口令泄露检测技术-InForSec清华大学.PDFVIP

口 令 泄 露 检 测 技 术 汇报人：汪定 北京大学信息科学技术学院 软件工程国家工程研究中心 高可信软件技术教育部重点实验室 2019年1月19 日北京 wangdingg@ () (主页) 口令, “密码” ，password 基于口令的身份认证无处不在 口令认证的不可替代性 成本低廉 可用性 可再生性 口 令 是 中 是 硬件token 否 低 是 生物特征 否 高 否 共识：在可预见未来，口令仍将是最主要的认证方式。 “拖库”事件频繁发生  “拖库”—— 网站口令文件库泄露（被窃取） 近年来，数以百计 【已经确认的】 2018上半年，166起 【GemaltoBreach Level Index 】 2017年，221起 【Verison 2018 Data Breach Report】 2016年，1093起 【IRTC Identity Breach Report】 201603-201703 ，3785起 【Thomas et al., CCS 2017】 2011-2015 ，国内96起 【/post/476.html】  哪些大网站被拖库了？ Yahoo, Dropbox, LinkedIn, Adobe, 小米, CSDN, 天涯…. 口令文件泄露后…… 根据当前硬件速度,绝大多数 用户口令可在短期内恢复出来; 因此, 网站应及时通知用户更新口令 但是，如果网站不知道口令文件被泄露了呢？ 比“拖库”更可怕的是。。。。 网站不知道自己被“拖库”了, 直到N年后数据浮出水面 一个现实的问题 如何降低用户口令文件泄露带来的危害？ 潜在的解决办法 策略① 策略② 策略③ 使用机器相关函数 门限密码学 放置假口令 基本思想： 基本思想： 基本思想： 窃取无用 秘密分割， 欺骗迷惑, 及时检测 窃取部分无用 【ErsatzPasswords， 【Threshold PAKE/PASS ， 【Honeywords, Honeyindex， ACSAC’15 最佳论文】 CCS’13, NDSS’18 】 CRYPTO’12, CCS’15 】 使用机器相关 函数  最典型要数ErsatzPasswords方案 在服务器端使用一个机器相关 的函数 , 保存： 当攻击者获取口令文件后，猜测 , 验证 ; 如果相等, 则意味着: 门限密码学 当口令PW分割成n份, 放置于n个服务器， 当且仅当，kt个服务器被攻陷，