Skip to main content
QUICK REVIEW

[論文レビュー] Password Cracking: The Effect of Bias on the Average Guesswork of Hash Functions.

Yair Yona, Suhas Diggavi|arXiv (Cornell University)|Aug 6, 2016
Advanced Malware Detection Techniques参考文献 26被引用数 1
ひとこと要約

この論文は、パスワードのバイアスとハッシュ関数の設計がパスワードクレーマーにおける平均的推測回数に与える影響を分析し、バイアスのあるパスワードと適応的ハッシュ関数が推測回数を顕著に増加させることを示している。オフラインおよびオンライン攻撃下での推測回数の成長に対するきつい境界を導出し、ユーザー数の増加がパスワードバイアスの影響よりもはるかに深刻であることが明らかになった。また、推測回数を増加させることなくセキュリティを強化するバックドア機構を提案している。

ABSTRACT

In this work we analyze the average guesswork for the problem of hashed passwords cracking (i.e., finding a password that has the same hash value as the actual password). We focus on the following two cases: Averaging over all strategies of guessing passwords one by one for any hash function that has effective distribution (i.e., the fraction of mappings to any bin) which is i.i.d. Bernoulli(p), and averaging over all hash functions whose effective distribution is i.i.d. Bernoulli(p) for any strategy of guessing passwords one by one. For the case where the hash function is adaptively modified based on the passwords of the users we first find the average guesswork across users when the number of bins is 2 and the number of users equals ⌊2H(s)·m−1⌋, where 1/2 ≤ s ≤ 1 and m ≫ 1. It turns out that the average guesswork increases (as a function of m) at rate that is equal to H (s)+D (s||p) when (1− p) ≤ s ≤ 1, and 2 ·H (p)+D (1− p||p)−H (s) when 1/2 ≤ s ≤ (1− p). We then show that the average guesswork of guessing a password that is mapped to any of the assigned bins (an offline attack) grows like 2. We also analyze the effect of choosing biased passwords on the average guesswork and characterize the region in which the average guesswork is dominated by the guesswork of a password as well as the region in which the average guesswork is dominated by the above results. Moreover, we provide a concentration result that shows that the probability mass function of the guesswork is concentrated around its mean value. We also analyze the more prevalent case in which hash functions can not be modified based on the passwords of the users (i.e., users are mapped to bins randomly). We derive a lower and an upper bounds for the average guesswork both under offline and online attacks and show that the rate at which it increases under offline attacks is upper bounded by D (s||p), and lower bounded by D (1− s||p) when 1− p ≤ s ≤ 1 as well as 0 for 1/2 ≤ s ≤ 1− p, whereas under an online attack the rate is upper bounded by H (s) + D (s||p) when (1− p) ≤ s ≤ 1, and 2 · H (p) + D (1− p||p) − H (s) when 1/2 ≤ s ≤ (1− p), and lower bounded by H (s) + D (1− s||p). In addition, we show that the most likely average guesswork when passwords are drawn uniformly increases at rate H (p) − H (s) under an offline attack and at rate H (p) when cracking the password of any user. These results give quantifiable bounds for the effect of bias as well as the number of users on the average guesswork of a hash function, and show that increasing the number of users has a far worse effect than bias in terms of the average guesswork. Furthermore, we show that under online attacks the average guesswork is upper bounded by H (s) +D (s||p) when (1− p) ≤ s ≤ 1, and 2 · H (p) + D (1− p||p) − H (s) when 1/2 ≤ s ≤ (1− p), and lower bounded by H (s) +D (1− s||p) For keyed hash functions (i.e., strongly universal sets of hash functions) we show that when the number of users is ⌊2m−1⌋ and the hash function is adaptively modified based on the passwords of the users, the size of a uniform key required to achieve an average guesswork 2, α > 1, is α times larger than the size of a key that is drawn Bernoulli(p0) that achieves the same average guesswork, where p0 satisfies the equality 1+D (1/2||p0) = α. Finally, we present a “backdoor” procedure that enables to modify a hash function efficiently without compromising the average guesswork. This work relies on the observation that when the mappings (or the key) of a hash function are biased, and the passwords of the users are mapped to the least likely bins, the average guesswork increases significantly.

