close
在口令安全領域,一個長期未攻克的基礎難題是,在攻擊者未獲取網站服務器口令存儲文件的情況下,如何以最少猜測次數確定目標用戶的口令。於是,汪定決定挑戰這個難題。因為口令猜測研究過去一直局限於漫步猜測,關於利用個人信息加速口令在線猜測的研究極少。“這不符合我們的密碼使用習慣,就像黑客知道瞭我們的郵箱賬號、姓名或者生日,可以據此猜測支付寶賬號。”
汪定說,長期以來,學術界和工業界都普遍認為口令在線猜測攻擊可以輕易防范,比如采用動態驗證碼機制、限制每日失敗登錄次數、限制失敗登錄頻率等。美國國傢標準NISTSP-800-63-2也持這一觀點,該標準是用來指導美國政府、企業和各種組織對各種涉密信息系統如何進行用戶身份認證的指南。
“這一觀點背後的自信源於對攻擊者成功率的低估,可事實上,隨著科技的發展,現在黑客的攻擊現象頻發,現有的防禦方法對定向口令在線猜測攻擊來說是束手無策的,比如時常發生的銀行卡、QQ等用戶密碼被盜的情況。所以,必須要改進現有的在線口令猜測的防禦機制。”汪定說。
針對“給定網站和目標用戶的相關個人信息,如何以最少猜測次數確定目標用戶的口令”這一問題,汪定團隊提出瞭一個定向口令在線猜測攻擊框架。該框架包含7個概率攻擊模型,分別刻畫7種不同能力的現實攻擊方法,且實現口令猜測過程自動化,其中5種攻擊方法為首次研究。
在9600萬條真實口令數據的測試結果顯示,在允許猜測100次的前提下,如果攻擊者僅知道目標用戶的一些常見個人信息,成功率約為20%;如果還知道該用戶曾在其他網站泄露的一個口令,成功率可提升至77%。
汪定團隊的這一結果大大超出此前人們的預期。因為這個結果意味著,當前這些防禦在線口令猜測的安全機制(如動態驗證碼機制、限制每日失敗登錄次數、限制失敗登錄頻率燈)遠遠不夠的。如果攻擊者利用他們團隊提出的攻擊方法,各種普通的計算機系統、網站,甚至涉密信息系統的大門對攻擊者來說是敞開的。
研究成果促使美國身份認證標準修改
2016年7月,汪定團隊的研究以《定向口令在線猜測:一種被低估的威脅》為題,發表於美國計算機協會主辦的第23屆計算機與通信安全會議( ACM CCS)。
據瞭解,該會議被公認是網絡與信息安全領域的頂級學術會議之一(也是中國計算機學會和中國密碼學會所推薦的A類國際學術會議),創辦23年來,中國大陸研究機構以第一完成單位發表的長文不超過10篇。
汪定團隊的這項研究成果,自去年8月底公開以來,目前已被數十個國傢的200多傢媒體報道,相關報道涵蓋20多種語言。該成果已成為包括美國普渡大學在內的歐美多油煙異味處理所高校2016秋季學期的授課內容。
美國國傢標準與技術研究院曾就其數字認證安全指油煙處理器南(NIST SP-800-63-3)向汪定和論文作者們征詢防禦措施。2016年9月18日,美國國傢身份認證指南(NIST SP800-63-3)根據該結果,修訂瞭在線猜測防禦部分的內容。
汪定在癡迷科研的同時,還積極承擔多項學術服務工作。2016年,他應邀擔任國際電氣和電子工程師協會匯刊(IEEE Trans)和《中國科學》等50多個國內外期刊和會議審稿人;擔任16個ACM/IEEE國際學術會議的程序委員會委員,包括如IEEE TrustCom、ICPADS、ISPEC、ProvSec等著名國際會議,委員們基本都是國際知名教授,極少有在讀學生;4次受邀在國內外學術會議作大會特邀報告。
采訪中,汪定說,在北大求學中,令他最難忘的是,一次外出參加學術會議時,一位教授曾當面對他說:“你符合我對北大學生的印象。”這句話讓他深感做為一名北大學子所肩負的社會期望和責任,隻有不斷追求卓越,才會不負青春,才堪稱未名學子。
更多資訊,歡迎掃描油煙處理設備下方二維碼關註荊楚網(cnhubeigw)、最武漢(zuiwuhan01)官方微信。
異味處理 油煙處理規劃
828F63C7818014F1
文章標籤
全站熱搜
留言列表
