口令猜測研究進展*

鄒云開, 汪 定

1.南開大學 網絡空間安全學院, 天津 300350

2.天津市網絡與數據安全技術重點實驗室, 天津 300350

3.數據與智能系統安全教育部重點實驗室, 天津 300350

1 引言

口令, 英文為“Password”, 坊間稱為“密碼”.口令是人類可記憶的短密鑰, 是全球53 億網民可感知、直接接觸的密碼學組件.口令最早由麻省理工學院的費爾南多·科爾巴托教授引入計算機領域, 用于大型計算機的本地文件訪問控制[1].上世紀90 年代, 隨著個人計算機和互聯網的迅速發展, 各類服務不斷上網,口令除了提供數據加密、數字簽名等安全功能, 也成為使用最廣泛的身份認證方式, 保護著用戶絕大多數的數字資產.然而, 隨著用戶需要管理的網絡賬戶數量的增加, 用戶在創建口令時也面臨著巨大的安全挑戰.一方面, 人類的記憶力有限且長期保持穩定, 通常只能記憶5～7 個不同口令[2]; 另一方面, 許多網站對口令的復雜度和長度提出了明確的要求(如網頁托管服務公司000Webhost 要求用戶創建的口令長度至少為6, 且至少包含一個數字和字母), 使得用戶記憶眾多賬戶的口令變得愈發困難.這導致許多用戶為了方便記憶而采用簡單易記的流行口令, 在不同賬戶中使用相同口令, 使用個人信息創建口令[3].這些脆弱行為一旦被攻擊者利用, 將導致嚴重的安全隱患.

自2000 年以來, 數以千計的各種各樣新型身份認證方案被提出, 如多因素認證[4]、生物識別技術[5]以及硬件安全密鑰[6]等, 但這些方案在可用性、安全性和……