-
标题
-
作者汪定@北京大学
-
简介
近一两年来,大批的知名网站(如Yahoo, Dropbox, Weebly, Quora, 163,德勤)发生了用户口令文件泄露事件。更为严重的是,这些泄露往往发生了多年后才被网站发现,才提醒用户更新口令,然而为时已晚。比如,Yahoo在2013年泄露了30亿用户口令和各类个人身份信息,在2017年10月才发现,因此事件导致Verizon对Yahoo的收购价格降低了10亿美金。
Honeywords 技术是检测口令文件泄露的一种十分有前景的技术,由图灵奖得主 Rivest 和 Juels在ACM CCS’13 上首次提出。本研究发现,他们给出的4个主要 honeywords 生成方法均存在严重安全缺陷,且此类启发式方法无法简单修补;进一步提出一个honeywords 攻击理论体系,成功解决“给定攻击能力,攻击者如何进行最优攻击”这一公开问题;反过来,攻击者的最优攻击方法可被用来设计最优 honeywords 生成方法,成功摆脱启发式设计。本研究将使honeywords生成方法的设计和评估从艺术走向科学,为及时检测口令文件泄露提供理论和方法支撑。
-
援引https://www.inforsec.org/wp/?p=3029
-
提示本站仅做资料的整理和索引,转载引用请注明出处
相关推荐
-
2016-11-07 04:04:06
-
2017-08-28 11:30:30
-
2020-08-23 05:34:15.927257
-
2020-06-15 07:23:14
附件下载
-
Session4.汪定PPT更新口令文件泄露检测技术20190119汪定.北京大学.pdf