弱口令檢測相關技術綜述

馬文文

（國家知識產權局專利局專利審查協作江蘇中心 江蘇蘇州 215011）

隨著全球信息化的飛速發展，整個世界成為一個整體，各個國家和政府建設大量的信息化系統作為國家的重要基礎設施。各個機構、行業、領域均在組建自己的信息網絡系統，并交互傳輸，以充分共享、使用網絡上存在的信息內容和資源，社會對網絡的依賴性也越來越大。但是，當網絡資源發展的同時，各種問題也層出不窮，特別是網絡安全的問題。為了防止非法人員對網絡的入侵、破壞，各種認證技術應運而生，如基于口令的認證、基于數字證書的認證、基于生物識別信息的認證及各種綜合認證技術。雖然認證手段多種多樣，但由于操作的簡單性與設置的靈活性，基于口令的認證是被廣泛使用的認證方式。

在口令認證的應用中，由于網絡賬號繁多，人們為了便于記憶口令、密碼，通常設置特別簡單或者重復的口令密碼來進行登錄，這也為口令的猜測、破解、泄露提供了便利的條件，這些特別容易被破解或猜測的“口令”“密碼”通常稱為弱口令、弱密碼。弱口令的危害性太大了，對于實體銀行卡被盜，弱口令被猜測，損失大量的錢財；如果是社交工具的弱口令被猜測到，會造成賬號損失、或利用其賬號做出違反法律、法規的行為［1］。

為了避免口令設置得過于簡單或易于破解，而使得非法入侵者獲取合法用戶的口令密碼，本文詳盡介紹了多種弱口令檢測技術及其相應的實現方式，以提高各個領域行業口令、密碼設置的安全性。

1 弱口令檢測技術

1.1 基于暴力破解的弱口令檢測技術

通過利用大量猜測和窮舉的方式來嘗試獲取用戶口令的攻擊方式［2］，具體的流程是用事先收集好的數據集成一個字典，然后用字典不斷進行枚舉，然后使用該口令字典中的口令逐個嘗試，直到認證成功。但它的成功取決于事先收集好的預定義數據的集合，如果它越大，就會需要更多時間，但成功的可能性也會變大。針對不同的協議，常見的暴力破解的工具有Aircrack-NG暴力破解工具、John the Ripper暴力破解工具、Rainbow Crack暴力破解工具、Cain&Able暴力破解工具、L0pht?crack 暴力破解工具、Ophcrack 暴力破解工具、Hashcat暴力破解工具、SAMInside暴力破解工具、DaveGrohl暴力破解工具、Ncrack 暴力破解工具、THC Hydra 暴力破解工具。

1.2 基于復雜度規則的弱口令檢測技術

通過設置復雜度規則，判斷待檢測口令是否符合復雜度規則，并基于所述判斷結果來確定待檢測口令是否為弱口令［3］。常見的復雜度規則為口令長度規則、大寫、小寫或數字規則、重復字符規則等。由于在設置登錄口令時，口令長度較短的口令、或使用均是大寫、均是小寫、均是阿拉伯數字、或使用重復的字符來構造的口令更容易被黑客猜測出，進而造成口令泄露的損失，因此，在弱口令檢測過程中，可以通過判斷設置的口令長度是否長于長度閾值，判斷組成口令的字符是否均為大寫、或均為小寫、或均為阿拉伯數字，判斷設置的口令包含的重復字符的比率是否大于一定閾值，進而判斷口令是否為弱口令，例如，專利申請CN 201610182053.9 中就提出了上述基于口令長度、大小寫、阿拉伯數字及重復字符數，來判斷登錄口令是否為弱口令的弱口令檢測方式。

