【论文笔记】Birthday, Name and Bifacial-security Understanding Passwords of Chinese Web Users"

---

title: “【论文笔记】Birthday, Name and Bifacial-security Understanding Passwords of Chinese Web Users”
date: 2019-10-24
lastmod: 2019-10-24
description: “对中文密码进行实证分析，发现中文密码中有趣的结构和特征，揭示了中文密码的双相安全性（Bifacial-security）。”
tags: [“论文笔记”,“密码”,]
categories: [“论文笔记”]

---

论文主题

对中文密码进行实证分析，发现中文密码中有趣的结构和特征，揭示了中文密码的双相安全性（Bifacial-security）。

摘要

英文

Much attention has been paid to passwords chosen by English speaking users, yet only a few studies have examined how non-English speaking users select passwords. In this paper, we perform an extensive, empirical analysis of 73.1 million real-world Chinese web passwords in comparison with 33.2 million English counterparts. We highlight a number of interesting structural and semantic characteristics in Chinese passwords. We further evaluate the security of these passwords by employing two state-of-the-art cracking techniques. In particular, our cracking results reveal the bifacial-security nature of Chinese passwords. They are weaker against online guessing attacks (i.e., when the allowed guess number is small, 1∼104) than English passwords. But out of the remaining Chinese passwords, they are stronger against offline guessing attacks (i.e., when the guess number is large, >105) than their English counterparts. This reconciles two conflicting claims about the strength of Chinese passwords made by Bonneau (IEEE S&P’12) and Li et al. (Usenix Security’14 and IEEE TIFS’16). At 107 guesses, the success rate of our improved PCFG-based attack against the Chinese datasets is 33.2%~49.8%, indicating that our attack can crack 92% to 188% more passwords than the state of the art. We also discuss the implications of our findings for password policies, strength meters and cracking.

中文

对于英语用户所选择的密码已给予了很多关注，但只有少数研究研究了非英语用户如何选择密码。在本文中，我们对7,310万个真实世界的中文Web密码（与3,320万个英语相对应的英文密码）进行了广泛的实证分析。我们重点介绍了中文密码中许多有趣的结构和语义特征。我们通过采用两种最新的破解技术来进一步评估这些密码的安全性。特别是，我们的破解结果揭示了中文密码的双面安全性。与在线密码攻击相比，它们对在线猜测攻击的抵抗力较弱（即，当允许的猜测数字较小时，为1到104）。但是在其余的中文密码中，它们比英文对应的密码更能抵抗离线猜测攻击（即，当猜测数字大于105时）。这与关于Bonneau（IEEE S＆P’12）和Li等人的中文密码强度的两个矛盾说法相吻合。 （Usenix Security’14和IEEE TIFS’16）。根据107个猜测，我们改进的基于PCFG的针对中国数据集的攻击的成功率为33.2％〜49.8％，这表明我们的攻击可以破解比现有技术多92％至188％的密码。我们还将讨论我们的发现对密码策略，强度计和破解的影响。

关键字

密码；密码猜解

解决问题

现实问题

文本密码是当今几乎每个Web服务中访问控制的主要形式。尽管早在四十年前就已经揭示了它们的安全隐患，并且自那时以来已提出了各种替代的身份验证方法（例如，图形密码和多因素身份验证），但密码仍被广泛使用。其中一个原因是密码具有许多优点，例如部署成本低，易于恢复和明显的简单性，而其他身份验证方法往往无法提供这些优点。另一个原因则是由于边际收益（marginal gain）通常不足以弥补重大的过渡成本，因此缺乏有效的工具来量化不太明显的替换密码成本。此外，用户也喜欢密码。

之前研究的不足

截至2018年6月，中国有8.02亿网民，占世界互联网人口的20％以上（也是最大比例）。以下关键问题还没有令人满意的答案：

（1）是否存在区分中文密码和英文密码的结构或语义特征？

（2）中文密码如何应对主流攻击？

（3）他们是否比英语弱或强？

这些问题必须解决，以便为安全工程师和中国用户提供必要的安全指导。例如，如果第一个问题的答案是肯定的，则表明