Skip to main content
QUICK REVIEW

[논문 리뷰] When Privacy meets Security: Leveraging personal information for password cracking

Claude Castelluccia, Abdelberi Chaabane|arXiv (Cornell University)|2013. 04. 24.
User Authentication and Security Systems참고 문헌 8인용 수 55
한 줄 요약

이 논문은 개인 정보(예: 이름, 생일, 교육 이력 등)를 활용하여 추측 효율성을 향상시키는 마르코프 모델 기반 비밀번호 해독 도구인 OMEN+를 제안한다. 사용자 고유의 특성을 확률적 순위 매기기 프레임워크에 통합함으로써, OMEN+는 전체적으로 최대 5%의 비밀번호 해독 성공률 향상을 이끌었고, 개인 정보 기반 비밀번호의 경우 최대 30%까지 향상되었으며, 이러한 비밀번호가 상당히 약하고 피해야 할 것임을 입증한다.

ABSTRACT

Passwords are widely used for user authentication and, despite their weaknesses, will likely remain in use in the foreseeable future. Human-generated passwords typically have a rich structure, which makes them susceptible to guessing attacks. In this paper, we study the effectiveness of guessing attacks based on Markov models. Our contributions are two-fold. First, we propose a novel password cracker based on Markov models, which builds upon and extends ideas used by Narayanan and Shmatikov (CCS 2005). In extensive experiments we show that it can crack up to 69% of passwords at 10 billion guesses, more than all probabilistic password crackers we compared again t. Second, we systematically analyze the idea that additional personal information about a user helps in speeding up password guessing. We find that, on average and by carefully choosing parameters, we can guess up to 5% more passwords, especially when the number of attempts is low. Furthermore, we show that the gain can go up to 30% for passwords that are actually based on personal attributes. These passwords are clearly weaker and should be avoided. Our cracker could be used by an organization to detect and reject them. To the best of our knowledge, we are the first to systematically study the relationship between chosen passwords and users' personal information. We test and validate our results over a wide collection of leaked password databases.

연구 동기 및 목표

  • 마르코프 모델을 활용하여 기존의 확률 기반 도구보다 더 효과적인 비밀번호 해독 도구를 설계하기.
  • 사용자에 대한 개인 정보가 비밀번호 추측 효율을 상당히 향상시킬 수 있는지 조사하기.
  • 다양한 개인 정보 특성(예: 이름, 생일, 교육 이력 등)이 비밀번호 해독 성공에 미치는 영향을 체계적으로 평가하기.
  • 비밀번호 추측 과정에서 개인 힌트의 최적 가중치를 설정하는 파라미터 추정 방법을 개발하기.
  • 조직이 약한 개인 정보 기반 비밀번호를 탐지하고 거부할 수 있도록 실용적인 도구를 제공하기.

제안 방법

  • OMEN+는 첫 이름, 생일, 교육 이력 등의 사용자 고유 특성을 통합하여 마르코프 모델 기반 비밀번호 해독 도구(OMEN)를 확장한다.
  • 각 개인 정보 특성이 후보 비밀번호의 확률 추정에 기여하는 데 영향을 주기 위해 부스팅 파라미터 α를 사용한다.
  • 부스팅 파라미터 α는 알려진 비밀번호-힌트 쌍에 대해 제곱오차 합 S*를 최소화함으로써 추정된다.
  • 모델은 추정된 확률에 따라 비밀번호 추측 순서를 정렬하여 더 가능성 높은 비밀번호를 먼저 시도한다.
  • 실험은 대규모 실세계 비밀번호 데이터셋(Facebook 및 LZ 목록)과 공개된 사용자 특성 자료를 사용하여 수행된다.
  • 성능 평가는 주어진 추측 수 이내에 얼마나 많은 비밀번호가 해독되었는지의 백분율을 측정하여, 개인 정보 포함 여부에 따라 버전 간 비교 분석을 수행한다.

실험 결과

연구 질문

  • RQ1사용자에 대한 개인 정보를 통합함으로써 마르코프 모델 기반 비밀번호 해독 도구의 성능을 상당히 향상시킬 수 있는가?
  • RQ2첫 이름, 생일, 이메일 등 개인 정보 특성 중 어떤 것이 비밀번호 해독에 필요한 추측 수를 줄이는 데 가장 기여하는가?
  • RQ3확률 기반 비밀번호 추측 모델에서 개인 힌트를 어떻게 가중해야 비밀번호 해독 효율을 최대화할 수 있는가?
  • RQ4개인 정보가 비밀번호 해독 성공에 미치는 정량적 영향은 무엇인가, 특히 개인 정보 기반 비밀번호의 경우 어떻게 되는가?
  • RQ5기존의 비개인화된 비밀번호 해독 도구에 비해 개인 정보를 포함시킴으로써 해독 성능 향상 정도는 어느 정도인가?

주요 결과

  • OMEN+는 일반 비밀번호 목록에서 100억 번 이내에 최대 69%의 해독 성공률를 기록하여, 이전에 알려진 모든 확률 기반 비밀번호 해독 도구를 능가한다.
  • 추측 수가 적을 경우(예: 1억 번 이내) 개인 정보 포함으로 비밀번호 해독 수가 최대 5% 증가했으며, 10억 번 추측 시에는 약 3%로 안정화된다.
  • 개인 정보 기반으로 명시적으로 생성된 비밀번호의 경우, 개인 정보를 활용함으로써 성능 향상이 최대 30%까지 가능하여 이러한 비밀번호의 본질적 취약성을 드러낸다.
  • 각 특성에 대해 최적의 부스팅 파라미터 α를 추정하였으며, 첫 이름의 경우 α ≈ 2.3(부스팅 파라미터 1), eduWork의 경우 α ≈ 1.2(부스팅 파라미터 0.1, 반올림하여 0)를 기록했다.
  • 이메일의 로컬 부분만으로도 제한된 개인 정보를 제공할 경우, Facebook 데이터셋보다는 덜 포괄적인 LZ 목록에서도 유사한 성능 향상을 기록했다.
  • 본 연구는 개인 정보에서 유도된 비밀번호가 상당히 약하며, 실무에서 적극적으로 금지되어야 한다는 점을 확인한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.