在基于復雜度規則的檢測方式中，檢測準確率的高低主要取決于復雜度規則制定，因此，如何制定合適的復雜度規則成為該弱口令檢測技術的關鍵技術問題，例如，在基于口令長度來判斷弱口令時，口令長度閾值的設定是檢測準確率的關鍵點，在制定復雜度規則制度時，可以基于歷史經驗來進行設定，也可以根據應用領域、應用場景等來確定特定領域、場景下的復雜度規則。比較典型的是弱口令檢測規則制定方法是根據經驗設定弱口令檢測規則，但使用這種方法設置的弱口令檢測規則不夠準確且不夠全面。因此，在專利申請文件CN 201511029724.X 中提出來一種基于已有弱口令來獲取弱口令的構成規則的方式，其通過分析已有的弱口令集合中包含的弱口令，獲取弱口令組成規則，將該規則設置為弱口令復雜度檢測規則，該方法能夠實時地更新弱口令檢測規則，提高弱口令檢測規則設置的精確度及全面性。

1.3 基于弱口令庫的弱口令檢測技術

基于弱口令庫的檢測技術具體為設置包含現有弱口令的弱口令庫，通過待檢測口令與弱口令庫直接進行匹配，若在弱口令庫中存在待檢測口令時，則待檢測口令為弱口令，否則，待檢測口令為強口令。基于弱口令庫的檢測技術還包括針對待檢測弱口令進行某種變換，或對弱口令庫進行某種變換，利用變換后的待檢測口令與弱口令庫或利用待檢測口令與變換后的弱口令庫進行匹配，以判斷待檢測口令是否為弱口令。例如，在專利申請文件CN 201811173736.3 中采用了如下弱口令檢測方式：獲取至少一條待校驗的密文校驗信息，其中，任一條所述密文校驗信息對應一個用戶賬號，包括所述用戶賬號的加密信息、salt隨機字符串、第一密文，所述第一密文為通過所述加密信息所標識的加密算法對所述salt 隨機字符串和所述用戶賬號的口令進行加密得到，對salt隨機字符串和預設的弱口令字典中的弱口令進行相同處理，得到第二密文；確定所得到的第二密文中，是否存在與所述待校驗的密文校驗信息中的第一密文相同的第二密文；若存在，則確定所述待校驗的密文校驗信息對應的用戶賬號的口令為弱口令。

在基于弱口令庫的弱口令檢測技術中，檢測成功率取決于弱口令庫的全面性，弱口令庫覆蓋越全面，其檢測準確性越高，否則，其檢測準確率越低，因此，在基于弱口令庫的弱口令檢測技術中，如何設置更全面、更精準的弱口令庫是用該令檢測技術的關鍵。在生成弱口令庫的過程中，常見的方式主要有以下幾種。

（1）基于常見的弱口令組成弱口令庫，例如，在專利申請文件CN 201811173736.3中，將待校驗的密文校驗信息對應的用戶賬號與預設的字符串進行組合，得到針對所述用戶賬號的弱口令集合；將預設常規弱口令及上述方式得到的弱口令集合，共同構成弱口令字典。

（2）利用其他弱口令檢測技術檢測出的弱口令組成弱口令庫，例如，在專利申請文件CN 201511029724.X中記載了通過將弱口令檢測方式檢測出的弱口令加入弱口令字典，以更新弱口令字典。

（3）通過機器學習的方式使用歷史弱口令來生成新的弱口令庫，例如，在專利申請文件CN 201810026703.X中記載了一種基于深度學習算法的口令字典生成方法，其記載了如下幾項：搜集常用口令字典樣本，對所述口令字典樣本進行排序，排序結果為非重復的口令及對應口令出現的次數，對于出現兩次及以上的口令進行去重操作；將上述排序及去重后的口令序列建立序貫模型，生成實例；按照實例流經模型時處理的順序，將實例添加到網絡層，并配置網絡層的各個參數、設置優化器及損失函數參數，進行模型訓練過程；通過分析口令樣本文件特征，確定神經元間連接權值，生成權值文件；對訓練后的模型進行性能評估，確定訓練達到預期效果；加載權值文件，進行模型評估，輸出新的字典文件。

在基于弱口令庫的弱口令檢測技術中，由于弱口令庫的數據通常龐大，在進行搜索匹配時，速度較慢，這成為限制基于弱口令庫的弱口令檢測技術發展的障礙。因此，快速搜索匹配也是該技術需要研究的關鍵技術之一，例如，目前比較常見的快速搜索查找為多線程與二分查找法相結合的方式［4］。

