范曉東 王源 李金澤 張博鋒 鄭詔今

摘 要：互聯(lián)網(wǎng)和5G時代的到來導致數(shù)據(jù)爆炸性的增長，海量APP豐富著大家的生活，用戶口令作為目前用途最廣也是相對安全的認證形式仍然存在一些問題，比如容易收到窮舉攻擊、字典攻擊等。為了保護用戶的數(shù)據(jù)及個人隱私，指導用戶設置高強度口令，我們對美國近2000萬用戶賬戶與口令通過PCFG（概率無關上下文法），構建口令規(guī)則集后進行強度測試，得到高強度密碼應符合大小寫字母、數(shù)字和特殊字符等多種混合的條件，同時個人多賬戶密碼設置差異盡可能大才能保證安全。

關鍵詞：高強度口令;PCFG：用戶安全;個人隱私;

·引言

當今主要的安全認證形式是以用戶自己選擇的文本輸入作為密碼口令，但這種方式非常容易受到猜測攻擊。另外，現(xiàn)有的用來評估密碼強度的方法，即通過建模進行對抗性密碼猜測，其準確率不高，這種方法對于實時的客戶端密碼檢查來說，要么是不準確的，要么是數(shù)量級太大速度太慢。因此，本文旨在通過研究大量的美國地區(qū)用戶密碼口令，構建美國用戶密碼口令規(guī)則集，幫助用戶選擇安全性較高的密碼口令，以提高用戶信息安全。

本文將通過研究兩千萬條美國用戶口令，利用PCFG（概率無關上下文法），構建馬爾可夫模型，從而生成美國用戶口令規(guī)則集，再根據(jù)此規(guī)則集構建滿足美國用戶習慣的密碼口令，并使用該測試集對用戶密碼口令進行強度測試，以此保證用戶可以選擇安全強度較高的密碼口令，達到保障用戶隱私安全的目的。

·實驗材料

（1）實驗數(shù)據(jù)

在本節(jié)中，我們使用我們獲取的美國用戶口令列表中的約2000萬美國用戶的賬號和口令，格式為賬號：密碼。相關數(shù)據(jù)全部來自外網(wǎng)真實數(shù)據(jù)資料。

（2）實驗所用模型

在本實驗中，我們使用的模型為PCFG（Probabilistic Context Free Grammar）模型，也就是概率上下文無關文法，或稱為SCFG（Stochastic Context Free Grammar），隨機上下文無關文法。

我們使用我們獲取的美國用戶口令列表對PCFG模型進行訓練。我們把基于美國用戶口令數(shù)據(jù)集訓練出來的PCFG模型稱為PCFG-1，把基于開源密碼數(shù)據(jù)集RockYou訓練出來的PCFG模型稱為PCFG-2。形成對照實驗。

·實驗過程與結果分析

（1）實驗準備

在本節(jié)中，我們使用我們獲取的美國用戶口令列表對PCFG模型進行訓練。美國用戶口令列表中包含約2000萬美國用戶的賬號和口令，格式為賬號：密碼。

在數(shù)據(jù)集的基礎上，我們對這些數(shù)據(jù)用python進行數(shù)據(jù)清洗，提取美國用戶的口令列表，以純文本的格式存儲在code.txt文件中。以換行符為分界。

我們通過使用機器學習來識別美國用戶的創(chuàng)建密碼習慣。PCFG模型是通過對美國用戶密碼列表進行訓練而生成的。我們把該模型稱為規(guī)則集，其中包含密碼許多的不同部分和相關出現(xiàn)的概率。

（2）實驗過程

我們把基于美國用戶口令數(shù)據(jù)集訓練出來的PCFG模型稱為PCFG-1，把基于開源密碼數(shù)據(jù)集RockYou訓練出來的PCFG模型稱為PCFG-2。形成對照實驗。

對照實驗過程如下：

a.基于PCFG-1模型進行密碼猜測，由程序生成一個密碼列表，并將此列表基于PCFG-1模型來估計這些密碼的可能性，也就是密碼強度評分。

b.基于PCFG-1模型進行密碼猜測，由程序生成一個密碼列表，并將此列表基于PCFG-2模型來進行密碼強度評分。

c.基于PCFG-2模型進行密碼猜測，由程序生成一個密碼列表，并將此列表基于PCFG-1模型來進行密碼強度評分。

d.基于PCFG-2模型進行密碼猜測，由程序生成一個密碼列表，并將此列表基于PCFG-2模型來進行密碼強度評分。

我們通過密碼強度評分來客觀的體現(xiàn)出美國用戶口令與大眾口令的區(qū)別。密碼強度評分輸出格式如下：第一個值是原始密碼，第二個值是表示該密碼是否屬于“網(wǎng)站”、“電子郵件地址”或者“其他”，第三個值是密碼強度，值越低越安全，如果是0.0則代表該密碼不會由該模型生成。第四個值是密碼的OMEN級別，如果值為-1，則表示該密碼不會被OMEN算法所生成。

