【PPT分享】北京大學汪定：口令檔案洩露檢測技術

1月19日，在清華大學舉辦的網路安全研究國際學術論壇InForSec 2019年年會上，北京大學汪定帶來了《 口令檔案洩露檢測技術》的精彩報告。

北京大學汪定

演講 主題： A Security Analysis of Honeywords（口令檔案洩露檢測技術）→ PPT下載

內容 摘要： 近一兩年來，大批的知名網站（如Yahoo, Dropbox, Weebly, Quora, 163，德勤）發生了使用者口令檔案洩露事件。更為嚴重的是，這些洩露往往發生了多年後才被網站發現，才提醒使用者更新口令，然而為時已晚。比如，Yahoo在2013年洩露了30億使用者口令和各類個人身份資訊，在2017年10月才發現，因此事件導致Verizon對Yahoo的收購價格降低了10億美金。

Honeywords 技術是檢測口令檔案洩露的一種十分有前景的技術，由圖靈獎得主 Rivest 和 Juels在ACM CCS’13 上首次提出。本研究發現，他們給出的4個主要 honeywords 生成方法均存在嚴重安全缺陷，且此類啟發式方法無法簡單修補；進一步提出一個honeywords 攻擊理論體系，成功解決“給定攻擊能力，攻擊者如何進行最優攻擊”這一公開問題；反過來，攻擊者的最優攻擊方法可被用來設計最優 honeywords 生成方法，成功擺脫啟發式設計。本研究將使honeywords生成方法的設計和評估從藝術走向科學，為及時檢測口令檔案洩露提供理論和方法支撐。