本发明专利技术公开了一种基于个人识别信息的口令强度评测方法,包括:当用户在注册网站服务时,收集用于用户口令构建的个人信息的影响因子字段;分别对影响因子字段进行分类及对影响因子字段按照实际变换形式进行标签化处理;当用户录入口令时,根据已提取收集的用户信息影响因子,计算出当前用户构建口令中影响因子字段包含个人信息的覆盖度值,并将该覆盖值结合传统启发式和模式检测方法计算出口令强度值,目标网站选择接受口令中所允许包含个人识别信息的最大阈值作为口令强度的接受度量指标。本发明专利技术首次提出加入个人识别信息度量因子的口令强度评测方法。该方法具有即时有效反馈口令强度值、影响因子即插即用以及容易选择等特性,帮助用户选择安全度更高的口令。
【技术实现步骤摘要】
一种基于个人信息的口令强度评测方法
本专利技术属于信息安全的
,特别涉及一种基于个人信息的用户口令强度评测方法。
技术介绍
随着互联网的发展以及信息化进程的不断推进,个人的日常生活不断网络化,资产不断数字化,身份认证已经成为保障用户信息安全的基本手段。由于文本口令简单易用、成本低、易部署的特性,已逐渐成为在确保信息系统安全中,应用最为广泛的身份认证方式。但同时由于用户便于可记忆性的需求,口令并非实际意义上的随机字符组成,而是与用户行为的内在动机和外在环境直接相关。因此,用户在构建口令时往往选择简单但便于记忆的弱口令,这样会容易导致被不法分子暴力破解和字典攻击。为了能提供及时将口令强度结果反馈给用户,主流互联网服务提供商都会在用户注册网站服务或修改口令时,强行执行口令强度评测(PasswordStrengthMetric,简称PSM,下同)去帮助用户选择和提高构建的口令强度。目前绝大多数主流网站的口令强度评测器设计是基于启发式的,且没有投入足够的努力进行针对性的优化,向用户反馈的口令强度结果不一致,常常与其它网站评测结果存在冲突,不可避免的造成用户困惑、挫败感和误解。根据底层设计思路的不同,可以将这些口令强度评测器分为基于规则、基于模式检验、基于攻击算法这三类。基于规则的PSM方法主要是依据长度和包含字符类型而定,当前在主流网站上应用的口令强度评价方法绝大多数为基于规则的方法,典型的代表有美国国家标准与技术研究院PSM(NationalInstituteofStandardsandTechnologyPSM,简称NIST-PSM)。基于模式检验的PSM方法主要目标是检测口令的各个子段所属的构造模式(如键盘顺序、首字母大小写、顺序字符模式),接着,对发现的各个模式赋予相应的分数,然后将口令的所有模式的分数加和,即为口令强度值,典型代表有Zxcvbn。基于攻击算法的PSM方法主要是基于目前先进的口令攻击算法对给定的口令进行攻击,依据攻击的难易程度(如破解所需的猜测次数以及破解所需的时间维度)进行强弱判定。典型的代表有PCFG-basedPSM和Markov-basedPSM。随着互联网服务不间断地爆发用户信息及口令泄露事件,以及基于对用户脆弱性行为的更深入研究,发现互联网用户在构建口令时往往倾向于混合个人信息以便于记忆。通过对现实生活中既有泄露数据集的分析可以发现,用户构建口令时往往会受到个人母语偏好、姓名、生日等因素的影响。与此同时,如果攻击者在了解这些用户构建口令行为的情况下,具有针对性的进行口令猜测攻击,即使用基于用户个人信息的定向口令猜测攻击,将大大增加用户信息泄露和个人资产损失的风险。目前的主流口令强度评测器还无法针对此种情形弱口令给出准确的评测结果。
技术实现思路
本专利技术的目的在于克服现有技术方法的缺点与不足,在传统口令强度评测方法的基础上,提供一种基于个人识别信息的口令强度评测方法,该方法在继承了基于上下文概率无关文法的基础上,首次提出加入个人信息分类标签化处理,可以方便准确的检测出口令中包含的个人信息以及隐藏的不同变化形式,网站服务提供商还可以极为容易的加入其他考量因素,个人识别信息的获取不仅可以来源于用户的输入,还可以通过网站爬虫、跨站信息利用、泄露数据集等其他各种方式获取,可以很好的抵御了基于定向的口令猜测攻击,该专利技术可以结合传统基于规则及基于启发式的方法,同时在口令的长度、字符组成、键盘模式、常用弱口令表等方面进行考察,帮助用户选择安全度更高的口令。个人信息收集阶段:当用户在注册网站服务时,收集用于用户口令构建的个人信息的影响因子字段;分类标签化处理阶段:分别对所述影响因子字段进行分类及对所述影响因子字段按照实际变换形式进行标签化处理;口令强度值计算阶段:当用户录入口令时,根据已提取收集的用户信息影响因子,计算出当前用户构建口令中影响因子字段包含个人信息的覆盖度值,并将该覆盖值结合传统启发式或模式检测方法计算出口令强度值,比如:用户口令的长度、影响因子构成、类型组合等因素。目标网站选择接受口令中所允许包含个人识别信息的最大阈值作为口令强度的接受度量指标。其中,所述影响因子字段的收集手段包含直接提取方式和间接提取方式;所述直接提取方式是用户在注册网站服务时输入的用于口令构建的信息,包括直接用于口令构建的用户姓名、生日、电话号码、身份证号码、注册用户名、注册邮箱地址,和间接用于口令构建的母语偏好、性别、年龄,网站名称;所述间接提取方式获取的用户相关信息包括网站爬虫、已有的泄露数据集、跨站用户信息利用。其中,所述分类标签化处理阶段包括如下步骤:b1.