美國地區用戶口令研究

范曉東 王源 李金澤 張博鋒 鄭詔今

摘 要：互聯網和5G時代的到來導致數據爆炸性的增長，海量APP豐富著大家的生活，用戶口令作為目前用途最廣也是相對安全的認證形式仍然存在一些問題，比如容易收到窮舉攻擊、字典攻擊等。為了保護用戶的數據及個人隱私，指導用戶設置高強度口令，我們對美國近2000萬用戶賬戶與口令通過PCFG（概率無關上下文法），構建口令規則集后進行強度測試，得到高強度密碼應符合大小寫字母、數字和特殊字符等多種混合的條件，同時個人多賬戶密碼設置差異盡可能大才能保證安全。

關鍵詞：高強度口令;PCFG：用戶安全;個人隱私;

·引言

當今主要的安全認證形式是以用戶自己選擇的文本輸入作為密碼口令，但這種方式非常容易受到猜測攻擊。另外，現有的用來評估密碼強度的方法，即通過建模進行對抗性密碼猜測，其準確率不高，這種方法對于實時的客戶端密碼檢查來說，要么是不準確的，要么是數量級太大速度太慢。因此，本文旨在通過研究大量的美國地區用戶密碼口令，構建美國用戶密碼口令規則集，幫助用戶選擇安全性較高的密碼口令，以提高用戶信息安全。

本文將通過研究兩千萬條美國用戶口令，利用PCFG（概率無關上下文法），構建馬爾可夫模型，從而生成美國用戶口令規則集，再根據此規則集構建滿足美國用戶習慣的密碼口令，并使用該測試集對用戶密碼口令進行強度測試，以此保證用戶可以選擇安全強度較高的密碼口令，達到保障用戶隱私安全的目的。

·實驗材料

（1）實驗數據

在本節中，我們使用我們獲取的美國用戶口令列表中的約2000萬美國用戶的賬號和口令，格式為賬號：密碼。相關數據全部來自外網真實數據資料。

（2）實驗所用模型

在本實驗中，我們使用的模型為PCFG（Probabilistic Context Free Grammar）模型，也就是概率上下文無關文法，或稱為SCFG（Stochastic Context Free Grammar），隨機上下文無關文法。

我們使用我們獲取的美國用戶口令列表對PCFG模型進行訓練。我們把基于美國用戶口令數據集訓練出來的PCFG模型稱為PCFG-1，把基于開源密碼數據集RockYou訓練出來的PCFG模型稱為PCFG-2。形成對照實驗。

·實驗過程與結果分析

（1）實驗準備

在本節中，我們使用我們獲取的美國用戶口令列表對PCFG模型進行訓練。美國用戶口令列表中包含約2000萬美國用戶的賬號和口令，格式為賬號：密碼。

在數據集的基礎上，我們對這些數據用python進行數據清洗，提取美國用戶的口令列表，以純文本的格式存儲在code.txt文件中。以換行符為分界。

我們通過使用機器學習來識別美國用戶的創建密碼習慣。PCFG模型是通過對美國用戶密碼列表進行訓練而生成的。我們把該模型稱為規則集，其中包含密碼許多的不同部分和相關出現的概率。

（2）實驗過程

我們把基于美國用戶口令數據集訓練出來的PCFG模型稱為PCFG-1，把基于開源密碼數據集RockYou訓練出來的PCFG模型稱為PCFG-2。形成對照實驗。

對照實驗過程如下：

a.基于PCFG-1模型進行密碼猜測，由程序生成一個密碼列表，并將此列表基于PCFG-1模型來估計這些密碼的可能性，也就是密碼強度評分。

b.基于PCFG-1模型進行密碼猜測，由程序生成一個密碼列表，并將此列表基于PCFG-2模型來進行密碼強度評分。

c.基于PCFG-2模型進行密碼猜測，由程序生成一個密碼列表，并將此列表基于PCFG-1模型來進行密碼強度評分。

d.基于PCFG-2模型進行密碼猜測，由程序生成一個密碼列表，并將此列表基于PCFG-2模型來進行密碼強度評分。

我們通過密碼強度評分來客觀的體現出美國用戶口令與大眾口令的區別。密碼強度評分輸出格式如下：第一個值是原始密碼，第二個值是表示該密碼是否屬于“網站”、“電子郵件地址”或者“其他”，第三個值是密碼強度，值越低越安全，如果是0.0則代表該密碼不會由該模型生成。第四個值是密碼的OMEN級別，如果值為-1，則表示該密碼不會被OMEN算法所生成。

