title: “【论文笔记】Birthday, Name and Bifacial-security Understanding Passwords of Chinese Web Users”
date: 2019-10-24
lastmod: 2019-10-24
description: “对中文密码进行实证分析,发现中文密码中有趣的结构和特征,揭示了中文密码的双相安全性(Bifacial-security)。”
tags: [“论文笔记”,“密码”,]
categories: [“论文笔记”]
论文主题
对中文密码进行实证分析,发现中文密码中有趣的结构和特征,揭示了中文密码的双相安全性(Bifacial-security)。
摘要
英文
Much attention has been paid to passwords chosen by English speaking users, yet only a few studies have examined how non-English speaking users select passwords. In this paper, we perform an extensive, empirical analysis of 73.1 million real-world Chinese web passwords in comparison with 33.2 million English counterparts. We highlight a number of interesting structural and semantic characteristics in Chinese passwords. We further evaluate the security of these passwords by employing two state-of-the-art cracking techniques. In particular, our cracking results reveal the bifacial-security nature of Chinese passwords. They are weaker against online guessing attacks (i.e., when the allowed guess number is small, 1∼104) than English passwords. But out of the remaining Chinese passwords, they are stronger against offline guessing attacks (i.e., when the guess number is large, >105) than their English counterparts. This reconciles two conflicting claims about the strength of Chinese passwords made by Bonneau (IEEE S&P’12) and Li et al. (Usenix Security’14 and IEEE TIFS’16). At 107 guesses, the success rate of our improved PCFG-based attack against the Chinese datasets is 33.2%~49.8%, indicating that our attack can crack 92% to 188% more passwords than the state of the art. We also discuss the implications of our findings for password policies, strength meters and cracking.
中文
对于英语用户所选择的密码已给予了很多关注,但只有少数研究研究了非英语用户如何选择密码。在本文中,我们对7,310万个真实世界的中文Web密码(与3,320万个英语相对应的英文密码)进行了广泛的实证分析。我们重点介绍了中文密码中许多有趣的结构和语义特征。我们通过采用两种最新的破解技术来进一步评估这些密码的安全性。特别是,我们的破解结果揭示了中文密码的双面安全性。与在线密码攻击相比,它们对在线猜测攻击的抵抗力较弱(即,当允许的猜测数字较小时,为1到104)。但是在其余的中文密码中,它们比英文对应的密码更能抵抗离线猜测攻击(即,当猜测数字大于105时)。这与关于Bonneau(IEEE S&P’12)和Li等人的中文密码强度的两个矛盾说法相吻合。 (Usenix Security’14和IEEE TIFS’16)。根据107个猜测,我们改进的基于PCFG的针对中国数据集的攻击的成功率为33.2%〜49.8%,这表明我们的攻击可以破解比现有技术多92%至188%的密码。我们还将讨论我们的发现对密码策略,强度计和破解的影响。
关键字
密码;密码猜解
解决问题
现实问题
文本密码是当今几乎每个Web服务中访问控制的主要形式。尽管早在四十年前就已经揭示了它们的安全隐患,并且自那时以来已提出了各种替代的身份验证方法(例如,图形密码和多因素身份验证),但密码仍被广泛使用。其中一个原因是密码具有许多优点,例如部署成本低,易于恢复和明显的简单性,而其他身份验证方法往往无法提供这些优点。另一个原因则是由于边际收益(marginal gain)通常不足以弥补重大的过渡成本,因此缺乏有效的工具来量化不太明显的替换密码成本。此外,用户也喜欢密码。
之前研究的不足
截至2018年6月,中国有8.02亿网民,占世界互联网人口的20%以上(也是最大比例)。以下关键问题还没有令人满意的答案:
(1)是否存在区分中文密码和英文密码的结构或语义特征?
(2)中文密码如何应对主流攻击?
(3)他们是否比英语弱或强?
这些问题必须解决,以便为安全工程师和中国用户提供必要的安全指导。例如,如果第一个问题的答案是肯定的,则表明