基于社会工程学探讨密码破解问题与有效设置保管方法
基于社会工程学探讨密码破解问题与有效设置
保管方法
摘要: “ ”随着互联网各平台相继以形式化手段 禁止 设置弱口令,令不法分子暴力破解密码的难
度再度升级。因各平台密码的要求并非统一,加剧了用户进行密码设置和记忆的难度;但若降
“ ”低记忆难度,范用一个 健壮 密码,则会导致撞库风险的存在。本文从社会工程学的角度分析
密码破解问题,进而分析目前密码设置所面临的风险和密码保管的困境。提出基于场景、树状
结构、编码和扩散混淆的四种密码设置方法,并研究出一套自建密码设置模型和二次处理加记
录的密码保管方法。
关键词:社会工程学; 密码; 暴力破解;
Research on the setting and keeping of personal password from the perspective of social engineering
ZHANG Shuo WU Xia
School of Cyber Security and Information Law,Chongqing University of Posts and
Telecommunications
Abstract:As various platforms on the Internet successively " forbid" setting weak passwords by
formal means,the difficulty of violent cracking of passwords by criminals has once again escalated.
Because the password requirements of each platform are not uniform,it makes it more difficult for
users to set and remember passwords. However,if the difficulty of memory is reduced,using a " robust"
password will lead to the risk of colliding with the library. Now we analyze the problem of password
cracking from the perspective of social engineering,and then analyze the risks faced by the current
password setting and the dilemma of password storage. Four password setting methods based on
scene,tree structure,encoding and diffusion ambiguity are proposed,and a selfbuilt password setting
model and a password storage method of secondary processing record are developed.
0 引言
在日常生活中,每个人都会面对诸多(例如购物、学术、考试、聊天、娱乐、办公等系统或平
台)的密码进行设置和记忆。从学童的密码文具盒到银行中的保险柜,从手机屏幕锁到办公系
统的登录,处处需要密码,密码的重要性不言而喻。如果个人密码遭到破解,轻则个人信息被
泄露或被盗用,重则导致个人财产损失甚至企业的安全事故[1]。
“对于密码的设置是方法论的问题,其趋同于 网络协议(在计算机网络中双方实现通信,必须遵
循一些事先制定好的规则和标准;这些为进行数据交换而建立的规则、语义或标准称为网络协
议)[2]”。一般而言,日常遇到的密码(只考虑密码构成,暂不考虑密码长度)有纯数字组合、混
“ ”合字符组合和全字符组合,且在设置密码的时候应避开 弱口令 。综合而言,无论是密码的设
置还是保管都是一个较为棘手的事情。
1 研究前提
1.1 研究对象之密码的界定
“ ”密码在中文里是 口令 (password)的通称[3] “ ”。 密码 一词从汉语语意上分析是指秘密的代码。
