基于文本口令的认证方法仍是当前用户身份认证的主流方式.为更好地研究口令安全性,研究人员提出了多种数据驱动的口令猜测方法,如概率上下文无关文法(probabilistic context-free grammars,PCFG)和马尔可夫(Markov)方法等.这些方法在猜测口令时有其独特的猜测优势,即能够以更小的猜测数猜中特定类型的口令.为充分利用这些优势以实现更优的猜测效率,提出了一个通用的参数化混合猜测框架.该框架由模型剪枝方法和理论证明最优的猜测数分配策略构成,能够混合不同数据驱动方法的猜测优势以生成更高效的猜测集.为了验证框架的通用性和最优性,通过分析并混合现有数据驱动猜测方法的不同优势,基于该框架设计了多个混合多元模型的参数化混合猜测方法(统称为hyPassGu)用于猜测实践.并且,还利用从真实网站泄露的4个大规模口令数据集(总共超过1.5亿条口令)对这些混合猜测方法进行了评估实验.实验结果表明,由不同方法组合构建的hyPassGu均表现出超越单一方法的猜测效率,且在1010猜测数下超越了单一方法最优效率的1.52％～35.49％.此外,不同猜测数下的对比实验结果表明,提出的最优分配策略的猜测表现稳定,优于平均分配策略和随机分配策略,并在分布离散程度最大的口令数据集上有16.87％的相对提升,同时更多元的混合方法整体上也表现出更好的猜测效率.

口令安全;数据驱动猜测;概率上下文无关文法;马尔可夫模型;混合模型

韩伟力;张俊杰;徐铭;王传旺;张浩东;何震瀛;陈虎

复旦大学数据分析与安全实验室,上海 200438;华南理工大学软件学院,广州 510006

计算机研究与发展

[1]韩伟力;张俊杰;徐铭;王传旺;张浩东;何震瀛;陈虎-.参数化混合口令猜测方法)[J].计算机研究与发展,2022(12):2708-2722

口令安全,概率上下文无关文法,grammars,PCFG,数据驱动猜测,hyPassGu

参数化,合口,用户身份认证,probabilistic,context,free,Markov,猜中,一个通,模型剪枝,剪枝方法,分配策略,数据驱动方法,通用性,最优性,框架设计,多元模型,统称,总共,亿条,不同方法,出超,优效,平均分配,随机分配,离散程度,混合方法,马尔可夫模型,混合模型

0.235386