论文中研究的PCFG(概率上下文无关算法)的核心是将口令分为字母段L,数字段D和特殊字符段S,例如将口令“qing123!”表示为L4D3S1。在训练阶段,统计出口令模式频率表(L4D3S1在全部口令中的频率)和字符组件频率表(”qing”在L4中的频率),利用两个表生成一个带频率猜测的集合,来模拟现实中口令的概率分布。例如P(qing123)=P(L4D3S1)*P(qing)*P(123)*P(!)。这样就能够获得每个字符串的概率,按照概率递减排序可获得一个猜测集。
这种漫步攻击(trawlingattacking)是指攻击者不关心具体的攻击对象,唯一目标是在允许的猜测的次数下,猜测出越多的口令越好。
相关论文链接:https://www.researchgate.net/publication/305654413_Targeted_Online_Password_Guessing_An_Underestimated_Threat
Targeted Online Password Guessing: AnUnderestimated Threat
1. 前提
将个人信息分为三类:
1、用户个人信息PII(姓名、性别等)半公开信息(仅相关人员知晓);
2、用户识别凭证(用户名、密码等),部分公开信息;
3、与密码构造无关的个人信息。
PII分为两类:
1、 生日、姓名等可以作为构造密码的一部分;
2、 性别、受教育程度等影响用户密码生成规则。
2. 安全模型