摘 要

随着互联网的飞速发展，人们的生活与网络的联系变得日益密切，在这个过程中，大量重要信息与私有财产都与网络密切相连，对于计算机而言，他们只能识别用户的数字身份，身份认证就是指在计算机及计算机网络系统中确认操作者身份的过程，从而确定该用户是否为某种资源或某一账号的合法使用者，进而使计算机和网络系统能够对这些资源或者账号进行可靠的一系列操作，防止攻击者假冒合法用户滥发一些诈骗虚假信息以及盗取账号相关资料，保证信息和账号的数据安全，以及账号拥有者的合法利益。如何保证当前的操作者就是这个数字身份的合法使用者，也就是保证账号的合法拥有者和当前操作者的物理身份相对应，身份认证就是为了解决这个问题，而口令作为身份认证的主要手段之一，在这个信息时代有着举足轻重的作用。

虽然口令有着广泛的应用，但是口令存在着严重的安全问题，尤其是大量用户对弱口令的使用，使得口令更加容易被破解，造成用户信息泄漏，虚拟物品被盗等损失。为了解决这一问题，有必要对用户的真实口令进行脆弱性评估，并给出更好的口令设置建议。口令脆弱性评估的主要目的就是分析某一个确定的明文口令的抗猜测和抗暴力破解的能力，口令的强度是被广泛用于描述一个给定口令抗暴力破解和抗猜测的能力，口令强度需要综合考虑口令的长度、复杂度等方面。还有一个用于表示口令强度等级的方法是信息熵。口令的信息熵也可以描述给定口令的强度。一般而言，口令强度越强，口令越安全，越不容易被破解。本项目主要研究Web口令脆弱性评估方法，为用户设置口令和系统验证口令给出指导。一般情况下，可以通过已知技术或工具对某一给定口令进行破解，并把破解所耗费的时间作为评价标准，破解所需时间越长，则说明口令强度等级越高。

论文主要研究了部分网站真实口令数据，通过对这些真实口令的统计和分析，总结出了用户选择口令的特点和规则。研究表明，大量用户趋向于使用纯数字类型的口令，而且不管是在数字方面还是在字母方面，大多数口令都是有规律可寻的，除此之外，在整个真实口令库中含有特殊字符的口令所占比例极少，也就是说，用户在设置口令时，很少会用到特殊字符。

关键词：弱口令；口令强度；评估算法；口令恢复

Abstract

With the rapid development of the Internet, people's life and the network has become increasingly close contact, in this process, a large number of important information and private property are closely linked with the network, for the computer, they can only identify the user's digital identity, Identity authentication refers to the computer and computer network system to confirm the identity of the process of the operator to determine whether the user has access to a resource and the use of authority, and then make the computer and network system access strategy can be reliable and effective implementation, To prevent an attacker from fake legitimate users access to resources, to ensure the security of systems and data, and to authorize the legitimate interests of visitors. How to ensure that the operator to operate in digital form is the legal identity of the digital identity, that is to ensure that the operator's physical identity and digital identity corresponds to identity authentication is to solve this problem, and password as the main means of identity authentication First, in this information age has a pivotal role.

Although the password has a wide range of applications, but the password there is a serious security problem, especially a large number of users of the use of weak passwords, making the password more easily cracked, resulting in user information leakage, theft of virtual goods and other losses. In order to solve this problem, it is necessary to assess the user's real password vulnerability, and give a better password to set recommendations. The main purpose of the Password Vulnerability Assessment is to analyze the ability of a certain clear-text password to resist guessing and resistance to violence, and the strength of the password is widely used to describe a given password against violence and the ability to resist guessing. Taking into account the length of the password, complexity and so on. Another way to quantify the intensity of the password is information entropy. The entropy of the password can also describe the strength of a given password. In general, the stronger the password intensity, the more secure the password, the more difficult to be cracked. This project focuses on the Web Password Vulnerability Assessment Method, which provides guidance for setting passwords and system authentication passwords for users. Under normal circumstances, you can know the technology or a tool for a given password to crack, and the time spent as the evaluation criteria, the longer the time required to crack, then the higher the password intensity level.

The paper mainly studies the real password data of some websites, and summarizes the characteristics and rules of the user's choice of passwords through the statistics and analysis of these real passwords. Research shows that a large number of users tend to use pure digital type of password, whether in the digital or alphabetical, most of the passwords are regularly available, in addition, the entire real password library contains special characters The proportion of passwords is very small, that is, users in the set password, rarely use special characters.

Key Words：Weak password; password intensity; evaluation algorithm; password recovery

目录

第1章 绪论 7

1.1 背景 7

1.2 口令强度与口令恢复 7

第2章 数据挖掘以及口令分析 9

2.1 对真实口令的数据挖掘 9

2.1.1 常用口令排名 9

2.1.2 口令长度 9

2.2 口令类型分析 10

2.2.1 口令字符空间 10

2.2.2 口令特征 12

2.3 口令与账号之间的关系 16

2.4 口令重用 17

第3章 真实口令规则 17

第4章 口令脆弱性评估算法 18

4.1 影响口令强度的因素 19

4.2 口令脆弱性评估算法 20

第5章 口令恢复系统 21

5.1 优先口令库 21

5.1 口令恢复步骤 22

第6章 测试和分析 22

第7章 总结和展望 23

参考文献 24

致 谢 25

第1章 绪论

1.1 背景

由于信息化时代的不断推进，人们的日常生活与网络的联系越来越密切，身份认证显得尤为重要，而口令认证就是这些身份认证中最常见的手段之一。网上银行、支付宝、虚拟货币的出现使得人们的资产被不断数字化，需要口令认证的地方也越来越多，口令也成为保障信息安全的基本手段之一。自20世纪60年代起基于口令的认证被广泛用于大型机的访问控制。

随着互联网服务（如邮箱、社交网站）的不断发展，人们的邮箱账号、社交账号、游戏账号等越来越多，而口令作为web账号的通行证已成为保护用户信息的重要手段之一。一方面人们的账号越来越多，另一方面人类大脑能力有限，记不住太多的口令，这导致了大量的弱口令的使用和口令重用的现象，这造成了严重的安全危胁。由于口令存在严重的安全隐患问题，大量的其他认证技术被不断提出，如智能卡、动态口令、数字签名、生物识别等，虽然这些认证技术更为安全，但几乎所有这些认证技术在可部署性方面都不如口令来的方便，而且都存在一些缺陷，如成本过高，使用不便等。既然口令无法取代，我们有必要对口令脆弱性进行分析研究，口令脆弱性也不是绝对的，比如“1q2w3e”看似数字字母混乱排序，难以暴力破解，但是如果有大量用户使用这一口令，那么口令破解者会了解到这一口令的构造行为，从而“1q2w3e”也变成一个弱口令。

为了保护个人信息的安全，一方面需要用户提高自己的安全意识，另一方面，管理员有必要阻止用户对弱口令的使用，还需要设计更准确的口令强度评测器，以便于指导用户注册或修改时设置更为安全的口令。