李志工和韩伟丽复旦大学;徐文元浙江大学
使用不同语言的用户在创建密码时可能会选择不同的模式,因此,英语密码知识无法帮助他们很好地猜测其他语言的密码。研究已经表明,中国密码是最难猜测的密码之一。我们认为这一结论是有偏见的,因为据我们所知,很少有实证研究对密码的地区差异进行大规模检验,尤其是在中国密码上。在本文中,我们利用近年来从中国和国际网站上泄漏和公开的1亿多个密码,研究了中英文用户的密码差异。我们发现,中国人在编写密码时更喜欢数字,而英国人更喜欢字母,尤其是小写字母。然而,他们抵抗密码猜测的能力是相似的。其次,我们发现两个用户都喜欢使用他们熟悉的模式,例如,中文拼音用于中文,英文单词用于英文用户。第三,我们观察到中英文用户在使用日期构造密码时都喜欢使用传统格式。基于这些观察结果,我们改进了一种基于PCFG(Probabilistic Context-Free Grammar,概率上下文自由语法)的密码猜测方法,将拼音(大约多2.3%的词条)插入攻击字典,并将观察到的合成规则插入猜测规则集。结果,我们的实验表明,密码猜测的效率提高了34%。
USENIX致力于开放访问我们活动上展示的研究。活动开始后,所有人都可以免费获得论文和会议记录。活动结束后发布的任何视频、音频和/或幻灯片也免费向所有人开放。支持USENIX以及我们对开放存取的承诺。
下载音频