近日,CCF奖励委员授予韩伟力、徐铭等完成的“用户口令的脆弱性建模与应对方法”项目为2022年度“CCF科技成果奖”自然科学二等奖。“CCF科技成果奖”授予在计算机科学、技术或工程领域具有重要发现、发明、原始创新,在相关领域有一定国际影响的优秀成果。
“用户口令的脆弱性建模与应对方法”项目简介
完成人:韩伟力、徐铭、徐文渊、张凯、王晓阳
网络空间安全问题持续受到学术领域和工业界的广泛关注。在复杂且激烈的网络攻防过程中,常伴随着口令认证系统的破解和加固。用户口令作为最常用的身份认证因子,影响了国内数以亿计的互联网用户,也与国家安全紧密关联。自2013年起,每年五月的第一个周四被设为世界口令日,凸显了用户口令的重要性。用户口令在其构成及使用行为方面普遍隐含内在规律,易受到大规模猜测攻击。此外,口令的易用性和重要性也导致钓鱼攻击长期存在。因此如何精准发现并量化用户口令的构成特征和行为规律,由此分析识别其弱点并有效应对,是当前网络空间安全领域的研究热点。
“用户口令的脆弱性建模与应对方法”项目形成以下三项成果:
(1)在口令构成方面,建模并量化中文语境下用户口令的构成特征,为保障我国用户在网络空间中的口令安全提供理论基础。
(2)在使用行为方面,首次建模站内重用和跨站重用这两种用户口令重用行为,并量化其特征。
(3)在应对方法方面,构造个人自动白名单方法,发现可精准保护口令免受钓鱼攻击,提升网络空间中的口令安全。
项目成果得到国内外知名学者的广泛关注,并在国际流行的口令强度度量工具zxcvbn和国内有关部门等得到实际应用,中国密码学会编著的《2014-2015年度密码学学科发展报告》将成果列入“近年来,我国研究人员在电子认证技术研究方面,取得了一些国际性突破”。在USENIX Security 2014上发表的代表性论文为该顶尖会议首篇由大陆学者独立完成并发表的文章,并于2016年获上海市计算机学会信息安全最佳论文奖。以上述项目成果为主要内容,撰写专著《用户口令:系统安全的最前线》。