把密碼從“abc123”改成“123abc”,這么一點的變化就很危險?中國團隊研究
パスワードを“ちょっと変える”はどれくらい危ない? 「abc123」→「123abc」など 中國チームが発表譯文簡介
全靠驗證碼登陸
正文翻譯
パスワードを“ちょっと変える”はどれくらい危ない? 「abc123」→「123abc」など 中國チームが発表
把密碼從“abc123”改成“123abc”,這么一點的變化就很危險?中國團隊研究
原創(chuàng)翻譯:龍騰網(wǎng) http://mintwatchbillionaireclub.com 轉(zhuǎn)載請注明出處
中國の南開大學や北京大學などに所屬する研究者らが発表した論文「Pass2Edit: A Multi-Step Generative Model for Guessing Edited Passwords」は、1つのサービスで使っているパスワードを少し変えて別のサービスで使い回しているパスワードを予測して特定する攻撃を提案した研究報告である。
インターネットでサービスを利用すると、アカウント數(shù)が増加する。一般のユーザーは、80~107個ものオンラインアカウントを持っているとされている。このような狀況において、新しいパスワードを都度設(shè)定するのは困難であり、その結(jié)果、同一のパスワードを使い回す人が多い。
隸屬于中國南開大學和北京大學的研究人員發(fā)表了論文《Pass2Edit:Multi-Step Generative Model for Guessing EditedPasswords》,這是一份研究報告,提出了一個觀點:將用戶的一項服務(wù)中使用的密碼稍加改變,就能預測并確定用戶在其他服務(wù)上重復使用的密碼,并進行攻擊。
互聯(lián)網(wǎng)上的服務(wù),越用賬戶數(shù)就會增加。一般的用戶擁有80 ~ 107個賬戶。在這種情況下,每次都設(shè)置新的密碼是很困難的,結(jié)果導致很多人反復使用同一個密碼。
インターネットでサービスを利用すると、アカウント數(shù)が増加する。一般のユーザーは、80~107個ものオンラインアカウントを持っているとされている。このような狀況において、新しいパスワードを都度設(shè)定するのは困難であり、その結(jié)果、同一のパスワードを使い回す人が多い。
隸屬于中國南開大學和北京大學的研究人員發(fā)表了論文《Pass2Edit:Multi-Step Generative Model for Guessing EditedPasswords》,這是一份研究報告,提出了一個觀點:將用戶的一項服務(wù)中使用的密碼稍加改變,就能預測并確定用戶在其他服務(wù)上重復使用的密碼,并進行攻擊。
互聯(lián)網(wǎng)上的服務(wù),越用賬戶數(shù)就會增加。一般的用戶擁有80 ~ 107個賬戶。在這種情況下,每次都設(shè)置新的密碼是很困難的,結(jié)果導致很多人反復使用同一個密碼。
このような行動は、1つのサイトが攻撃を受けた場合、他のサイトも危険にさらされる可能性が高まる。それでも、パスワードの使い回しに懸念を抱く人は少なくない。事実、攻撃者にとっては格好の狙い目である。
注目すべきは、既存のパスワードを微調(diào)整(追加、削除、置換など)して使用する行為である。例えば、基準とするパスワード「abc123」を「abc123abc」や「123abc」「abc124」「abc321」「abc12」といった形で微調(diào)整して、別のサイトで使用するケースがある。研究によれば、ユーザーの21~33%が新しいアカウントで微調(diào)整したパスワードを使っていると報告されている。
這種行為在一個網(wǎng)站受到攻擊的情況下,其他網(wǎng)站也會受到威脅。即便如此,還是有不少人對密碼的重復使用沒有感到擔憂。事實上,對于攻擊者來說,這些就是絕佳的目標。
值得注意的是,對現(xiàn)有密碼進行微調(diào)(添加、刪除、替換等)后等行為,例如,將作為基準的密碼“abc123”以“abc123abc”、“123abc”、“abc124”、“abc321”、“abc12”等形式進行微調(diào),然后在其他網(wǎng)站上使用。研究顯示,有21% ~ 33%的用戶會新賬戶中使用微調(diào)后的密碼。
