本文選題：密碼　切入點：密碼策略　出處：《北京交通大學》2017年碩士論文

【摘要】：在現(xiàn)有的認證方法中,口令是最常用的認證方法。盡管口令已經(jīng)被人們使用了數(shù)十年,對于蓄意破壞信息系統(tǒng)安全性的攻擊者來說,基于口令的系統(tǒng)仍然很容易受到攻擊�？诹钫J證系統(tǒng)的漏洞來源于用戶自身以及所選用的口令強度。用戶傾向于選擇簡單的口令,比如自己的名字或電話號碼,當遇到要求使用不同的登錄口令時,他們習慣于使用相同的或相近的口令。另一方面,口令強度檢查器在口令強度上給用戶的反饋中顯示出不一致的行為。關于口令認證存在這幾個問題。首先,將最小長度和字符組成的類型作為口令強度要求的策略在信息行業(yè)中仍然是主要手段,令人驚訝的是,大多數(shù)網(wǎng)站都將其作為唯一手段。其次,信息行業(yè)中能夠使用的衡量口令強度并反饋給用戶的指標缺乏一致性。第三,大多數(shù)指標仍然是基于熵的測量,主要考慮口令字符的長度和組成。攻擊者利用用戶在創(chuàng)建口令時與網(wǎng)站檢查器給出的建議不一致或不準確的弱點來實施口令破解,在這方面,信息行業(yè)如何應對當前的問題其實有很多方針和建議。許多組織試圖實施一個要求長度和字符組成的口令策略和檢查器,來迫使用戶創(chuàng)建強口令。然而,對于基于口令認證系統(tǒng)的安全性來說,如何測量口令的強度是一個關鍵問題�？诹顝姸仁欠烙吆凸粽咧g的一個博弈,也是一個動態(tài)過程,這種動態(tài)過程需要適當?shù)慕！Ｔ谧髡叩挠^察中,一些網(wǎng)站試圖將這種動態(tài)策略納入他們的網(wǎng)站口令檢查器中。作者相信,本文的辦法是通過整合網(wǎng)站策略來建立一個先進的口令檢查器。本論文對代表性的網(wǎng)站的口令安全措施的實現(xiàn)與實踐進行大規(guī)模數(shù)據(jù)分析,發(fā)現(xiàn)了網(wǎng)站口令檢查器存在的各種問題,開發(fā)了一種基于神經(jīng)網(wǎng)絡學習網(wǎng)站口令檢查策略的口令強度檢查器。首先選擇2016年6月Alexa排名前100的網(wǎng)站(排除了那些沒有用戶注冊頁面、有色情內(nèi)容、或需要社會安全號碼來注冊的網(wǎng)站),從每個選定的網(wǎng)站(通過訪問用戶注冊頁面)獲取了口令策略(口令要求)、用戶建議、用戶反饋、口令指標和其它類似的信息。本論文使用的訓練口令集合是從不同站點收集并保存在Skull安全維基百科的已遭泄漏的用戶口令。除此之外,還有約40%的口令是通過Rockyou 口令的leet轉(zhuǎn)換而來的。本文使用選中的10個網(wǎng)站檢查器分析了所收集的口令的強度。我們從Chrome調(diào)試器獲取到了使用客戶端檢查器的網(wǎng)站的JavaScript腳本,然而,我們使用php curl請求來訪問這些網(wǎng)站的服務器端檢查器,并且采用網(wǎng)站的口令檢查來訓練一個基于多層感知器(MLP)模型的神經(jīng)網(wǎng)絡,從而構(gòu)成了融合各種網(wǎng)站口令策略的口令檢查器。從分析的數(shù)據(jù)可以發(fā)現(xiàn),不同的網(wǎng)站有不同的口令策略來適應他們的業(yè)務性質(zhì)。那些包含隱私信息(例如用于在線交易的銀行帳號或用于注冊的電子郵件地址)的網(wǎng)站往往需要嚴格的口令策略。另一方面,諸如博客之類的網(wǎng)站沒有嚴格的口令策略,這樣用戶就可以用最少的代價來創(chuàng)建口令。制定不嚴格的口令策略的原因之一是為了吸引更多的用戶,因為用戶通常會在這個過程中施以最小的認知努力。最小字符長度、字符組成類型限制、禁用字典詞和過于簡單的口令,這些都是在網(wǎng)站上所觀察到的口令策略。但是,最小字符長度是最主要的口令策略,實際上是所有被調(diào)查的網(wǎng)站都是這樣實現(xiàn)的,有一些網(wǎng)站允許的最小字符長度可以小于6,相對來說,這些網(wǎng)站不從事存儲或傳輸用戶機密信息的業(yè)務功能,這樣,可以允許用戶用最小的努力來創(chuàng)建口令。大多數(shù)網(wǎng)站都要求口令的最小長度為6或以上。盡管研究人員和不同的指導方針建議,信息行業(yè)中在最短口令長度要求方面仍然存在著不一致的問題。考慮到口令字符組成的策略,有些網(wǎng)站在這方面并沒有過多要求,但只要求口令的最小字符長度,只要滿足這個要求,就不強迫用戶必須創(chuàng)建由不同類型的字符組成的口令。相反,有些網(wǎng)站在字符組成上就有要求,甚至一些網(wǎng)站有特定的要求,比如至少包含大寫字母、小寫字母、數(shù)字和符號中的兩種類型。