量子哈希
例如,在12306网站中,密码中包含姓名的比例为22.35%,生日为24.10%,账号名为23.60%,电子邮件前缀为12.66%,用户名为3.00%,手机号为2.73%。以姓名为例,12306网站中,全名的比例为4.68%,姓氏占11.15%,仅名字占6.49%,名字缩写加姓氏占13.64%。这给黑客提供了很大的密码破解空间。根据破解过程中是否利用用户个人信息,密码猜测算法分为漫游破解和定向破解。前者不关心攻击对象是谁,按照猜测排名依次进行;后者则尽可能利用个人信息,如姓名、生日、年龄、职业、学历、性别,以及该网站的旧密码和其他网站泄露的密码。网络上可以轻易获得的用户个人信息,以及近年来公开泄露的数以千计的密码文件,使得定向破解变得越来越现实。仅在2019年上半年,就发生了数百起密码文件泄露事件。近年来曾发生过泄露事件的著名网站包括Yahoo、Dropbox、LinkedIn、Adobe、小米、CSDN和天涯等。根据汪定的解释,传统的漫游破解方式就像盗贼偷来一串钥匙,然后逐一尝试开锁,费时费力;而新的定向破解方法相当于盗贼在对目标进行调查了解后,为目标定制钥匙来开锁,也就是利用用户个人特定的脆弱密码行为来猜测密码。汪定带领团队开发了定向猜测方法,并验证了其可行性。如果知道用户的姓名和生日等常见个人信息,仅需猜测100次,成功率就可达20%;如果还知道用户在其他网站上使用过的密码,成功率可以达到73%以上。这项研究引起了美国国家身份认证标准中关于密码安全部分的修改。在专访中,汪定分享了如何设置密码的建议。口令安全研究是一个新兴领域,汪定是中国口令安全领域的第一位博士。他指出,当前口令安全研究仍处于初级阶段,需要跨学科的交叉知识来解决问题。他的研究成果得到了认可,并获得了多个奖项。他强调了口令安全的重要性,并提出了关于如何设置密码的建议。他还讨论了口令安全与黑客工作的区别,以及口令安全研究的前景。他认为口令仍将是主要的身份认证方法,但也强调了区块链技术与口令安全的关系。他希望口令安全能够建立基本理论体系,以确保其稳定运行。