注目すべきは、既存のパスワードを微調(diào)整(追加、削除、置換など)して使用する行為である。例えば、基準とするパスワード「abc123」を「abc123abc」や「123abc」「abc124」「abc321」「abc12」といった形で微調(diào)整して、別のサイトで使用するケースがある。研究によれば、ユーザーの21~33%が新しいアカウントで微調(diào)整したパスワードを使っていると報告されている。
這種行為在一個網(wǎng)站受到攻擊的情況下,其他網(wǎng)站也會受到威脅。即便如此,還是有不少人對密碼的重復使用沒有感到擔憂。事實上,對于攻擊者來說,這些就是絕佳的目標。
值得注意的是,對現(xiàn)有密碼進行微調(diào)(添加、刪除、替換等)后等行為,例如,將作為基準的密碼“abc123”以“abc123abc”、“123abc”、“abc124”、“abc321”、“abc12”等形式進行微調(diào),然后在其他網(wǎng)站上使用。研究顯示,有21% ~ 33%的用戶會新賬戶中使用微調(diào)后的密碼。
最近注目されているのは、ユーザーが新しく少し違うパスワードを生成する際に、既存のパスワードをわずかに編集する傾向に対する攻撃である。この研究では、ユーザーの微調(diào)整パスワードを効率的に予測する手法「Pass2Edit」を提案する。
この提案手法では、ニューラルネットワークによる分類器を用いて、「元のパスワード」と「微調(diào)整したパスワード」の組み合わせを入力とし、「パスワードがどのように変わったか」を分類する。この學習によって、元のパスワードと微調(diào)整したパスワードとの関連性を訓練する。
データセットとしては、中國語および英語のサイトから48億個のパスワードを収集して利用している。
最近值得注意的是,針對用戶的這種行為,可以收集微調(diào)后的密碼信息進行攻擊。這就是該研究提出的一種有效預測用戶微調(diào)密碼的方法“Pass2Edit”。
該方案使用基于神經(jīng)網(wǎng)絡(luò)的分類器,輸入“原始密碼”和“微調(diào)后的密碼”的組合,對“密碼發(fā)生了怎樣的變化”進行分類。通過深度學習,訓練原始密碼和微調(diào)后的密碼之間的關(guān)聯(lián)性。
數(shù)據(jù)集收集了來自中文和英文網(wǎng)站的48億個密碼。
この提案手法では、ニューラルネットワークによる分類器を用いて、「元のパスワード」と「微調(diào)整したパスワード」の組み合わせを入力とし、「パスワードがどのように変わったか」を分類する。この學習によって、元のパスワードと微調(diào)整したパスワードとの関連性を訓練する。
データセットとしては、中國語および英語のサイトから48億個のパスワードを収集して利用している。
最近值得注意的是,針對用戶的這種行為,可以收集微調(diào)后的密碼信息進行攻擊。這就是該研究提出的一種有效預測用戶微調(diào)密碼的方法“Pass2Edit”。
該方案使用基于神經(jīng)網(wǎng)絡(luò)的分類器,輸入“原始密碼”和“微調(diào)后的密碼”的組合,對“密碼發(fā)生了怎樣的變化”進行分類。通過深度學習,訓練原始密碼和微調(diào)后的密碼之間的關(guān)聯(lián)性。
數(shù)據(jù)集收集了來自中文和英文網(wǎng)站的48億個密碼。
実験の結(jié)果は次の通りである。100回の推測が許され、目標とするパスワードが元のパスワードと異なる場合を考慮した上で、Pass2Editの成功率は一般ユーザーに対して平均で24.18%、セキュリティに精通したユーザーに対しては11.68%を記録した。
1000回の推測が許された場合には、Pass2Editの成功率は一般ユーザーに対して30.34%、セキュリティに精通したユーザーに対しては15.32%を記録した。さらに、目標とするパスワードが元のパスワードと同一であるケースを含め、また人気のあるパスワード(例:「password」「123456789」)を選択するといったユーザーの脆弱な行動を考慮に入れた場合、攻撃成功率はさらに向上した。
