【PPT分享】北京大學汪定:口令檔案洩露檢測技術
1月19日,在清華大學舉辦的網路安全研究國際學術論壇InForSec 2019年年會上,北京大學汪定帶來了《 口令檔案洩露檢測技術》的精彩報告。
北京大學汪定
演講 主題: A Security Analysis of Honeywords(口令檔案洩露檢測技術)→ PPT下載
內容 摘要: 近一兩年來,大批的知名網站(如Yahoo, Dropbox, Weebly, Quora, 163,德勤)發生了使用者口令檔案洩露事件。更為嚴重的是,這些洩露往往發生了多年後才被網站發現,才提醒使用者更新口令,然而為時已晚。比如,Yahoo在2013年洩露了30億使用者口令和各類個人身份資訊,在2017年10月才發現,因此事件導致Verizon對Yahoo的收購價格降低了10億美金。
Honeywords 技術是檢測口令檔案洩露的一種十分有前景的技術,由圖靈獎得主 Rivest 和 Juels在ACM CCS’13 上首次提出。本研究發現,他們給出的4個主要 honeywords 生成方法均存在嚴重安全缺陷,且此類啟發式方法無法簡單修補;進一步提出一個honeywords 攻擊理論體系,成功解決“給定攻擊能力,攻擊者如何進行最優攻擊”這一公開問題;反過來,攻擊者的最優攻擊方法可被用來設計最優 honeywords 生成方法,成功擺脫啟發式設計。本研究將使honeywords生成方法的設計和評估從藝術走向科學,為及時檢測口令檔案洩露提供理論和方法支撐。