密码从无到有直到发展至现在,其包含了二种语义:
(1)密码学中所指的密码(密码体制);
(2)日常生活中的密码(口令)。
1.1.1 密码学中的密码
在几千年前密码就以行帮暗语和文字猜谜的方式使用,后来将密码应用到战争当中,用来传递
“ ”战事信息,密码发挥了关键性的作用。随着历史发展,对于 密码 的研究,逐渐演变为密码
学,其目的就是让通信双方能够在一个不安全的信道上进行保密通信[4]。密码学研究的是密码
编码和破译的技术与方法,通过研究密码变化的客观规律,将其应用于编制密码,实现保密通
信的技术被称为编码学;通过研究密码变化的客观规律,并将其应用于破译密码,实现获取通
信信息的技术被称为破译学。编码学和破译学统称为密码学[5]。密码学中的密码,是指通信双
方按约定的法则进行信息特殊变换的一种重要保密手段。依照这些法则,将明文变换为密文,
称为加密变换;将密文变换为明文,称为解密变换[6]。
1.1.2 本文研究的密码
“ ”本文研究的 密码 ,指的用户打开设备或者登录系统的字符串或称为口令,密码的使用是进行
“ ” “ ”身份的认证。用户对密码的设置,主要是为了用户对所拥 资源 的掌控, 密码 则是资源的钥
匙。对于密码的设置,根据学者的统计情况见表 1[7]。
由表 1可见,密码设置无外乎包括以下4个方面:
(1)与用户自身相关的信息;
(2)与平台(系统/设备)相关的信息;
(3)自定义的特殊规则;
(4)前三者的组合。
表1 密码内容统计表[7]
1.2 研究背景
1.2.1 社会工程学视野下的密码破解
社会工程学包含两层含义,广义的含义是利用社会中的各个方面要素,去解决复杂问题的方法
论; “ ” “ ”狭义的含义则是针对互联网领域中 安全 的一种攻击手段。广义的 社会工程学 是建立理论
并通过利用自然的、社会的和制度上的途径来逐步解决各种复杂的社会问题[8] “。狭义的 社会
”工程学 是一种针对受害者的心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱,实施诸
如欺骗、伤害等危害的方法。密码中的社会工程学(攻击)是一种利用上述心理陷阱获取用户个
人信息、系统/平台信息、用户的惯例/规则等信息的攻击方法[9]。社会工程学属于非传统的信
息安全范畴,随着网络技术、产品和服务的日趋成熟,很多攻击手段难以快速实现,此时社会
工程学攻击对于攻击者来说凸显重要,而对于防御者来说更要重视[10]。
对于社会工程学的应用如图1所示[11]。针对本研究而言,仅涉及信息收集获取和密码破解攻
击两个技术,两者相互交叉、递进发展。信息收集获取,是将收集的信息进行分析,以备用来
暴力破解密码;密码破解攻击之后,则又会被再次收集更多的信息;两者相互依赖共存。社会工
程学中的信息收集分析,对密码的安全设置具有较大的安全威胁。因此,本研究从社会工程学
“ ”视角去思考密码 数据 的来源,分析用户可能设置的密码。使用上述方法进行密码破解攻击,
再进行密码设置和保管的剖析,以提出合理的方案进行设置和保管。
图1 基于社会工程学的网络安全技术应用梳理[11]
1.2.2 密码的使用场景
为了更好地把握和界定密码的适用的场景,从物理设备和虚拟系统设置密码的二个角度分析,
密码的使用存有 3种情况:
(1)纯物理介质/机械的设备所使用的密码。例如传统密码锁、保险柜等;
(2) “ ”物理介质和 系统 相结合/混合所使用的密码。例如校园卡系统、门禁系统、银行卡系统以
及个人电子设备(例如手机、电脑)等;
(3)虚拟系统/网络空间中所使用的密码。例如电子邮箱、即时通信账号、娱乐系统账号、电子
商务以及不常用的网站和应用服务等。
综上所述,为了更好地把握和界定密码的适用场合,可将前二种合并,从现实生活和网络空间
(系统)中使用的密码二种情况进行分析。
1.2.3 密码设置的分类
网络时代,密码的使用充满了生活的方方面面。通过对密码进行分类设置,便可有效地应
“ ”对 撞库 风险,要想很好的对密码掌控,有必要在不同的应用场景中对密码设置的方法进行分
类。
(1)从空间的角度分析,将现实生活中的密码(即纯物理介质及其同系统相结合)和网络空间(纯系
统)中的密码分开设置;
(2)从资金的角度分析,将涉财事务密码和非财务事务密码分开设置;
