基于口令的认证方法因开销小、使用便捷,故成为目前使用最广泛的身份认证方式。正是因为使用简单,口令也一直存在着严重的安全问题:(1)来自不同语言的口令集具有明显不同的字母分布。大多数的口令生成方法只是简单地将所有口令集归为一类,不进行特点区分,使用同一种方法评估可能包含不同特点的口令集,且没有针对中文口令集中的汉语拼音进行分析的研究。(2)多数用户将容易记忆的个人信息或常用字符组合作为口令,导致其安全性偏弱,容易遭受字典攻击。助记策略用于帮助用户生成安全性较高且易于记忆的口令,近年来受到国内外学者的广泛关注。现有助记策略多存在低安全性、不便记忆等问题。针对上述问题1,提出一种针对中文口令集的口令字典生成方法(Chinese Syllables and Neural Network based password generation,CSNN),用于对信息系统口令集进行安全性评估。该方法将每个完整的汉语拼音视为一个整体元素,后利用汉语拼音的规则对口令进行结构划分与处理。将处理后的口令放入长短期记忆网络中训练,用训练后的模型生成口令字典。本文通过命中率实验评估CSNN方法的效能,将CSNN与其它两种经典口令生成方法(即,概率上下文无关文法和5阶马尔可夫链模型)对生成口令的命中率进行实验对比。实验选取了不同规模的字典,结果显示,CSNN方法生成的口令字典的综合表现优于另外两种方案。与概率上下文无关文法相比,在猜测数为10~7时,CSNN字典在不同测试集上的命中率提高了5.1%~7.4%(平均为6.3%);相对于5阶马尔可夫链模型,在猜测数为8′10~5时,CSNN字典在不同测试集上的命中率提高了2.8%~12%(平均为8.2%)。针对上述问题2,提出一种基于中文句法的口令助记策略,用户选择一个易于记忆的句子作助记句,利用预定义规则或基于用户的选择,将其转换为口令,通过对照实验评估了其性能。采用马尔可夫链模型等性能评估工具,将实验中收集的口令与大量真实口令进行对比、分析,评估该助记策略的安全性和易用性。在易用性方面,NASA-TLX量表结果显示,虽然使用助记策略在生成口令阶段的负荷量偏高,但在短期可记忆性和长期可记忆性方面,是否使用助记策略没有明显的差别。此外,在安全性方面,所有口令强度评估结果均表明,该助记策略生成的口令强度远高于真实口令。在将助记句转化为口令的同时,本策略隐藏了个人敏感信息,降低了因个人信息泄露而导致口令泄露的风险,提高了方案的安全性。
暂无评论