本文介绍了Honeywords技术在检测口令文件泄露中的作用,探讨了现有方法的安全缺陷,并提出了一个攻击理论体系。同时,文章讨论了包括机器相关函数、门限密码学在内的解决方案,以及如何设计更有效的Honeywords生成方法以增强安全性。针对攻击者的不同能力,提出了相应的攻击策略,为及时检测口令文件泄露提供了理论依据。
总结
演讲主题:A Security Analysis of Honeywords(口令文件泄露检测技术)
演讲人:汪定 北京大学
内容摘要:近一两年来,大批的知名网站(如Yahoo, Dropbox, Weebly, Quora, 163,德勤)发生了用户口令文件泄露事件。更为严重的是,这些泄露往往发生了多年后才被网站发现,才提醒用户更新口令,然而为时已晚。比如,Yahoo在2013年泄露了30亿用户口令和各类个人身份信息,在2017年10月才发现,因此事件导致Verizon对Yahoo的收购价格降低了10亿美金。
Honeywords 技术是检测口令文件泄露的一种十分有前景的技术,由图灵奖得主 Rivest 和 Juels在ACM CCS’13 上首次提出。本研究发现,他们给出的4个主要 honeywords 生成方法均存在严重安全缺陷,且此类启发式方法无法简单修补;进一步提出一个honeywords 攻击理论体系,成功解决“给定攻击能力,攻击者如何进行最优攻击”这一公开问题;反过来,攻击者的最优攻击方法可被用来设计最优 honeywords 生成方法,成功摆脱启发式设计。本研究将使honeywords生成方法的设计和评估从艺术走向科学,为及时检测口令文件泄露提供理论和方法支撑。
一个现实的问题,如何降低用户口令文件泄露带来的危害?潜在的解决办法:1 使用机器相关函数,基本思想:窃取无用。2 门限密码学,基本思想:秘密分割,窃取无用部分。3 放置假口令,基本思想:欺骗迷惑,及时检测。
使用机器相关函数:最典型的ErsatzPasswords方案,在服务器端
最低0.47元/天 解锁文章
477
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
