版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、在現(xiàn)有的認(rèn)證方法中,口令是最常用的認(rèn)證方法。盡管口令已經(jīng)被人們使用了數(shù)十年,對于蓄意破壞信息系統(tǒng)安全性的攻擊者來說,基于口令的系統(tǒng)仍然很容易受到攻擊??诹钫J(rèn)證系統(tǒng)的漏洞來源于用戶自身以及所選用的口令強(qiáng)度。
用戶傾向于選擇簡單的口令,比如自己的名字或電話號碼,當(dāng)遇到要求使用不同的登錄口令時,他們習(xí)慣于使用相同的或相近的口令。另一方面,口令強(qiáng)度檢查器在口令強(qiáng)度上給用戶的反饋中顯示出不一致的行為。
關(guān)于口令認(rèn)證存在這幾個問
2、題。首先,將最小長度和字符組成的類型作為口令強(qiáng)度要求的策略在信息行業(yè)中仍然是主要手段,令人驚訝的是,大多數(shù)網(wǎng)站都將其作為唯一手段。其次,信息行業(yè)中能夠使用的衡量口令強(qiáng)度并反饋給用戶的指標(biāo)缺乏一致性。第三,大多數(shù)指標(biāo)仍然是基于熵的測量,主要考慮口令字符的長度和組成。
攻擊者利用用戶在創(chuàng)建口令時與網(wǎng)站檢查器給出的建議不一致或不準(zhǔn)確的弱點(diǎn)來實(shí)施口令破解,在這方面,信息行業(yè)如何應(yīng)對當(dāng)前的問題其實(shí)有很多方針和建議。
許多組織試
3、圖實(shí)施一個要求長度和字符組成的口令策略和檢查器,來迫使用戶創(chuàng)建強(qiáng)口令。然而,對于基于口令認(rèn)證系統(tǒng)的安全性來說,如何測量口令的強(qiáng)度是一個關(guān)鍵問題。
口令強(qiáng)度是防御者和攻擊者之間的一個博弈,也是一個動態(tài)過程,這種動態(tài)過程需要適當(dāng)?shù)慕?。在作者的觀察中,一些網(wǎng)站試圖將這種動態(tài)策略納入他們的網(wǎng)站口令檢查器中。作者相信,本文的辦法是通過整合網(wǎng)站策略來建立一個先進(jìn)的口令檢查器。
本論文對代表性的網(wǎng)站的口令安全措施的實(shí)現(xiàn)與實(shí)踐進(jìn)行
4、大規(guī)模數(shù)據(jù)分析,發(fā)現(xiàn)了網(wǎng)站口令檢查器存在的各種問題,開發(fā)了一種基于神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)網(wǎng)站口令檢查策略的口令強(qiáng)度檢查器。
首先選擇2016年6月Alexa排名前100的網(wǎng)站(排除了那些沒有用戶注冊頁面、有色情內(nèi)容、或需要社會安全號碼來注冊的網(wǎng)站),從每個選定的網(wǎng)站(通過訪問用戶注冊頁面)獲取了口令策略(口令要求)、用戶建議、用戶反饋、口令指標(biāo)和其它類似的信息。
本論文使用的訓(xùn)練口令集合是從不同站點(diǎn)收集并保存在Skull安全維
5、基百科的已遭泄漏的用戶口令。除此之外,還有約40%的口令是通過Rockyou口令的leet轉(zhuǎn)換而來的。
本文使用選中的10個網(wǎng)站檢查器分析了所收集的口令的強(qiáng)度。從Chrome調(diào)試器獲取到了使用客戶端檢查器的網(wǎng)站的JavaScript腳本,然而,使用php curl請求來訪問這些網(wǎng)站的服務(wù)器端檢查器,并且采用網(wǎng)站的口令檢查來訓(xùn)練一個基于多層感知器(MLP)模型的神經(jīng)網(wǎng)絡(luò),從而構(gòu)成了融合各種網(wǎng)站口令策略的口令檢查器。
從