本专利技术基于上下文概率无关文法处理思路,对所述的口令构建影响因子字段进行分类为字母段L、数字段D、特殊字符段S。上下文概率无关文法算法核心假设口令的字母段L、数字段D和特殊字符段S是相互独立的,且在分析口令时根据这三种字符类型进行切分。并对已有的口令数据集进行统计分析训练,得到各种模式的频率和模式中各字符组件的频率表,这是目前在口令分析中比较常用的处理方法和思路。b2.对分类以后的影响因子字段,根据影响因子在实际口令构建过程中具体的变化模式进一步进行相对应的标签化定义。如用户姓名影响因子分类对应为字母段L,并且标签为N1~N6,N1表示用户姓名的全拼,N2表示用户姓名的首字母缩写,N3表示用户姓名的姓字段字母,N4表示用户姓名的名字段字母,N5表示用户姓名的姓全称字段和名缩写字段的字母,N6表示用户姓名的名全称字段和姓缩写字段的字母;用户生日影响因子分类对应为数字段D,并且标签为B1~B10,B1表示生日的年月日(Y.M.D)数据部分的组合格式,B2表示生日的月日年(M.D.Y)数据部分的组合格式,B3表示生日的日月年(D.M.Y)数据部分的组合格式,B4表示生日中的日份(D)数据部分的组合格式,B5表示生日中的月份(M)数据部分的组合格式,B6表示生日中的月份和日份(M.D)数据部分的组合格式,B7表示生日中的年份和月份(Y.M)数据部分的组合格式,B8表示生日中的年份后两位加上月份和日份(Y1/2.M.D)数据部分的组合格式,B9表示生日中的月份和日份加上年份后两位(M.D.Y1/2)数据部分的组合格式,B10表示生日中的月份和年份(M.Y)数据部分的组合格式。其中,所述口令强度值计算阶段包括如下步骤:c1.用户在目标网站输入构建的个人口令时,提取输入的口令字符用于步骤c2;c2.口令强度计算过程中接受c1步骤中提取的口令字符以及与标签化处理以后的影响因子字段进行计算,得出口令中包含个人信息的覆盖度值。c3.根据目标网站设置的口令中所允许包含个人识别信息的最大阈值,对于c2步骤中覆盖度值低于或高于设置最大阈值的口令选择接受或拒绝,以此作为基于个人信息口令强度评价的指标。本专利技术相对于现有技术具有如下的优点和效果:(1)抵抗定向的口令猜测:目前主流的口令强度评测器无法抵制定向的口令猜测攻击,即攻击者针对特定用户,利用事先收集的用户信息和构造口令的行为偏好去形成猜测攻击,该专利技术首次基于注册时的个人信息以及其他方式获取的个人信息,综合目前主流PSM设计模式给出一种简单易用的口令强度评测工具,可以很好的指导用户尽可能少的选择包含个人信息的口令本文档来自技高网...
【技术保护点】
一种基于个人识别信息的口令强度评测方法,其特征在于,包括如下阶段:个人信息收集阶段:当用户在注册网站服务时,收集用于用户口令构建的个人信息的影响因子字段;分类标签化处理阶段:分别对所述影响因子字段进行分类及对所述影响因子字段按照实际变换形式进行标签化处理;口令强度值计算阶段:当用户录入口令时,根据已提取收集的用户信息影响因子,计算出当前用户构建口令中影响因子字段包含个人信息的覆盖度值,并将该覆盖度值与启发式检测方法或模式检测方法相结合计算出口令强度值。
【技术特征摘要】
1.一种基于个人识别信息的口令强度评测方法,其特征在于,包括如下阶段:个人信息收集阶段:当用户在注册网站服务时,收集用于用户口令构建的个人信息的影响因子字段;分类标签化处理阶段:分别对所述影响因子字段进行分类及对所述影响因子字段按照实际变换形式进行标签化处理;口令强度值计算阶段:当用户录入口令时,根据已提取收集的用户信息影响因子,计算出当前用户构建口令中影响因子字段包含个人信息的覆盖度值,并将该覆盖度值与启发式检测方法或模式检测方法相结合计算出口令强度值。2.根据权利要求1所述的口令强度评测方法,其特征在于,所述影响因子字段的收集手段包含直接提取方式和间接提取方式;所述直接提取方式是用户在注册网站服务时输入的用于口令构建的信息,包括直接用于口令构建的用户姓名、生日、电话号码、身份证号码、注册用户名、注册邮箱地址等等,和间接用于口令构建的母语偏好、性别、年龄、网站名称等等;所述间接提取方式获取的用户相关信息包括网站爬虫、已有的泄露数据集、跨站用户信息利用等等。3.根据权利要求2所述的口令强度评测方法,其特征在于,所述影响因子字段包括主要影响因子和次要影响因子;所述主要影响因子是指用户个人信息字段被广泛用于个人口令构建的组成部分;所述次要影响因子是指由于不同注册网站服务存在差异性,而部分影响用户口令构建的信息字段。4.根据权利要求1所述的口令强度评测方法,其特征在于,所述分类标签化处理阶段包括如下步骤:b1.基于口令分析处理方法,对所述影响因子字段进行分类为字母段L、数字段D、特殊字符段S;b2.对分类以后的影响因子字段,根据影响因子在实际用户口令构建过程中具体的变化模式进一步进行相对应的标签化定义。5.根据权利要求4所述的口令强度评测方法,其特征在于,所述口令强度值计算阶段包括如下步骤:c1.用户在目标网站输入个人口令时,提取输入的口令字符;c2.口令强度计算过程中...
【专利技术属性】
技术研发人员:何道敬,叶冉,
申请(专利权)人:华东师范大学,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。