactics［EB/OL］.［2010-11-03］.http:∥www.symantec.ocm.

［5］ 袁衛(wèi)，何曉群，賈俊平，等.統(tǒng)計學［M］.2版.北京:中國統(tǒng)計出版社，1996:18-34.

［6］ 何曉群，劉文卿.應用回歸分析［M］.3版.北京:中國人民大學出版社，2011:92-96.

［7］ Cazier JA，Medlin B D.Password security:an empirical investigation into E-commerce passwords and their crack times［J］.Information Systems Security，2006:45-55.

［8］ Matt W，Sudhir A，Breno M，et al.Password cracking using probabilistic context-free grammars［C］.New Orleans:IEEE Publications，2009:391-405.

［9］ 盧致旭，邱衛(wèi)東，廖凌.基于數據挖掘技術的字典生成方法［J］.信息安全與通信保密，2011(11):63-65.