1.4 基于頻次的弱口令檢測技術

基于頻次的弱口令檢測技術具體為通過待測弱口令在系統中重復出現的次數來確定其是否為弱口令，其重復出現的次數越多，被猜測出的概率越大，進而為弱口令的概率越大。例如，專利申請文件CN 201910907337.3中記載了對待檢測口令出現的次數進行計數，根據計數值與弱口令概率之間的關聯關系，確定該待檢測口令為弱口令的概率。通常計數值越大，即該待檢測口令出現的次數越多，為弱口令的概率越大。

1.5 基于機器學習的弱口令檢測技術

基于機器學習的弱口令檢測技術具體為將待檢測口令輸入機器學習模型，即可輸出該待檢測口令為弱口令或強口令［5-6］。在基于機器學習的弱口令檢測技術中，基本分為兩個步驟：一是利用訓練樣本訓練機器學習模型參數；二是將待檢測口令輸入機器學習模型，獲取對應的強弱結果輸出。例如，在專利申請文件中CN 202010862802 中提出了一種基于機器學習的弱口令檢測技術，在該技術中，其通過獲取訓練樣本集及其對應的強弱標簽，將訓練樣本集作為輸入信息，以其對應的強弱標簽作為監督，輸入到弱口令檢測模型，以訓練弱口令檢測模型中的參數。在訓練完成后，獲取待檢測密碼，將其作為輸入信息輸入到弱口令檢測模型進行處理，得到該待檢測密碼對應的強弱標簽。

在專利申請文件CN 201910433513.4 中提出了預先采集的密碼樣本，該密碼樣本對應的總評分值樣本、該密碼樣本對應的密碼強度總權重樣本及該密碼樣本對應的密碼強度樣本生成模糊控制器，對待檢測密碼進行分析，獲得該待檢測密碼對應的總評分、密碼強度總權重，將上述獲得的總評分及密碼強度總權重輸入至生成的模糊控制器，由模糊控制器對輸入的數據進行計算得到該待檢測密碼對應的密碼強度。

1.6 基于安全等級的弱口令檢測技術

基于安全等級的弱口令檢測技術具體為對待檢測口令進行分析，得到其安全或風險等級，繼而確定該待檢測口令是強口令還是弱口令。例如，在專利申請文件CN 202110873223.9 中提出了獲取包含多個有序字符的待檢測密碼，基于所述有序字符，從預設的多個密碼風險條件中選擇待檢測密碼滿足的目標密碼風險條件；基于選擇的目標密碼風險條件相應的風險值，計算對應于所述待檢測密碼的風險系數；判斷所述風險系數是否大于一定閾值，在肯定的情況下，判斷所述待檢測密碼的強度為弱密碼。

1.7 基于組合的弱口令檢測技術

所謂基于組合的弱口令檢測技術，即將上述幾種弱口令檢測技術綜合使用，可以將基于復雜度規則的弱口令檢測技術與基于弱口令庫的弱口令檢測技術結合。例如，基于復雜度規則檢測出弱口令，更新弱口令庫，更新后的弱口令庫可以進一步用于檢測弱口令；還可以將基于弱口令庫的弱口令檢測技術與基于機器學習的弱口令檢測技術相結合。另外，可以利用弱口令庫訓練機器學習模型，然后利用訓練模型檢測出的弱口令添加至弱口令庫以進行更新弱口令庫；還可以將基于安全等級的弱口令檢測技術與基于機器學習的弱口令檢測技術相結合等。

2 結語

本文中列舉的各種弱口令檢測技術均還存在一定的缺陷，如基于弱口令庫的弱口令檢測技術對弱口令庫的全面覆蓋率要求較高；基于復雜度規則的弱口令檢測技術對于復雜度規則的制定要求較高，需要較強的經驗知識；基于機器學習的弱口令檢測技術對于訓練樣本的選擇要求較高等。因此，在后續的弱口令檢測技術研究中，應針對如何提高弱口令檢測技術的速度、簡易性及減少對歷史數據的依賴性方面進一步研究，提出更加智能的弱口令檢測技術。