Skip to main content
QUICK REVIEW

[论文解读] When Privacy meets Security: Leveraging personal information for password cracking

Claude Castelluccia, Abdelberi Chaabane|arXiv (Cornell University)|Apr 24, 2013
User Authentication and Security Systems参考文献 8被引用 55
一句话总结

本文提出 OMEN+,一种基于马尔可夫模型的密码破解工具,通过利用个人资讯(如姓名、出生日期、教育背景)来提升猜测效率。通过将用户特定属性整合进概率排名框架,OMEN+ 将整体密码破解成功率提升最高达 5%,对于基于个人属性的密码则提升最高达 30%,表明此类密码显著更弱,应避免使用。

ABSTRACT

Passwords are widely used for user authentication and, despite their weaknesses, will likely remain in use in the foreseeable future. Human-generated passwords typically have a rich structure, which makes them susceptible to guessing attacks. In this paper, we study the effectiveness of guessing attacks based on Markov models. Our contributions are two-fold. First, we propose a novel password cracker based on Markov models, which builds upon and extends ideas used by Narayanan and Shmatikov (CCS 2005). In extensive experiments we show that it can crack up to 69% of passwords at 10 billion guesses, more than all probabilistic password crackers we compared again t. Second, we systematically analyze the idea that additional personal information about a user helps in speeding up password guessing. We find that, on average and by carefully choosing parameters, we can guess up to 5% more passwords, especially when the number of attempts is low. Furthermore, we show that the gain can go up to 30% for passwords that are actually based on personal attributes. These passwords are clearly weaker and should be avoided. Our cracker could be used by an organization to detect and reject them. To the best of our knowledge, we are the first to systematically study the relationship between chosen passwords and users' personal information. We test and validate our results over a wide collection of leaked password databases.

研究动机与目标

  • 通过利用马尔可夫模型,设计一种比现有概率工具更有效的密码破解器。
  • 探究用户个人资讯是否能显著提升密码猜测效率。
  • 系统性评估各种个人属性(如名字、出生日期、教育)对密码破解成功率的影响。
  • 开发一种参数估计方法,以最优方式加权猜测过程中的个人提示。
  • 为组织提供一种实用工具,用于检测并拒绝弱口令,尤其是基于个人资讯的口令。

提出的方法

  • OMEN+ 在基于马尔可夫模型的密码破解器(OMEN)基础上,引入用户特定属性,如名字、出生日期和教育背景。
  • 采用提升参数 α 来加权每个个人属性在候选密码概率估计中的贡献。
  • 通过最小化已知密码-提示对之间的平方误差函数 S* 来估计提升参数 α。
  • 模型根据估计概率对密码猜测进行排序,确保高概率的密码优先尝试。
  • 实验基于大规模真实世界密码数据集(Facebook 和 LZ 列表)进行,使用公开的用户属性。
  • 通过测量在给定猜测次数内成功破解的密码比例,对比包含与不包含个人资讯的版本来评估性能。

实验结果

研究问题

  • RQ1通过整合用户个人资讯,能否显著提升基于马尔可夫模型的密码破解器性能?
  • RQ2哪些个人属性(如名字、出生日期、电子邮箱)最能减少破解密码所需的猜测次数?
  • RQ3在概率密码猜测模型中,应如何加权个人提示以最大化破解效率?
  • RQ4个人资讯对密码破解成功率的量化影响是什么,特别是对基于个人属性的密码?
  • RQ5与传统非个性化密码破解器相比,引入个人数据在多大程度上提升了破解性能?

主要发现

  • OMEN+ 在常见密码列表上,于 100 亿次猜测内实现最高达 69% 的破解成功率,优于所有已知的先前概率密码破解器。
  • 在猜测次数较少时(如最多 1 亿次),引入个人资讯可使破解密码数量提升最高达 5%,在 10 亿次猜测时,增益稳定在约 3%。
  • 对于明确基于个人属性的密码,使用个人资讯可使性能提升最高达 30%,凸显其内在脆弱性。
  • 为每种属性估算出最优提升参数 α,其中名字的 α ≈ 2.3(提升参数 1),而 eduWork 的 α ≈ 1.2(提升参数 0.1,四舍五入为 0)。
  • 即使个人数据有限(如仅电子邮件的本地部分),OMEN+ 在 LZ 列表上的性能增益与在更全面的 Facebook 数据集上相当。
  • 本研究证实,基于个人资讯生成的密码显著更弱,实践中应主动避免使用。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。