一些實施嚴格的字符組成策略的網(wǎng)站是通過強制用戶從大量的字符中進行選擇來增加口令的隨機性,但是,那些沒有實現(xiàn)組合策略的網(wǎng)站賦予用戶全部的權(quán)限,讓他們可以選擇任何所期望的字符。與最小長度策略相似,可以發(fā)現(xiàn)字符組合的策略中也存在不一致的問題。至于字典詞或被禁用的簡單口令(例如qwerty123)的策略,僅有很少量的網(wǎng)站給予實施。很明顯,攻擊者使用字典詞或被禁用的簡單口令來建模破解口令的算法,因此,通過字典或禁用的簡單詞語創(chuàng)建的口令很可能會受到攻擊。在這方面,對該策略的強調(diào)并不令人滿意。對用戶進行口令創(chuàng)建的教育不足是提高口令安全性的一個重要問題。教導用戶的方法之一是在注冊網(wǎng)頁中提供一項建議或信息,說明安全口令的重要性及其特性。從分析中發(fā)現(xiàn),幾乎所有的網(wǎng)站中向用戶提供的口令策略,主要都是針對最短口令長度的要求,卻不告知能夠成為"強口令"的口令特征是怎樣的。因此,總的來說,對用戶關于安全口令重要性及其特征的教育短板在本文研究中得到發(fā)現(xiàn),這對于信息行業(yè)的安全起著至關作用。每個網(wǎng)站可以根據(jù)自己的基準對口令的強度進行分類,然后將所選口令的強度反饋給用戶。用戶根據(jù)網(wǎng)站給予他們的反饋修改其先前所選擇的口令,從而創(chuàng)建更安全的口令。但問題就是如何檢測口令的強度,基于什么標準將口令分為弱、中、強三類。熵度量法是口令的主要指標,但是對于不同的網(wǎng)站有不同的測量策略。有些網(wǎng)站僅使用簡單策略來測量口令的強度,例如僅考慮組合字符的類型,以及重復度,在這種情況下,網(wǎng)站可以對于不同長度的字符串給出不同的強度值,然后根據(jù)組合的不同字符類型來增大其強度值,根據(jù)其字符的重復度在減小其強度值;另一方面,一些網(wǎng)站部署復雜的策略來測量口令的強度,除了字符串長度、組合類型以及重復度等策略外,還包括連續(xù)字符、leet轉(zhuǎn)換等策略,然后構(gòu)建一個范圍來完成對口令的強度分類,但是用什么來確定范圍是不明顯的。本論文使用收集的泄露口令字典對10個網(wǎng)站的口令檢測器進行分析,發(fā)現(xiàn)不同的網(wǎng)站在口令強度級別上給予用戶的反饋是不一致的。如上所述,每個網(wǎng)站都會使用自己的策略來完成對口令強度的測量和標記,并且他們會根據(jù)自己的口令級別向用戶反饋結(jié)果,由于策略不同,對于相同的口令反饋的結(jié)果也會不同,在某網(wǎng)站被標記為中等級別的口令在其他網(wǎng)站可能會被標記為弱或強,這樣可能會使用戶混淆如何才能選擇安全的口令。在本文中提出使用神經(jīng)網(wǎng)絡構(gòu)建一個新穎的模型來實現(xiàn)口令強度的檢測,該模型整合了來自不同網(wǎng)站的口令強度檢測策略。由于神經(jīng)網(wǎng)絡是建立輸入和輸出之間關系的良好的近似方法,所以可以選擇它來模擬預期的方法。只要有足夠的隱藏層,并在每個隱藏層引入足夠數(shù)量的神經(jīng)元,神經(jīng)網(wǎng)絡就可以學習任何大小的數(shù)據(jù)。多層感知器(MLP)是具有多個隱藏層的神經(jīng)網(wǎng)絡之一。輸入數(shù)據(jù)及其特征,輸出標簽,隱層數(shù),每個隱層的神經(jīng)元數(shù),訓練參數(shù)(如激活函數(shù),學習方法)是構(gòu)建MLP模型的決定性因素。在訓練數(shù)據(jù)的準備階段,在所有選定的口令檢測器中測量給定口令,假設可以將來自所有檢測器的強度標簽邏輯組合起來,則可以根據(jù)不同網(wǎng)站的策略來建立一個綜合的檢測器。以這種方式來準備包含口令以及其新類標簽的數(shù)據(jù)。將字符的"詞頻-逆文檔頻率"TF-IDF作為口令數(shù)據(jù)的特征。本文中MLP模型的實驗結(jié)果可以證明創(chuàng)建一個組合多個站點的策略的檢測器是可行的,因此,可以創(chuàng)建具有集成特征的口令,并且可以反饋給用戶一致的測量結(jié)果。本論文實現(xiàn)了基于多層感知器(MLP)構(gòu)建神經(jīng)網(wǎng)絡檢測器,并且利用被泄露的口令和隨機生成的口令對MLP神經(jīng)網(wǎng)絡進行了訓練和測試,該模型的準確度達到99.5%。但是,其局限性還有待解決,例如實驗中使用的口令數(shù)據(jù)可能還不足以影響系統(tǒng)的預測性能,此外,由于神經(jīng)網(wǎng)絡是一種黑箱模型,可能在有效引導用戶如何選擇口令方面是困難的。
[Abstract]:......
【學位授予單位】：北京交通大學
【學位級別】：碩士
【學位授予年份】：2017
【分類號】：TP309