(3)从职业角度分析,将办公事务密码和生活应用密码分开设置;
(4)从密码场景的重要性来分析,将不同级别的密码(以复杂度)分级设置;
(5)从平台要求密码的简易程度的角度来分,将不同长度、不同要求的密码分开设置。
1.2.4 密码设置的挑战
1.2.4. 1 弱口令
弱口令(weak password)没有严格和准确的定义,通常认为容易被人猜测到或被破解工具破解的
口令均为弱口令[12]。通常弱口令包含 3种情况:
(1)个人信息弱口令,例如身份证后 6位、生日日期、手机号、门牌号和车牌号等;
(2)传统弱口令,例如 123456、admin、平台名称等;
(3)上述个人信息弱口令和传统弱口令的交叉、排列和组合等方法形成的密码字符串,例如
zhangsan888、1996admin 等。
1.2.4. 2 暴力破解
暴力破解(exhaustive attack) “ ”或称为 穷举法 ,是一种针对密码的破译方法,即将密码进行逐个
推算直到找出真正的密码为止[13] “ ”。暴力破解依赖于 字典,字典内含二种数据:
(1)弱口令数据;
(2)纯暴力数据。
纯暴力数据是指,从 1位到N位数据,每一位可由数字、字符(包括大小写)或特殊符号等构
成,与用户无关联性。纯暴力数据,常规手段是先生成 6位以内的数字进行暴力测试,再根据
需要生成其他数据。在暴力破解中,弱口令成功的概率远大于纯暴力数据。
1.2.4. 3 撞库
撞库,即黑客通过收集网上已泄露的用户名和密码信息,尝试批量登录其他网站,得到一系列
可以登录的用户账号[14]。通俗而言,撞库即通过已知的一个平台的账号和密码,利用该账号
摘要:
展开>>
收起<<
基于社会工程学探讨密码破解问题与有效设置保管方法摘要:“”随着互联网各平台相继以形式化手段禁止设置弱口令,令不法分子暴力破解密码的难度再度升级。因各平台密码的要求并非统一,加剧了用户进行密码设置和记忆的难度;但若降“”低记忆难度,范用一个健壮密码,则会导致撞库风险的存在。本文从社会工程学的角度分析密码破解问题,进而分析目前密码设置所面临的风险和密码保管的困境。提出基于场景、树状结构、编码和扩散混淆的四种密码设置方法,并研究出一套自建密码设置模型和二次处理加记录的密码保管方法。 关键词:社会工程学;密码;暴力破解;Researchonthesettingandkeepingofpersonal...
相关推荐
-
探索分布式光纤测温传感器技术在粮库测温中的应用
2023-05-23 123 -
太阳能智能窗帘系统结构及软件设计
2023-05-23 83 -
试论中学思想品德课教学中的师生互动
2023-05-23 82 -
人工神经网络和元胞自动机数值仿真在金属防腐蚀中的运用
2023-05-23 101 -
延安市出租车市场运营管理中存在的问题及对策分析
2023-05-25 181 -
无人机技术论文(热点论文6篇)
2023-05-25 116 -
注塑模具设计毕业论文(优选6篇最新范文)
2023-05-27 241 -
智能小车毕业论文(独家整理6篇)
2023-05-27 799 -
智能窗帘论文(强烈推荐6篇)
2023-05-27 669 -
直流电机调速系统仿真设计
2023-05-27 88
作者:闻远设计
分类:非标机械电气自动化
价格:免费
属性:8 页
大小:29.01KB
格式:DOCX
时间:2023-05-19
作者详情
相关内容
-
基于PLC的煤炭移动配送控制系统设计-机械毕业设计文献综述
分类:课程设计课件资料
时间:2023-10-10
标签:设计
格式:DOCX
价格:10 光币
-
文献综述-数控机床的发展现状及及发展方向分析
分类:课程设计课件资料
时间:2024-06-19
标签:数控
格式:DOC
价格:10 光币
-
文献综述 多送丝机构-机械毕业设计资料
分类:课程设计课件资料
时间:2024-06-19
标签:设计
格式:DOCX
价格:15 光币
-
热疲劳试验平台设计-文献资料
分类:课程设计课件资料
时间:2024-06-19
标签:设计
格式:DOCX
价格:5 光币
-
根据图示条件,绘制墙身剖面图
分类:课程设计课件资料
时间:2024-07-01
标签:设计
格式:DOC
价格:15 光币
