應用資料探勘之知識於密碼破解之研究

Abstract

[[abstract]]密碼(Password)目前仍是各系統中用來作使用者認證最常用的機制，然而這種機制很容易受到字典攻擊法攻擊。為了防止這種攻擊，使用者會使用複雜的知識建構規則來創建其密碼。本文利用資料探勘的方法，試圖找出這樣的密碼知識建構規則，並利用其所發現之規則，建構出對於破解密碼的模型。 在密碼知識建構規則探勘中，我們利用已公布的一個，大型社交網站用戶密碼，對其進行正規化、結構分類與統計分析。我們發現使用者在創建密碼時，有80%以上是由英文小寫文字(Lower case letter) 與數字(Number)交錯使用而成，其中在英文小寫字串後附加數字的密碼結構規則佔了其中的33.02%。然而，純「英文小寫字串」、「英文小寫字串後附加數字」與「數字後附加英文小寫字串」三種密碼結構規則之中，所使用之「英文小寫字串」(Lower case string) 經抽離後，與dic-0294字典比對之後，發現有意義的英文小寫字串比例卻有明顯的差異。以長度為6的英文小寫字串來說，有意義的字串比例為6.78%、43.39%、59.76%；若長度縮減為4，有意義的字串比例提高為64.14%、69.58%、79.73%。 進而我們利用Context-Free Grammar來表示密碼知識建構規則且分析這些知識規則所建構之所有密碼之複雜度分析。分析後發現，低於280有99.94%，低於240有77.04%。為了發展更有效的密碼攻擊辦法，我們設計了一種模式，利用訓練時所產生的密碼知識規則以及規則下的元素集合(Knowledge Set)、搭配廣泛的字典(Dictionary)用於測試集(Testing Set)來進行密碼破解效果的測試，稱為KDT模型。當只使用dic-024作為字典集時，及當生成的密碼的數量(Rainbow)位於50和450百萬之間，KDT模型對MySpace的命中率是27-33％，對Phpbb是26-31％，對Rockyou28是20-28％。[[sponsorship]]淡江大學; 中國人民大學[[conferencetype]]兩岸[[conferencedate]]20120905~20120907[[booktype]]電子版[[iscallforpapers]]Y[[conferencelocation]]北京, 中