研究の動機と目的

  • パスワードバイアスとハッシュ関数設計がパスワードクレーマーにおける平均的推測回数に与える影響を定量化すること。
  • ユーザーのパスワードに基づいて変更される適応的ハッシュ関数が、ユーザー数の変動に伴い推測回数に与える影響をモデル化すること。
  • オフラインおよびオンライン攻撃の両方における平均的推測回数の理論的境界を確立し、一様分布とバイアス付きパスワード分布の違いを区別すること。
  • 鍵付きハッシュ関数(強くユニバーサルな集合)が推測回数に与える役割を調査し、所望のセキュリティレベルを達成するための鍵サイズ要件を導出すること。
  • 鍵サイズを増加させず、セキュリティを損なわず、バイアス付きマッピングを活用して最も確率が低いバケットにパスワードをマッピングすることで推測回数を増加させるバックドア機構を開発すること。

提案手法

  • 効果的なハッシュ関数の挙動をモデル化し、平均的推測回数を戦略ごとに分析するために、i.i.d. ベルヌーイ(p)分布を用いる。
  • 相対エントロピー D(·||·) およびエントロピー H(·) を含む情報理論的ツールを用い、推測回数の成長率の境界を導出する。
  • 2つの攻撃モデルを分析する:オフライン(攻撃者がハッシュ値を完全にアクセス可能)およびオンライン(攻撃者が1回ずつパスワードを照会)。
  • 推測回数の確率質量関数がその平均値のまわりにきつく集中していることを示す集中結果を導出する。
  • パスワードを最も確率が低いバケットにマッピングすることで、ハッシュ関数を効率的に変更する「バックドア」手順を導入する。これにより、鍵サイズを変更せずに推測回数を増加できる。
  • 目標とする推測回数レベルを達成するための鍵サイズを比較するために、一様およびバイアス付きの鍵分布を用い、所望のセキュリティに対して乗法的要因 α を示す。

実験結果

リサーチクエスチョン

  • RQ1オフラインおよびオンライン攻撃モデル下で、パスワードバイアスは平均的推測回数にどのように影響するか?
  • RQ2ユーザー数が増加する際の平均的推測回数の増加率は何か? また、パスワードバイアスの影響と比較するとどうなるか?
  • RQ3ユーザーのパスワードに基づいて変更される適応的ハッシュ関数は、特にユーザーが最も確率が低いバケットにマッピングされる場合、平均的推測回数にどのように影響するか?
  • RQ4異なる攻撃モデル下での鍵付きハッシュ関数における平均的推測回数のきつい上界および下界は何か?
  • RQ5鍵サイズを増加させず、セキュリティを損なわず、推測回数を増加させるバックドア機構を設計できるか?

主な発見

  • オフライン攻撃下では、1−p ≤ s ≤ 1 のとき、平均的推測回数の成長率は D(s||p) で上界が抑えられ、1/2 ≤ s ≤ 1−p のとき 0 で下界が抑えられる。
  • オンライン攻撃下では、1−p ≤ s ≤ 1 のとき、平均的推測回数の成長率は H(s) + D(s||p) で上界が抑えられ、1/2 ≤ s ≤ 1−p のとき 2·H(p) + D(1−p||p) − H(s) で上界が抑えられる。
  • 一様に抽出されたパスワードの最も確率の高い平均的推測回数は、オフライン攻撃下で H(p) − H(s) のレートで増加し、任意のユーザーのパスワードをクレーマーする際には H(p) のレートで増加する。
  • ユーザー数が ⌊2H(s)·m−1⌋ のとき、1−p ≤ s ≤ 1 の場合、平均的推測回数の成長率は H(s) + D(s||p) となり、1/2 ≤ s ≤ 1−p の場合 2·H(p) + D(1−p||p) − H(s) となる。
  • ⌊2m−1⌋ ユーザーを持つ鍵付きハッシュ関数において、1 + D(1/2||p₀) = α を満たす Bernoulli(p₀) からの鍵を用いることで、鍵サイズが α 倍大きい一様鍵と同等の平均的推測回数を達成できる。
  • バックドア手順は、鍵や推測回数を変更せずに、ハッシュマッピングのバイアスを活用してパスワードを最も確率が低いバケットにマッピングすることで、効率的に推測回数を増加させることができる。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。