背  景

口令本身具有实现成本较低、可部署性强的特点，在未来可预见的一段时间内仍将是主要的身份认证方式之一。随着美国NIST于2017年提出的SP800-63B标准^[1]中不再推荐使用信息熵和NIST熵等来衡量口令，现有的口令安全研究大都是基于口令的频率分布进行。然而频率通常只能反映出口令的流行性，单一因素不足以充分反应口令强度。本文在文献^[2]仅使用频率划分口令的基础上，引入熵作为新的分类特征，在基于频率和熵的口令四分类方法的基础上提出一种口令策略生成器框架FEPG（Frequency and Entropy based Policy Generator）。

首  先

本文以Wang等人^[3]指出的人类口令服从的Zipf定律和描述单条口令组成复杂度的熵作为切入点。根据Wang等人^[3]提出的PDF-Zipf分布模型，口令数据的频率和排名服从如下关系：

GUAN等人^[4]在刻画合法用户和攻击者的行为时，使用了一种描述单挑口令组成复杂度的熵。在该场景下，仍然使用Shannon提出的熵的计算公式，但考察某个字符的概率时，不再以全字符空间为基准，而是以口令中出现过的字符为基准。

过  程

随后本文基于Xiao等人^[2]提出的HTPG框架，设计一种基于频率和熵的口令策略生成框架FEPG，并给出了FEPG框架的总体结构，如图1所示。

图1    FEPG框架

Fig.1    FEPG Framework

（2）特征排序器的任务是对四个口令类别中的不同特征进行排序，以确定它们对分类的重要性。所使用的特征集是基于启发式的方法，包括了口令的常见特征。特征排序器通过计算信息增益比来量化每个特征的重要性程度；

（3）策略生成器针对弱口令生成修改策略。它以低频高熵口令作为目标口令类别，并按照特征排序器提供的重要性顺序，逐步生成修改策略。生成器通过计算低频高熵口令的平均特征值，依次提供修改策略，以使弱口令的特征值逐渐接近低频高熵口令的特征值，从而最终增强弱口令的安全性，口令策略生成算法如下所示：

验  证

随后，使用常用的口令猜测攻击针对6个数据集测试，并设计模拟程序，按照FEPG输出的策略集，采取部分策略对弱口令进行对应修改并生成增强口令集，开展跨站攻击测试。结果表明，使用FEPG对口令修改后，攻击者成功猜测口令的比例平均下降了87.52%，同时，对比HTPG，经过HTPG强化的口令被成功猜测的比例下降了69.30%，验证了FEPG的有效性。

[1] Grassi P A, Garcia M E, Fenton J L. Digital identity guidelines: authentication and lifecycle management[J]. National Institute of Standards and Technology special publication, 2017,800:63.

[2] Xiao Y, Zeng J, Dynamically Generate Password Policy via Zipf Distribution[J]. IEEE Transactions on Information Forensics and Security, 2022, 17: 835-848.

[3] Wang D, Cheng H, Wang P, et al. Zipf’s law in passwords[J]. IEEE Transactions on Information Forensics and Security, 2017, 12（11）: 2776-2791.

[4] GUAN A, CHEN C M, A Novel Verification Scheme to Resist Online Password Guessing Attacks[J]. IEEE Transactions on Dependable and Secure Computing, 2022, 19（6）: 4285-4293. 

论文全文下载方式

1 识别下方二维码；2 点击文末“阅读原文”。

来源：《网络空间安全科学学报》第二期

电话：010-89061756/ 89061778

邮箱：[email protected]