【相似文獻】

相關期刊論文 前10條

1 楊曉帥 ,付玫;神經(jīng)網(wǎng)絡技術(shù)讓管理更輕松[J];軟件世界;2000年11期

2 云中客;新的神經(jīng)網(wǎng)絡來自于仿生學[J];物理;2001年10期

3 唐春明,高協(xié)平;進化神經(jīng)網(wǎng)絡的研究進展[J];系統(tǒng)工程與電子技術(shù);2001年10期

4 李智;一種基于神經(jīng)網(wǎng)絡的煤炭調(diào)運優(yōu)化方法[J];長沙鐵道學院學報;2003年02期

5 程科,王士同,楊靜宇;新型模糊形態(tài)神經(jīng)網(wǎng)絡及其應用研究[J];計算機工程與應用;2004年21期

6 王凡,孟立凡;關于使用神經(jīng)網(wǎng)絡推定操作者疲勞的研究[J];人類工效學;2004年03期

7 周麗暉;從統(tǒng)計角度看神經(jīng)網(wǎng)絡[J];統(tǒng)計教育;2005年06期

8 趙奇 ,劉開第 ,龐彥軍;灰色補償神經(jīng)網(wǎng)絡及其應用研究[J];微計算機信息;2005年14期

9 袁婷;;神經(jīng)網(wǎng)絡在股票市場預測中的應用[J];軟件導刊;2006年05期

10 尚晉;楊有;;從神經(jīng)網(wǎng)絡的過去談科學發(fā)展觀[J];重慶三峽學院學報;2006年03期

相關會議論文 前10條

1 徐春玉;;基于泛集的神經(jīng)網(wǎng)絡的混沌性[A];1996中國控制與決策學術(shù)年會論文集[C];1996年

2 周樹德;王巖;孫增圻;孫富春;;量子神經(jīng)網(wǎng)絡[A];2003年中國智能自動化會議論文集（上冊）[C];2003年

3 羅山;張琳;范文新;;基于神經(jīng)網(wǎng)絡和簡單規(guī)劃的識別融合算法[A];2009系統(tǒng)仿真技術(shù)及其應用學術(shù)會議論文集[C];2009年

4 郭愛克;馬盡文;丁康;;序言(二)[A];1999年中國神經(jīng)網(wǎng)絡與信號處理學術(shù)會議論文集[C];1999年

5 鐘義信;;知識論:神經(jīng)網(wǎng)絡的新機遇——紀念中國神經(jīng)網(wǎng)絡10周年[A];1999年中國神經(jīng)網(wǎng)絡與信號處理學術(shù)會議論文集[C];1999年

6 許進;保錚;;神經(jīng)網(wǎng)絡與圖論[A];1999年中國神經(jīng)網(wǎng)絡與信號處理學術(shù)會議論文集[C];1999年

7 金龍;朱詩武;趙成志;陳寧;;數(shù)值預報產(chǎn)品的神經(jīng)網(wǎng)絡釋用預報應用[A];1999年中國神經(jīng)網(wǎng)絡與信號處理學術(shù)會議論文集[C];1999年

8 田金亭;;神經(jīng)網(wǎng)絡在中學生創(chuàng)造力評估中的應用[A];第十二屆全國心理學學術(shù)大會論文摘要集[C];2009年

9 唐墨;王科俊;;自發(fā)展神經(jīng)網(wǎng)絡的混沌特性研究[A];2009年中國智能自動化會議論文集（第七分冊）[南京理工大學學報（增刊）][C];2009年

