曾劍平 陳其樂 吳承榮 方熙

摘 要：針對目前口令語義分析挖掘主要針對英文口令，且局限于常見的單詞或姓氏等口令單元的問題，在中文語境下，利用古詩、成語建立模式庫，使用口令字符串的數據分析技術，提出了一種基于已知口令元的中文語境口令分析方法。首先，識別出已知口令元;然后，將其視作單個口令自由度;最后，計算給定攻擊成功率下的自由度攻擊成本，得出口令安全性的量化數值。設計實驗對大量明文口令進行量化分析之后，可知在使用中文語境的口令中，80%的用戶口令不具有高安全性，能夠被字典攻擊輕易攻破。

關鍵詞：口令分析;口令安全性;已知口令元;口令自由度;中文語境

中圖分類號： TP309.2

文獻標志碼：A

Abstract： Concerning the problem that the current research on password semantics is mainly based on English datasets and restricted to some units like common words or surnames， by using data analysis technology based on password strings， a Chinese context password analysis method based on known-password elements was proposed with the pattern library based on Chinese poems and idioms in Chinese context. Firstly， the known-password element was identified. Then， it was considered as a single password degree of freedom. Finally， the freedom attack cost within a given attack success rate was calculated and the quantitative security of password was obtained. After quantitative analysis of large amounts of plaintext passwords by designed experiments， it is concluded that 80% of user passwords are low secure and can be easily broken by dictionary attacks in Chinese context.

Key words： password analysis; password security; known-password element; password degree of freedom; Chinese context

0 引言

在現今的信息系統(tǒng)中，用戶身份鑒別是不可缺少的一個環(huán)節(jié)。以電子支付、社交網絡等個性化應用服務為例，此類服務最常使用“用戶名+口令”的方式鑒別登錄用戶的身份。由于口令鑒別具有易于實現、易于使用的特點，在絕大多數網絡環(huán)境中，口令都作為最主要的，甚至是唯一的鑒別方式出現。顯而易見，用戶的口令安全直接決定了個人信息的安全。考慮到常人的思維方式以及記憶方式，用戶自主設置的口令往往是一個或多個元素的組合，可能包括姓名、生日、家庭信息、容易記憶的特殊字符串等。對此，已有較多基于大樣本量的口令挖掘研究，這些研究主要集中在兩個方向：其一是在大樣本的明文口令庫基礎上，分析口令中各類元素的出現頻率及關聯(lián)度，并加入到口令字典中實施攻擊;其二是在社工庫的基礎上，分析并尋找用戶口令中出現的各類個人信息的占比，并嘗試進行撞庫攻擊。攻擊者還可以采用更激進的攻擊方式，在已知部分信息的基礎上，對口令元素進行重新組合，并加入前綴、后綴等，從而提高攻擊成功率。目前的研究針對口令中姓氏、常見詞匯的使用情況進行了較多統(tǒng)計分析，這些研究成果有助于更好地評估口令的安全性[1-2]。但是，這些研究大都以英文口令集為主，同時也缺乏更深入的口令語義，只針對一些常見的口令組成單元。且對于中文語境下的大樣本明文口令的研究主要分析口令元素的出現頻率為主，僅給出口令粗略的安全性評估，并未對口令的安全性作出量化分析。因此本文希望對中文口令進行安全性量化分析。本文的研究在中文上下文中分析一些具備語義的字符串元素，針對古詩、成語等常見語料中的口令元素使用情況，對這些口令元素特性和出現頻率進行深度分析，給出了中文語境下口令的安全性進行量化分析的方法，在口令語義單元統(tǒng)計分析中使用了大數據分析的方法。

1 相關工作

1.1 口令組成特征

在口令分布特征分析中，以前學術界普遍認為口令滿足均勻分布，而Wang等[3]指出口令是滿足Zipf分布的，在去掉低頻次口令后，利用高頻次口令進行Zipf分布擬合，通過KS（Kolmogorov-Smirnov）檢驗，證明了口令頻次呈多項式下降，滿足Zipf分布，口令中的大部分都是高頻和低頻口令。

在英文語境口令的研究中，Brown等[4]將口令分為四種主要來源：個人信息（包含家庭成員相關信息）、個人興趣愛好、聯(lián)想和無意義串。其中，個人信息和興趣愛好來源的口令占了總體的80%。Florencio等[5]對eBay、Yahoo和amazon等各網站的6～13位用戶口令進行分析，得出英文語境下純小寫字母口令的比例始終大于60%，和口令長度無明顯關系。其中，純數字口令比例隨口令長度增加而降低，混合口令比例隨口令長度增加而升高。

在針對中文使用習慣的口令研究中，Li等[6]對CSDN、天涯、178等網站泄露的口令庫進行了分析，給出了中文環(huán)境下口令的元素特征，包括純字母數字的口令比例特征、口令輸入方式特征等。同時研究得出，中文環(huán)境下大約有5%的口令包含拼音（全拼）元素，其中大部分包含姓氏。根據大量規(guī)則優(yōu)化字典，添加了20000個特征串之后，猜測成功率提升了34%。郭奕東等[7]提出了一種基于屬性特征的口令挖掘分析方法，在使用Apriori算法對中文社區(qū)CSDN的共642萬條口令進行分析后，得出數字型口令元素中有15.68%的口令包含生日、24.27%的口令包含簡單數字、3.25%的口令包含手機，用戶更傾向于使用這三類信息作為口令元素。字母型口令元素中有21.88%的口令包含百家姓、2.97%的口令包含簡單英文姓名、7.92%的口令包含簡單單詞，百家姓的使用頻率較高。此外，用戶的口令長度集中在7～11位，容易被攻擊者進行基于社會工程學的字典攻擊。高強等[8]將口令按照特征進行拆分，嘗試識別QQ號、手機號、日期、身份證號，使用k-gram算法進行口令元素出現特征的預測，得出了千萬條口令數據的高頻組合形式。劉功申等[9]通過對大量真實口令數據的分析，得出接近40%的相同賬號用戶在不同網站注冊時采用了相同的口令，且大部分用戶使用非常簡單的字符串作為口令，如123456、111111等。日期、手機號、姓名、英語單詞是最常出現的包含用戶信息的口令元素。