6、分析的數(shù)據(jù)可以發(fā)現(xiàn),不同的網(wǎng)站有不同的口令策略來適應(yīng)他們的業(yè)務(wù)性質(zhì)。那些包含隱私信息(例如用于在線交易的銀行帳號或用于注冊的電子郵件地址)的網(wǎng)站往往需要嚴(yán)格的口令策略。另一方面,諸如博客之類的網(wǎng)站沒有嚴(yán)格的口令策略,這樣用戶就可以用最少的代價來創(chuàng)建口令。制定不嚴(yán)格的口令策略的原因之一是為了吸引更多的用戶,因?yàn)橛脩敉ǔ谶@個過程中施以最小的認(rèn)知努力。
最小字符長度、字符組成類型限制、禁用字典詞和過于簡單的口令,這些都是在網(wǎng)站上
7、所觀察到的口令策略。但是,最小字符長度是最主要的口令策略,實(shí)際上是所有被調(diào)查的網(wǎng)站都是這樣實(shí)現(xiàn)的,有一些網(wǎng)站允許的最小字符長度可以小于6,相對來說,這些網(wǎng)站不從事存儲或傳輸用戶機(jī)密信息的業(yè)務(wù)功能,這樣,可以允許用戶用最小的努力來創(chuàng)建口令。大多數(shù)網(wǎng)站都要求口令的最小長度為6或以上。盡管研究人員和不同的指導(dǎo)方針建議,信息行業(yè)中在最短口令長度要求方面仍然存在著不一致的問題。
考慮到口令字符組成的策略,有些網(wǎng)站在這方面并沒有過多要求,
8、但只要求口令的最小字符長度,只要滿足這個要求,就不強(qiáng)迫用戶必須創(chuàng)建由不同類型的字符組成的口令。相反,有些網(wǎng)站在字符組成上就有要求,甚至一些網(wǎng)站有特定的要求,比如至少包含大寫字母、小寫字母、數(shù)字和符號中的兩種類型。
一些實(shí)施嚴(yán)格的字符組成策略的網(wǎng)站是通過強(qiáng)制用戶從大量的字符中進(jìn)行選擇來增加口令的隨機(jī)性,但是,那些沒有實(shí)現(xiàn)組合策略的網(wǎng)站賦予用戶全部的權(quán)限,讓他們可以選擇任何所期望的字符。與最小長度策略相似,可以發(fā)現(xiàn)字符組合的策略中
9、也存在不一致的問題。
至于字典詞或被禁用的簡單口令(例如qwerty123)的策略,僅有很少量的網(wǎng)站給予實(shí)施。很明顯,攻擊者使用字典詞或被禁用的簡單口令來建模破解口令的算法,因此,通過字典或禁用的簡單詞語創(chuàng)建的口令很可能會受到攻擊。在這方面,對該策略的強(qiáng)調(diào)并不令人滿意。
對用戶進(jìn)行口令創(chuàng)建的教育不足是提高口令安全性的一個重要問題。教導(dǎo)用戶的方法之一是在注冊網(wǎng)頁中提供一項(xiàng)建議或信息,說明安全口令的重要性及其特性。從分析
10、中發(fā)現(xiàn),幾乎所有的網(wǎng)站中向用戶提供的口令策略,主要都是針對最短口令長度的要求,卻不告知能夠成為“強(qiáng)口令”的口令特征是怎樣的。因此,總的來說,對用戶關(guān)于安全口令重要性及其特征的教育短板在本文研究中得到發(fā)現(xiàn),這對于信息行業(yè)的安全起著至關(guān)作用。
每個網(wǎng)站可以根據(jù)自己的基準(zhǔn)對口令的強(qiáng)度進(jìn)行分類,然后將所選口令的強(qiáng)度反饋給用戶。用戶根據(jù)網(wǎng)站給予他們的反饋修改其先前所選擇的口令,從而創(chuàng)建更安全的口令。但問題就是如何檢測口令的強(qiáng)度,基于什么
11、標(biāo)準(zhǔn)將口令分為弱、中、強(qiáng)三類。
熵度量法是口令的主要指標(biāo),但是對于不同的網(wǎng)站有不同的測量策略。有些網(wǎng)站僅使用簡單策略來測量口令的強(qiáng)度,例如僅考慮組合字符的類型,以及重復(fù)度,在這種情況下,網(wǎng)站可以對于不同長度的字符串給出不同的強(qiáng)度值,然后根據(jù)組合的不同字符類型來增大其強(qiáng)度值,根據(jù)其字符的重復(fù)度在減小其強(qiáng)度值;另一方面,一些網(wǎng)站部署復(fù)雜的策略來測量口令的強(qiáng)度,除了字符串長度、組合類型以及重復(fù)度等策略外,還包括連續(xù)字符、leet轉(zhuǎn)換