10 張廣遠;萬強;曹海源;田方濤;;基于遺傳算法優(yōu)化神經(jīng)網(wǎng)絡的故障診斷方法研究[A];第十二屆全國設備故障診斷學術(shù)會議論文集[C];2010年

相關重要報紙文章 前10條

1 美國明尼蘇達大學社會學博士 密西西比州立大學國家戰(zhàn)略規(guī)劃與分析研究中心資深助理研究員 陳心想;維護好創(chuàng)新的“神經(jīng)網(wǎng)絡硬件”[N];中國教師報;2014年

2 盧業(yè)忠;腦控電腦 驚世駭俗[N];計算機世界;2001年

3 葛一鳴 路邊文;人工神經(jīng)網(wǎng)絡將大顯身手[N];中國紡織報;2003年

4 中國科技大學計算機系　邢方亮;神經(jīng)網(wǎng)絡挑戰(zhàn)人類大腦[N];計算機世界;2003年

5 記者 孫剛;“神經(jīng)網(wǎng)絡”：打開復雜工藝“黑箱”[N];解放日報;2007年

6 本報記者 劉霞;美用DNA制造出首個人造神經(jīng)網(wǎng)絡[N];科技日報;2011年

7 健康時報特約記者　 張獻懷;干細胞移植：修復受損的神經(jīng)網(wǎng)絡[N];健康時報;2006年

8 劉力;我半導體神經(jīng)網(wǎng)絡技術(shù)及應用研究達國際先進水平[N];中國電子報;2001年

9 ;神經(jīng)網(wǎng)絡和模糊邏輯[N];世界金屬導報;2002年

10 鄒麗梅 陳耀群;江蘇科大神經(jīng)網(wǎng)絡應用研究通過鑒定[N];中國船舶報;2006年

相關博士學位論文 前10條

1 楊旭華;神經(jīng)網(wǎng)絡及其在控制中的應用研究[D];浙江大學;2004年

2 李素芳;基于神經(jīng)網(wǎng)絡的無線通信算法研究[D];山東大學;2015年

3 石艷超;憶阻神經(jīng)網(wǎng)絡的混沌性及幾類時滯神經(jīng)網(wǎng)絡的同步研究[D];電子科技大學;2014年

4 王新迎;基于隨機映射神經(jīng)網(wǎng)絡的多元時間序列預測方法研究[D];大連理工大學;2015年

5 付愛民;極速學習機的訓練殘差、穩(wěn)定性及泛化能力研究[D];中國農(nóng)業(yè)大學;2015年

6 李輝;基于粒計算的神經(jīng)網(wǎng)絡及集成方法研究[D];中國礦業(yè)大學;2015年

7 王衛(wèi)蘋;復雜網(wǎng)絡幾類同步控制策略研究及穩(wěn)定性分析[D];北京郵電大學;2015年

8 張海軍;基于云計算的神經(jīng)網(wǎng)絡并行實現(xiàn)及其學習方法研究[D];華南理工大學;2015年

9 李艷晴;風速時間序列預測算法研究[D];北京科技大學;2016年

10 陳輝;多維超精密定位系統(tǒng)建模與控制關鍵技術(shù)研究[D];東南大學;2015年

相關碩士學位論文 前10條

1 章穎;混合不確定性模塊化神經(jīng)網(wǎng)絡與高校效益預測的研究[D];華南理工大學;2015年

2 賈文靜;基于改進型神經(jīng)網(wǎng)絡的風力發(fā)電系統(tǒng)預測及控制研究[D];燕山大學;2015年

3 李慧芳;基于憶阻器的渦卷混沌系統(tǒng)及其電路仿真[D];西南大學;2015年

4 陳彥至;神經(jīng)網(wǎng)絡降維算法研究與應用[D];華南理工大學;2015年

5 董哲康;基于憶阻器的組合電路及神經(jīng)網(wǎng)絡研究[D];西南大學;2015年

6 武創(chuàng)舉;基于神經(jīng)網(wǎng)絡的遙感圖像分類研究[D];昆明理工大學;2015年

7 李志杰;基于神經(jīng)網(wǎng)絡的上證指數(shù)預測研究[D];華南理工大學;2015年

8 陳少吉;基于神經(jīng)網(wǎng)絡血壓預測研究與系統(tǒng)實現(xiàn)[D];華南理工大學;2015年

9 張韜;幾類時滯神經(jīng)網(wǎng)絡穩(wěn)定性分析[D];渤海大學;2015年

10 邵雪瑩;幾類時滯不確定神經(jīng)網(wǎng)絡的穩(wěn)定性分析[D];渤海大學;2015年

，

本文編號：1692289