总结
演讲主题:A Security Analysis of Honeywords(口令文件泄露检测技术)
演讲人:汪定 北京大学
内容摘要:近一两年来,大批的知名网站(如Yahoo, Dropbox, Weebly, Quora, 163,德勤)发生了用户口令文件泄露事件。更为严重的是,这些泄露往往发生了多年后才被网站发现,才提醒用户更新口令,然而为时已晚。比如,Yahoo在2013年泄露了30亿用户口令和各类个人身份信息,在2017年10月才发现,因此事件导致Verizon对Yahoo的收购价格降低了10亿美金。
Honeywords 技术是检测口令文件泄露的一种十分有前景的技术,由图灵奖得主 Rivest 和 Juels在ACM CCS’13 上首次提出。本研究发现,他们给出的4个主要 honeywords 生成方法均存在严重安全缺陷,且此类启发式方法无法简单修补;进一步提出一个honeywords 攻击理论体系,成功解决“给定攻击能力,攻击者如何进行最优攻击”这一公开问题;反过来,攻击者的最优攻击方法可被用来设计最优 honeywords 生成方法,成功摆脱启发式设计。本研究将使honeywords生成方法的设计和评估从艺术走向科学,为及时检测口令文件泄露提供理论和方法支撑。
一个现实的问题,如何降低用户口令文件泄露带来的危害?潜在的解决办法:1 使用机器相关函数,基本思想:窃取无用。2 门限密码学,基本思想:秘密分割,窃取无用部分。3 放置假口令,基本思想:欺骗迷惑,及时检测。
使用机器相关函数:最典型的ErsatzPasswords方案,在服务器端