人工智能下的口令攻击与防范
在计算机网络中,想办法破译别人的口令,这是网络黑客经常干的事情。但是,人工智能最近也开始跻身口令攻击领域。有报道称科学家利用人工智能(AI)的力量创建了一个程序,结合现有的工具,在超过4300万个精英个人资料的集合中破解了超过四分之一的密码。虽然成功率尚且不高,但这却是生成式对抗网络首次用于破解密码。另外,只要能够获取更多数据,这项技术似乎的确能获得快于传统方法的改进速度。尝试了人工智能强大的学习能力之后,必须引起我们对口令安全的重视。中国软件评测中心作为国家测评机构,具有丰富的安全测评经验,本文分析几种口令攻击的方法,并提出了一些相应地防护策略。
1.口令攻击方法
随着信息系统的不断增多,人们每天会有大量的系统登录操作。为了便于自己记忆口令,通常将口令设置的比较简单,不能保证口令的健壮性。这也提高了黑客们进行口令攻击,成功进入用户信息系统的风险。为此,国内外网站经常出现泄露用户个人信息的事件,通过统计分析这些数据,发现用户在设置密码时有许多相似的特征。图1.1为统计出的最常见的10个口令集。
(1)连续或相同的数字串、字母串等组合;
(2)常用语、常用词汇或特殊数字等组合;
(3)用户名与密码相同或相近等。
1.1.口令攻击原理
简单来说,口令攻击就是网络黑客先找到远端主机名,找出主机上的用户名,然后用字典穷举法来破译别人的口令。进而进入目标系统,获取目标的信息资源的过程。所谓字典穷举法,就是黑客使用一个特殊的程序,这个程序能够自动地从计算机字典中取出一串字符来去匹配系统的口令。如果匹配错误,说明这个猜测口令不对,抛弃这个猜测口令,继续用下一串字符进行匹配,一直到最后找到正确的口令为止。
1.2.字典攻击法
口令攻击方法中, 字典攻击是极为重要的一种攻击方式。字典攻击是有针对性地把人们常用的弱口令、常用符号进行汇总,形成字典。猜测口令时,直接遍历该字典,逐个进行口令匹配,直至匹配成功。通过时间的积累,网络上的字典逐渐变得更大,更全。
1.3.混合攻击法
当然,字典攻击比较适合用户口令使用简短单词、数字等。如果口令设置比较长,字典攻击无法取得成效。攻击者往往会采用穷举攻击,从最短的口令开始,不断递增尝试破解。由于人们设置密码的长度终归有限,因此穷举攻击的方式成功率较高。这时就是攻击者常用的混合攻击法,即将字典攻击和穷举攻击两种方式混合使用。
1.4.社会工程学
除此之外,还有一种极具魅力的攻击方式——社会工程学。它是一种通过对受害者心理弱点、好奇心、信任等心理陷阱进行诸如欺骗、伤害等危害手段。攻击者是利用知道的一些目标信息,通过欺骗目标,取得目标信任,获得口令。看似简单,实施起来并不容易。有时还能起到比技术攻击更为有效的效果。这种攻击手段,再结合其他攻击方法,被广泛应用。
1.5.大数据下的字典攻击
现如今,随着网络与大数据技术的发展,以空间换时间的方式,分布式破解等新思路、新方法的出现。加上用户依然用容易、好记的口令,可以说口令攻击方法会更为有效。以大数据技术为例,通过大数据分析技术,可以获取用户的姓名、手机号码等结构化信息和兴趣爱好、习惯等非结构化信息等。由这些信息,可以构成用户的信息全貌,即用户画像数据。
这时,在构建攻击字典时,通过人工智能对该用户画像数据的不断学习,学习到该用户设置口令的习惯、规则,据此构出猜测口令,这样的猜测口令更加有针对性,而且适用于该用户在任何信息系统下的口令,可以说是此用户所特有的口令字典。
2.口令攻击的防护策略
虽然利用字典等口令攻击方法能得以成功破解口令,如果口令的复杂度很高,那么破解口令所耗费的时间会特别长,此时,可以认定为密码是安全的。因此,应加强口令强度,防止口令被穷举法和字典法猜测出。对于用户口令防护提出以下对策:
(1)口令长度不小于8位,并由字母、数字、特殊符号等不少于3种的字符组成;
(2)对系统的登录次数进行限定,超过限定登录错误次数,即锁定账户。
(3)避免使用简单、常用、易记忆的字符串作为口令;
(4)避免不同的系统使用相同或相近的口令;
(5)要定期或不定期修改口令;
3.总结
口令安全是保护计算机网络安全的一道重要防线。一旦被攻击者破解口令,信息系统的任何安全机制都将是形同虚设,攻击者毫不费力就能获取该信息系统的任何资源信息。更何况,现在人工智能的加入,使得口令安全问题变得更加严峻。因此,在做好现有的口令安全防护措施之余,我们应该找到一种新的口令认证机制,来对抗大数据分析和人工智能对口令安全的冲击。