基于社会工程学探讨密码破解问题与有效设置保管方法

3.0 闻远设计 2023-05-19 95 5 29.01KB 8 页 免费
侵权投诉
基于社会工程学探讨密码破解问题与有效设置
保管方法
摘要: “ ”随着互联网各平台相继以形式化手段 禁止 设置弱口令,令不法分子暴力破解密码的难
度再度升级。因各平台密码的要求并非统一,加剧了用户进行密码设置和记忆的难度;但若降
“ ”低记忆难度,范用一个 健壮 密码,则会导致撞库风险的存在。本文从社会工程学的角度分析
密码破解问题,进而分析目前密码设置所面临的风险和密码保管的困境。提出基于场景、树状
结构、编码和扩散混淆的四种密码设置方法,并研究出一套自建密码设置模型和二次处理加记
录的密码保管方法。
    关键词:社会工程学; 密码; 暴力破解;
Research on the setting and keeping of personal password from the perspective of social engineering
ZHANG Shuo WU Xia
School of Cyber Security and Information Law,Chongqing University of Posts and
Telecommunications
  AbstractAs various platforms on the Internet successively " forbid" setting weak passwords by
formal means,the difficulty of violent cracking of passwords by criminals has once again escalated.
Because the password requirements of each platform are not uniform,it makes it more difficult for
users to set and remember passwords. However,if the difficulty of memory is reduced,using a " robust"
password will lead to the risk of colliding with the library. Now we analyze the problem of password
cracking from the perspective of social engineering,and then analyze the risks faced by the current
password setting and the dilemma of password storage. Four password setting methods based on
scene,tree structure,encoding and diffusion ambiguity are proposed,and a selfbuilt password setting
model and a password storage method of secondary processing record are developed.
    0 引言
在日常生活中,每个人都会面对诸多(例如购物、学术、考试、聊天、娱乐、办公等系统或平
)的密码进行设置和记忆。从学童的密码文具盒到银行中的保险柜,从手机屏幕锁到办公系
统的登录,处处需要密码,密码的重要性不言而喻。如果个人密码遭到破解,轻则个人信息被
泄露或被盗用,重则导致个人财产损失甚至企业的安全事故[1]
对于密码的设置是方法论的问题,其趋同于 网络协议(在计算机网络中双方实现通信,必须遵
循一些事先制定好的规则和标准;这些为进行数据交换而建立的规则、语义或标准称为网络协
)[2]”。一般而言,日常遇到的密码(只考虑密码构成,暂不考虑密码长度)有纯数字组合、混
“ ”合字符组合和全字符组合,且在设置密码的时候应避开 弱口令 。综合而言,无论是密码的设
置还是保管都是一个较为棘手的事情。
    1 研究前提
1.1 研究对象之密码的
“ ”密码在中文是 口令 (password)的通称[3] “ 。 密码 一语语意上分析是指秘密的码。
密码从无到有发展至现在,其包含了二种语义:
(1)密码学中所的密码(密码);
(2)日常生活中的密码(口令)
1.1.1 密码学中的密码
几千年前密码以行帮暗语和文字猜谜的方式使用,后来将密码应用到战争当中,用来传递
“ ”事信息,密码发挥关键性的用。随着历史发展,对于 密码 的研究,逐渐演变为密码
学,其目的通信双方能够在一个不安全的信道上进行保密通信[4]。密码学研究的是密码
编码和破方法,通研究密码化的客观其应用于编制密码,实现保密通
信的术被称为编码学;研究密码化的客观,并其应用于破密码,实现获取
信信息的术被称为破学。编码学和破学统称为密码学[5]。密码学中的密码,是通信双
按约定的法则进行信息特殊变换的一种重要保密手段。依照这些法则,将明换为密文,
称为加密;密文换为文,称为解密[6]
1.1.2 本文研究的密码
“ ”本文研究的 密码 ,的用户开设登录系统的字符或称为口令,密码的使用是进行