（3）實驗結果

在對PCFG-1模型的訓練中，我們得到美國用戶口令有如下特征：

密碼長度為 1 ： 0

密碼長度為 2 ： 0

密碼長度為 3 ： 0

密碼長度為 4 ： 201472

密碼長度為 5 ： 358887

密碼長度為 6 ： 3427000

密碼長度為 7 ： 2822980

密碼長度為 8 ： 5600752

密碼長度為 9 ： 2536454

密碼長度為 10 ： 2790461

密碼長度為 11 ： 756887

密碼長度為 12 ： 531257

密碼長度為 13 ： 290679

密碼長度為 14 ： 207889

密碼長度為 15 ： 268423

密碼長度為 16 ： 122828

密碼長度為 17 ： 41352

密碼長度為 18 ： 41580

密碼長度為 19 ： 22764

密碼長度為 20 ： 27283

密碼長度為 21 ： 11951

口令中使用前五的電子郵箱列表：

yahoo.com ： 9637

mail.ru ： 4705

hotmail.com ： 4076

gmail.com ： 2809

aol.com ： 2804

口令中使用前五的域名列表：

yahoo.com ： 356

.au ： 252

mail.ru ： 186

hotmail.com ： 104

google.com ： 85

口令中使用前十的年份列表：

2010 ： 36015

2009 ： 23924

2011 ： 22757

2000 ： 21412

2008 ： 20426

1995 ： 17538

1992 ： 17276

1990 ： 17006

1994 ： 16874

1991 ： 16527

對照實驗結果如下（結果順序同上述實驗過程順序）：

（4） 結果分析

根據上面圖表，我們可以得出美國用戶口令比較偏愛8位數的密碼，且使用電子郵箱、域名和年份等信息的概率較大。建議該地區用戶避開yahoo.com、2010等關鍵詞，以提高密碼強度。通過b，c兩組對照實驗可以看出，基于PCFG-1模型生成的密碼有可能會被基于PCFG-2模型的密碼生成器破解出來，而基于PCFG-2模型生成的密碼卻很少能被基于PCFG-1模型的生成器所破解。這就說明該美國地區的用戶創建口令的習慣是不安全的。并且該地區用戶以后若想測試一個密碼的安全性完全可以通過本文中的PCFG-1模型進行檢測，或者是通過PCFG-2模型來生成一個密碼。如此一來，用戶口令被當地用戶所破解的概率將大大減小。

·實驗總結

此項實驗研究表明，近年來美國地區用戶設置密碼安全性明顯提高，由最初單純的字母組合、生日日期、常用短語、廣為人知的網站地址和郵箱轉變為大小寫字母與數字混合、更多無法發現規律的數字組合、特殊符號的加入以及長度的提高，使得密碼破譯難度明顯上升。但同時隨著網站賬戶的不斷增多，所需要的密碼數量也越來越多，對單個用戶的密碼設置分析發現，個人密碼呈現單一化，即大量賬戶和網站共用同一個密碼，一旦密碼被破譯，個人隱私安全和經濟財產安全受到嚴重威脅。通過以上分析，密碼設置中包含大小寫、數字和特殊字符，多賬戶密碼設置時差異較大，是現在看來個人信息保護的最優方式。

參考文獻：

[1]? Matt Weir ; Sudhir Aggarwal ; Breno de Medeiros ; Bill Glodek. Password Cracking Using Probabilistic Context-Free Grammars. 2009 30th IEEE Symposium on Security and Privacy

[2]? Keika Mori ; Takuya Watanabe ; Yunao Zhou ; Ayako Akiyama Hasegawa ; Mitsuaki Akiyama . Comparative Analysis of Three Language Spheres： Are Linguistic and Cultural Differences Reflected in Password Selection Habits？? ?2019 IEEE European Symposium on Security and Privacy Workshops （EuroS&PW）

[3] 畢紅軍;譚儒;趙建軍;李昱甫.基于主題PCFG的口令猜測模型研究. Netinfo Security2019年08期ISSN：1671-1122

[4] 夏之陽;易平.基于神經網絡的多源密碼猜測模型. Communications Technology2019年01期ISSN：1002-0802