@ensis
2015-10-29T21:36:51.000000Z
字数 1226
阅读 1305
SOUPS15
password
作者:Blase Ur, Fumiko Noma, Jonathan Bees, Sean M. Segreti, Richard Shay, Lujo Bauer, Nicolas Christin, Lorrie Faith Cranor【Carnegie Mellon University】
用户通常会选攻击者容易猜测的password。本文进行了一个定性的研究,意在理解用户选择弱密码的原因。作者在实验室中让49个参与者分别为银行账户、email和新闻网站设置密码,采访他们的密码选择策略。多数参与者都有一个良好定义的密码制定策略,在特定场景下,参与者会故意使用弱密码,但是也有一些弱密码是由于错误的概念导致,比如在密码最后加!
密码就是安全的,或者使用难拼的词会比容易拼的词更安全。
作者在让参与者设定密码时,给不同组的人不同的密码要求:
作者使用hashcat工具,用每个password的可猜测性(guessability)作为度量password安全性的测度。作者对password进行了10^14次猜测,这个规模对应到一个GPU(AMDR9 290X)上,若密码经过未加盐的NTLM哈希,需要6个小时,SHA256需要10个小时,SHA256需要3个星期,而SHA512crypt则需要904年。
Hashcat的输入是一个word list和一个mangling规则集(或者某种变换,如在末尾加1或者把A都变成@等等)。作者除了采用hashcat的默认配置外,word list还包括MySpace、RockYou、Yahoo!泄露的密码集以及自然语言字典(包括Google Web corpus中的所有单个word、UNIX字典和有250,000个词的用于拼写检查的字典),共1940w条entry;mangling规则包括oclHashcat的generated2规则集和从John the Ripper转换过来的hashcat规则。