12、等策略,然后構(gòu)建一個范圍來完成對口令的強(qiáng)度分類,但是用什么來確定范圍是不明顯的。
本論文使用收集的泄露口令字典對10個網(wǎng)站的口令檢測器進(jìn)行分析,發(fā)現(xiàn)不同的網(wǎng)站在口令強(qiáng)度級別上給予用戶的反饋是不一致的。如上所述,每個網(wǎng)站都會使用自己的策略來完成對口令強(qiáng)度的測量和標(biāo)記,并且他們會根據(jù)自己的口令級別向用戶反饋結(jié)果,由于策略不同,對于相同的口令反饋的結(jié)果也會不同,在某網(wǎng)站被標(biāo)記為中等級別的口令在其他網(wǎng)站可能會被標(biāo)記為弱或強(qiáng),這樣可能會
13、使用戶混淆如何才能選擇安全的口令。在本文中提出使用神經(jīng)網(wǎng)絡(luò)構(gòu)建一個新穎的模型來實(shí)現(xiàn)口令強(qiáng)度的檢測,該模型整合了來自不同網(wǎng)站的口令強(qiáng)度檢測策略。
由于神經(jīng)網(wǎng)絡(luò)是建立輸入和輸出之間關(guān)系的良好的近似方法,所以可以選擇它來模擬預(yù)期的方法。只要有足夠的隱藏層,并在每個隱藏層引入足夠數(shù)量的神經(jīng)元,神經(jīng)網(wǎng)絡(luò)就可以學(xué)習(xí)任何大小的數(shù)據(jù)。多層感知器(MLP)是具有多個隱藏層的神經(jīng)網(wǎng)絡(luò)之一。輸入數(shù)據(jù)及其特征,輸出標(biāo)簽,隱層數(shù),每個隱層的神經(jīng)元數(shù),訓(xùn)
14、練參數(shù)(如激活函數(shù),學(xué)習(xí)方法)是構(gòu)建MLP模型的決定性因素。
在訓(xùn)練數(shù)據(jù)的準(zhǔn)備階段,在所有選定的口令檢測器中測量給定口令,假設(shè)可以將來自所有檢測器的強(qiáng)度標(biāo)簽邏輯組合起來,則可以根據(jù)不同網(wǎng)站的策略來建立一個綜合的檢測器。以這種方式來準(zhǔn)備包含口令以及其新類標(biāo)簽的數(shù)據(jù)。將字符的“詞頻-逆文檔頻率”TF-IDF作為口令數(shù)據(jù)的特征。本文中MLP模型的實(shí)驗(yàn)結(jié)果可以證明創(chuàng)建一個組合多個站點(diǎn)的策略的檢測器是可行的,因此,可以創(chuàng)建具有集成特征的
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 一種基于集成學(xué)習(xí)的多示例分類模型.pdf
- 一種基于分類的圖像增強(qiáng)方法.pdf
- FDP:一種基于繪制的圖形口令機(jī)制.pdf
- 基于Spark和集成學(xué)習(xí)的分類方法研究.pdf
- 平均分布集成策略:一種新的分類器融合方法.pdf
- 一種基于圖像內(nèi)容的粗略分類方法研究.pdf
- 一種基于分類結(jié)構(gòu)的本體匹配方法.pdf
- 一種基于ROC分析的多類別分類方法.pdf
- 一種基于UML的集成測試線索生成方法.pdf
- 一種基于機(jī)器學(xué)習(xí)的主題Web分類算法研究.pdf
- 一種基于本體的數(shù)據(jù)集成用戶接口方法研究.pdf
- 基于一種改進(jìn)特征選擇方法的股票分類研究
- 一種廣義虛擬經(jīng)濟(jì)的分類方法
- 基于一種改進(jìn)特征選擇方法的股票分類研究.pdf
- 基于一種主動相關(guān)反饋機(jī)制的圖像檢索方法研究.pdf
- 一種基于線性判別分析和支持向量機(jī)的音樂分類方法.pdf
- 一種基于統(tǒng)計(jì)流形學(xué)習(xí)的文本分類算法.pdf
- 一種基于知識分類樹的個性化推薦方法.pdf
- 一種基于分類和識別的目標(biāo)跟蹤算法.pdf
- 一種基于小波變換特征提取的集成學(xué)習(xí)算法.pdf
評論
0/150
提交評論