（3）實驗結果

在對PCFG-1模型的訓練中，我們得到美國用戶口令有如下特征：

密碼長度為 1 ： 0

密碼長度為 2 ： 0

密碼長度為 3 ： 0

密碼長度為 4 ： 201472

密碼長度為 5 ： 358887

密碼長度為 6 ： 3427000

密碼長度為 7 ： 2822980

密碼長度為 8 ： 5600752

密碼長度為 9 ： 2536454

密碼長度為 10 ： 2790461

密碼長度為 11 ： 756887

密碼長度為 12 ： 531257

密碼長度為 13 ： 290679

密碼長度為 14 ： 207889

密碼長度為 15 ： 268423

密碼長度為 16 ： 122828

密碼長度為 17 ： 41352

密碼長度為 18 ： 41580

密碼長度為 19 ： 22764

密碼長度為 20 ： 27283

密碼長度為 21 ： 11951

口令中使用前五的電子郵箱列表：

yahoo.com ： 9637

mail.ru ： 4705

hotmail.com ： 4076

gmail.com ： 2809

aol.com ： 2804

口令中使用前五的域名列表：

yahoo.com ： 356

.au ： 252

mail.ru ： 186

hotmail.com ： 104

google.com ： 85

口令中使用前十的年份列表：

2010 ： 36015

2009 ： 23924

2011 ： 22757

2000 ： 21412

2008 ： 20426

1995 ： 17538

1992 ： 17276

1990 ： 17006

1994 ： 16874

1991 ： 16527

對照實驗結果如下（結果順序同上述實驗過程順序）：

（4） 結果分析

根據(jù)上面圖表，我們可以得出美國用戶口令比較偏愛8位數(shù)的密碼，且使用電子郵箱、域名和年份等信息的概率較大。建議該地區(qū)用戶避開yahoo.com、2010等關鍵詞，以提高密碼強度。通過b，c兩組對照實驗可以看出，基于PCFG-1模型生成的密碼有可能會被基于PCFG-2模型的密碼生成器破解出來，而基于PCFG-2模型生成的密碼卻很少能被基于PCFG-1模型的生成器所破解。這就說明該美國地區(qū)的用戶創(chuàng)建口令的習慣是不安全的。并且該地區(qū)用戶以后若想測試一個密碼的安全性完全可以通過本文中的PCFG-1模型進行檢測，或者是通過PCFG-2模型來生成一個密碼。如此一來，用戶口令被當?shù)赜脩羲平獾母怕蕦⒋蟠鬁p小。

·實驗總結

此項實驗研究表明，近年來美國地區(qū)用戶設置密碼安全性明顯提高，由最初單純的字母組合、生日日期、常用短語、廣為人知的網(wǎng)站地址和郵箱轉變?yōu)榇笮懽帜概c數(shù)字混合、更多無法發(fā)現(xiàn)規(guī)律的數(shù)字組合、特殊符號的加入以及長度的提高，使得密碼破譯難度明顯上升。但同時隨著網(wǎng)站賬戶的不斷增多，所需要的密碼數(shù)量也越來越多，對單個用戶的密碼設置分析發(fā)現(xiàn)，個人密碼呈現(xiàn)單一化，即大量賬戶和網(wǎng)站共用同一個密碼，一旦密碼被破譯，個人隱私安全和經(jīng)濟財產安全受到嚴重威脅。通過以上分析，密碼設置中包含大小寫、數(shù)字和特殊字符，多賬戶密碼設置時差異較大，是現(xiàn)在看來個人信息保護的最優(yōu)方式。

參考文獻：

[1]? Matt Weir ; Sudhir Aggarwal ; Breno de Medeiros ; Bill Glodek. Password Cracking Using Probabilistic Context-Free Grammars. 2009 30th IEEE Symposium on Security and Privacy

[2]? Keika Mori ; Takuya Watanabe ; Yunao Zhou ; Ayako Akiyama Hasegawa ; Mitsuaki Akiyama . Comparative Analysis of Three Language Spheres： Are Linguistic and Cultural Differences Reflected in Password Selection Habits？? ?2019 IEEE European Symposium on Security and Privacy Workshops （EuroS&PW）

[3] 畢紅軍;譚儒;趙建軍;李昱甫.基于主題PCFG的口令猜測模型研究. Netinfo Security2019年08期ISSN：1671-1122

[4] 夏之陽;易平.基于神經(jīng)網(wǎng)絡的多源密碼猜測模型. Communications Technology2019年01期ISSN：1002-0802