“ ” “ ”身份认证。用户对密码的设置,要是为了用户对所拥 资源 掌控, 密码 则是资源
。对于密码的设置,据学的统计情况见表 1[7]
由表 1可见,密码设置无外乎包括4个方面:
(1)用户自的信息;
(2)平台(系统/)的信息;
(3)自定义的特殊规则;
(4)三者的组合。
1 密码内容统计[7]
1.2 研究
1.2.1 社会工程学视野下的密码破解
社会工程学包含两层含义,广义的义是用社会中的各个方面要决复杂问题的方法
; “ ” 义的义则是对互联网领域中 安全 的一种攻击手段。广义的 社会工程学 是建立理论
并通过利用自的、社会的和制度途径来逐步各种复杂的社会问题[8] “义的 社会
工程学 是一种受害者理弱、本能反应、好奇心、信贪婪陷阱,实
欺骗伤害危害的方法。密码中的社会工程学(攻击)是一种上述心陷阱获取用户个
人信息、系统/平台信息、用户的/规则等信息的攻击方法[9]。社会工程学于非统的信
息安全范,随着网络术、产服务的日趋成攻击手段难以快速实现,时社会
工程学攻击对于攻击者来说凸显重要,而对于防御者来说更要重[10]
对于社会工程学的应用如1[11]对本研究而言,仅涉及信息收集获取和密码破解
击两术,两者相互交发展。信息收集获取,是将收集的信息进行分析,以
暴力破解密码;密码破解攻击,则会被再次收集更多的信息;两者相互依赖共存。社会工
程学中的信息收集分析,对密码的安全设置具有较的安全威胁。因,本研究从社会工程学
“ ”去思考密码 数据 的来源,分析用户可能设置的密码。使上述方法进行密码破解攻击
再进行密码设置和保管的析,以提出合理的方进行设置和保管。
1 基于社会工程学的网络安全术应用[11]
1.2.2 密码的使用场景
为了地把握定密码的用的场景,从物理设虚拟系统设置密码的二个角度分析,
密码的使用存有 3种情:
(1)纯物理介质/的设使用的密码。例如统密码锁、保险柜等;
(2) “ ”物理介质和 系统 相结合/混合所使用的密码。例如校园卡系统、禁系统、银行系统以
个人子设(例如手机、电脑);
(3)虚拟系统/网络空间中所使用的密码。例如邮箱时通信账号、娱乐系统账号
商务不常用的网和应用服务等。
,为了地把握定密码的用场合,可将前二种合并,从现实生活和网络空间
(系统)使用的密码二种情进行分析。
1.2.3 密码设置的分
网络时,密码的使充满了生活的方方面面。通对密码进行分设置,便可效地
“ ”对 撞库 风险,要想很好的对密码掌控,有必要在不同的应用场景中对密码设置的方法进行分
(1)空间的角度分析,现实生活中的密码(纯物理介质及其同系统相结合)和网络空间(纯系
)中的密码分开设置;
(2)资金的角度分析,将涉财事密码和非财密码分开设置;
(3)业角度分析,办公事密码和生活应用密码分开设置;
(4)从密码场景的重要性分析,不同级的密码(复杂)分级设置;
(5)从平台要求密码的简易程度的角度分,不同长度、不同要求的密码分开设置。
1.2.4 密码设置的挑战
1.2.4. 1 弱口令
弱口令(weak password)严格和准的定义,通常容易被人猜测到或被破解工具破解的
口令为弱口令[12]。通常弱口令包含 3种情:
(1)个人信息弱口令,例如身份证后 6、生日日、手机门牌号车牌号;
(2)统弱口令,例如 123456admin、平台称等;
(3)上述个人信息弱口令和统弱口令的交排列和组合等方法形成的密码字符,例如
zhangsan8881996admin 等。
1.2.4. 2 暴力破解
暴力破解(exhaustive attack) 或称为 穷举法 ,是一种对密码的破方法,即将密码进行
真正的密码为止[13] “ ”。暴力破解依赖于 字,字典内含二种数据:
(1)弱口令数据;
(2)纯暴力数据。
纯暴力数据是,从 1N数据,每一位可由数字、字符(包括大小写)特殊等构
成,用户无联性。纯暴力数据,常规手段是先生成 6的数字进行暴力试,再
需要生成其数据。在暴力破解中,弱口令成概率远大于纯暴力数据。
1.2.4. 3 撞库
撞库,即黑客过收集上已泄露的用户和密码信息,批量登录其到一系
以登录的用户账号[14]。通而言,撞库过已知的一个平台的账号和密码,该账号
摘要:

基于社会工程学探讨密码破解问题与有效设置保管方法摘要:“”随着互联网各平台相继以形式化手段禁止设置弱口令,令不法分子暴力破解密码的难度再度升级。因各平台密码的要求并非统一,加剧了用户进行密码设置和记忆的难度;但若降“”低记忆难度,范用一个健壮密码,则会导致撞库风险的存在。本文从社会工程学的角度分析密码破解问题,进而分析目前密码设置所面临的风险和密码保管的困境。提出基于场景、树状结构、编码和扩散混淆的四种密码设置方法,并研究出一套自建密码设置模型和二次处理加记录的密码保管方法。  关键词:社会工程学;密码;暴力破解;Researchonthesettingandkeepingofpersonal...

展开>> 收起<<
基于社会工程学探讨密码破解问题与有效设置保管方法.docx

共8页,预览3页

还剩页未读, 继续阅读

作者:闻远设计 分类:非标机械电气自动化 价格:免费 属性:8 页 大小:29.01KB 格式:DOCX 时间:2023-05-19

开通VIP享超值会员特权

  • 多端同步记录
  • 高速下载文档
  • 免费文档工具
  • 分享文档赚钱
  • 每日登录抽奖
  • 优质衍生服务
/ 8
客服
关注