在今年10月底召开的ACM通信和系统安全会议(CCS)上,来自中国和英国的研究人员的一篇论文中描述了一种用于目标密码猜测的系统,发现相当大一部分人的在线密码易受攻击。
研究人员分别包括Ding Wang、 Zijian Zhang 、Ping Wang(北京大学)、Jeff Yan(Lancaster大学)、Xinyi Huang(福建师范大学)。
研究人员使用名为TarGuess的密码猜测框架,仅对100位典型用户进行了猜测准确率就达到了73%,对有安全意识的用户进行的密码猜测准确率也高达32%。
研究人员使用了十个在线暴露的大型真实世界密码数据集,五个来自英语网站,包括雅虎,五个来自中国网站,包括Dodonew。
“我们的结果表明,当前使用的安全机制对抵抗目标性的在线猜测威胁很大程度上是无效的,并且这种威胁已经变得比预期更有害,”研究人员在论文中描述,“我们相信目标猜测模型的新算法和相关知识对现有的密码实践和未来的密码研究都有启发作用。”
计算机安全行业中的大多数人以及许多互联网用户都知道,密码构建不良就不能提供足够的安全性。如报告所述,根据样本数据集,0.79% 到10.44%的用户密码,可以使用最常用的十大密码猜测到,包括“123456”和“password”。
研究人员注意到一小部分人在他们的密码中使用私人信息。如有0.75%到1.87%的人使用他们的全名作为密码。对于中国的用户,密码中通常会使用数字,有1%到5.16%使用出生日期作为密码。除此之外还会使用电子邮件地址和用户名作为密码。
另外,人们经常重复使用整体或部分密码,这种相似密码被称为“姐妹”密码。由于数据泄露事件,数亿在线账户的私人信息已经在网上暴露,研究显示有时黑客可能会使用这些数据尝试访问用户的其他账户。
研究人员使用他们研制的TarGuess算法证明当使用“姐妹”密码时,是可以成功访问到其他账户的。但即使姐妹密码不可用,尝试100次的成功率仍能达到20%,尝试106次成功率能达到50%。
当已知更多用户信息时,成功率更高。在已知用户的电子邮件地址、账户名、出生日期、电话号码以及身份证号码时,研究人员能够猜测到中国火车票务网站12306上约20%的用户密码。
“这表明大多数普通用户的密码容易被针对性地在线猜测。”研究人员表示,服务提供商应该将连续失败的登录尝试次数限制为每月100次。
这些发现强调了有关如何创建强密码教育的必要性。使用工具如密码管理器可以帮助人们保存几十个足够长且复杂、没有共同模式的密码。