實驗結(jié)果如下。在允許100次推測,并考慮目標密碼與原密碼不同的情況下,Pass2Edit對普通用戶的平均成功率為24.18%,對于那些精通安全的用戶則是11.68%。
在允許進行1000次推測的情況下,Pass2Edit對普通用戶的成功率為30.34%,對精通安全的用戶的成功率為15.32%。此外,包括目標密碼與原始密碼相同的情況,以及一些常用密碼(例如:有人會直接用“password”、“123456789”),則進一步提高了攻擊成功率。
1000回の推測が許された場合には、Pass2Editの成功率は一般ユーザーに対して30.34%、セキュリティに精通したユーザーに対しては15.32%を記録した。さらに、目標とするパスワードが元のパスワードと同一であるケースを含め、また人気のあるパスワード(例:「password」「123456789」)を選択するといったユーザーの脆弱な行動を考慮に入れた場合、攻撃成功率はさらに向上した。
實驗結(jié)果如下。在允許100次推測,并考慮目標密碼與原密碼不同的情況下,Pass2Edit對普通用戶的平均成功率為24.18%,對于那些精通安全的用戶則是11.68%。
在允許進行1000次推測的情況下,Pass2Edit對普通用戶的成功率為30.34%,對精通安全的用戶的成功率為15.32%。此外,包括目標密碼與原始密碼相同的情況,以及一些常用密碼(例如:有人會直接用“password”、“123456789”),則進一步提高了攻擊成功率。
評論翻譯
很贊 ( 13 )
收藏
アカウントロックされないサービスなんて
使わない方がいいけどね(笑)
そもそもなんでアカウント名がバレているんだろうな
パスワードに記號を入れていない(設(shè)定が出來ない)人が多いから総當りなら8桁未満は瞬殺だろうね
ランダムな文字ではなく単語數(shù)字の組み合わせだとAIに過去のパスワード使用データから予測されるらしいね
所詮は人間が考える組み合わせだから
ある程度の組み合わせは予測されてしまうらしい
100次輸錯密碼都不鎖賬戶,這種服務(wù)還是別用了吧。(笑聲)
而且說到底,你要怎么知道我的賬號名呢?
密碼里沒有符號(不能設(shè)定)的人很多,所以一直猜的話,不到8位的都能秒殺了。
不是隨機的字符,而是單詞和數(shù)字的組合。
而且是人類想出來的組合,某種程度的組合似乎是可以預測的
入られてはまずいシステムなら二段階認証は必須だと思う。
如果一直被這么猜的話,不管把密碼設(shè)置得多么長、多么復雜,只要是字符串密碼就很容易被突破。
如果是不能被人隨便破解的東西,就必須進行兩步認證。
原創(chuàng)翻譯:龍騰網(wǎng) http://mintwatchbillionaireclub.com 轉(zhuǎn)載請注明出處
端末に保存したりすると結(jié)局端末依存になるし。他端末で使いたいときや保存されてなかったときに使えない。
せいぜい決まったパターンを使いまわすレベル。
一番めんどくさいと思うのは
お店のレジで、アプリのポイントカードで
久しぶりに開いたときにログインIDパスワードを聞かれ、全然ログインできねえええ使えねええええ
という現(xiàn)象。
お店の人や後ろの人はその分待たされるし、自分はできなくてイライラ…
把每個密碼都換一遍是不可能的。
在設(shè)備上保存的話,最終還是會依賴設(shè)備。到時候換個設(shè)備或者忘了保存就不知道怎么用了。所以最后就是會去重復使用。
我覺得最麻煩的是
在商店的收銀臺,開APP里的積分卡
然后因為好久沒打開APP,被詢問登錄ID密碼然后忘了完全登不進去。
店里的人和后面的人要等很久,自己就會因為想不起密碼而焦躁不安……
Googleアカウントにログインして本人認証が通れば、登録している全てのサービスのパスワードが見れてしまうのがちょっと怖い
如果用谷歌的密碼管理器來管理的話,可以根據(jù)不同的服務(wù)設(shè)置不一樣的復雜密碼,
登錄谷歌賬戶,通過身份驗證,就能看到注冊的所有服務(wù)的密碼,想想有點可怕