パスワードを“ちょっと変える”はどれくらい危ない? 「abc123」→「123abc」など 中國チームが発表

把密碼從“abc123”改成“123abc”,這么一點的變化就很危險?中國團隊研究
原創(chuàng)翻譯:龍騰網(wǎng) http://www.top-shui.cn 轉(zhuǎn)載請注明出處


中國の南開大學(xué)や北京大學(xué)などに所屬する研究者らが発表した論文「Pass2Edit: A Multi-Step Generative Model for Guessing Edited Passwords」は、1つのサービスで使っているパスワードを少し変えて別のサービスで使い回しているパスワードを予測して特定する攻撃を提案した研究報告である。
インターネットでサービスを利用すると、アカウント數(shù)が増加する。一般のユーザーは、80~107個ものオンラインアカウントを持っているとされている。このような狀況において、新しいパスワードを都度設(shè)定するのは困難であり、その結(jié)果、同一のパスワードを使い回す人が多い。

隸屬于中國南開大學(xué)和北京大學(xué)的研究人員發(fā)表了論文《Pass2Edit:Multi-Step Generative Model for Guessing EditedPasswords》,這是一份研究報告,提出了一個觀點:將用戶的一項服務(wù)中使用的密碼稍加改變,就能預(yù)測并確定用戶在其他服務(wù)上重復(fù)使用的密碼,并進行攻擊。
互聯(lián)網(wǎng)上的服務(wù),越用賬戶數(shù)就會增加。一般的用戶擁有80 ~ 107個賬戶。在這種情況下,每次都設(shè)置新的密碼是很困難的,結(jié)果導(dǎo)致很多人反復(fù)使用同一個密碼。

このような行動は、1つのサイトが攻撃を受けた場合、他のサイトも危険にさらされる可能性が高まる。それでも、パスワードの使い回しに懸念を抱く人は少なくない。事実、攻撃者にとっては格好の狙い目である。
注目すべきは、既存のパスワードを微調(diào)整(追加、削除、置換など)して使用する行為である。例えば、基準(zhǔn)とするパスワード「abc123」を「abc123abc」や「123abc」「abc124」「abc321」「abc12」といった形で微調(diào)整して、別のサイトで使用するケースがある。研究によれば、ユーザーの21~33%が新しいアカウントで微調(diào)整したパスワードを使っていると報告されている。

這種行為在一個網(wǎng)站受到攻擊的情況下,其他網(wǎng)站也會受到威脅。即便如此,還是有不少人對密碼的重復(fù)使用沒有感到擔(dān)憂。事實上,對于攻擊者來說,這些就是絕佳的目標(biāo)。
值得注意的是,對現(xiàn)有密碼進行微調(diào)(添加、刪除、替換等)后等行為,例如,將作為基準(zhǔn)的密碼“abc123”以“abc123abc”、“123abc”、“abc124”、“abc321”、“abc12”等形式進行微調(diào),然后在其他網(wǎng)站上使用。研究顯示,有21% ~ 33%的用戶會新賬戶中使用微調(diào)后的密碼。

最近注目されているのは、ユーザーが新しく少し違うパスワードを生成する際に、既存のパスワードをわずかに編集する傾向に対する攻撃である。この研究では、ユーザーの微調(diào)整パスワードを効率的に予測する手法「Pass2Edit」を提案する。
この提案手法では、ニューラルネットワークによる分類器を用いて、「元のパスワード」と「微調(diào)整したパスワード」の組み合わせを入力とし、「パスワードがどのように変わったか」を分類する。この學(xué)習(xí)によって、元のパスワードと微調(diào)整したパスワードとの関連性を訓(xùn)練する。
データセットとしては、中國語および英語のサイトから48億個のパスワードを収集して利用している。

最近值得注意的是,針對用戶的這種行為,可以收集微調(diào)后的密碼信息進行攻擊。這就是該研究提出的一種有效預(yù)測用戶微調(diào)密碼的方法“Pass2Edit”。
該方案使用基于神經(jīng)網(wǎng)絡(luò)的分類器,輸入“原始密碼”和“微調(diào)后的密碼”的組合,對“密碼發(fā)生了怎樣的變化”進行分類。通過深度學(xué)習(xí),訓(xùn)練原始密碼和微調(diào)后的密碼之間的關(guān)聯(lián)性。
數(shù)據(jù)集收集了來自中文和英文網(wǎng)站的48億個密碼。

実験の結(jié)果は次の通りである。100回の推測が許され、目標(biāo)とするパスワードが元のパスワードと異なる場合を考慮した上で、Pass2Editの成功率は一般ユーザーに対して平均で24.18%、セキュリティに精通したユーザーに対しては11.68%を記録した。
1000回の推測が許された場合には、Pass2Editの成功率は一般ユーザーに対して30.34%、セキュリティに精通したユーザーに対しては15.32%を記録した。さらに、目標(biāo)とするパスワードが元のパスワードと同一であるケースを含め、また人気のあるパスワード(例:「password」「123456789」)を選択するといったユーザーの脆弱な行動を考慮に入れた場合、攻撃成功率はさらに向上した。

實驗結(jié)果如下。在允許100次推測,并考慮目標(biāo)密碼與原密碼不同的情況下,Pass2Edit對普通用戶的平均成功率為24.18%,對于那些精通安全的用戶則是11.68%。
在允許進行1000次推測的情況下,Pass2Edit對普通用戶的成功率為30.34%,對精通安全的用戶的成功率為15.32%。此外,包括目標(biāo)密碼與原始密碼相同的情況,以及一些常用密碼(例如:有人會直接用“password”、“123456789”),則進一步提高了攻擊成功率。