挑战口令安全领域未攻克的基础难题
在口令安全领域,一个长期未攻克的基础难题是,在攻击者未获取网站服务器口令存储文件的情况下,如何以最少猜测次数确定目标用户的口令。于是,汪定决定挑战这个难题。因为口令猜测研究过去一直局限于漫步猜测,关于利用个人信息加速口令在线猜测的研究极少。“这不符合我们的密码使用习惯,就像黑客知道了我们的邮箱账号、姓名或者生日,可以据此猜测支付宝账号。”
汪定说,长期以来,学术界和工业界都普遍认为口令在线猜测攻击可以轻易防范,比如采用动态验证码机制、限制每日失败登录次数、限制失败登录频率等。美国国家标准NISTSP-800-63-2也持这一观点,该标准是用来指导美国政府、企业和各种组织对各种涉密信息系统如何进行用户身份认证的指南。
“这一观点背后的自信源于对攻击者成功率的低估,可事实上,随着科技的发展,现在黑客的攻击现象频发,现有的防御方法对定向口令在线猜测攻击来说是束手无策的,比如时常发生的银行卡、QQ等用户密码被盗的情况。所以,必须要改进现有的在线口令猜测的防御机制。”汪定说。
针对“给定网站和目标用户的相关个人信息,如何以最少猜测次数确定目标用户的口令”这一问题,汪定团队提出了一个定向口令在线猜测攻击框架。该框架包含7个概率攻击模型,分别刻画7种不同能力的现实攻击方法,且实现口令猜测过程自动化,其中5种攻击方法为首次研究。
在9600万条真实口令数据的测试结果显示,在允许猜测100次的前提下,如果攻击者仅知道目标用户的一些常见个人信息,成功率约为20%;如果还知道该用户曾在其他网站泄露的一个口令,成功率可提升至77%。
汪定团队的这一结果大大超出此前人们的预期。因为这个结果意味着,当前这些防御在线口令猜测的安全机制(如动态验证码机制、限制每日失败登录次数、限制失败登录频率灯)远远不够的。如果攻击者利用他们团队提出的攻击方法,各种普通的计算机系统、网站,甚至涉密信息系统的大门对攻击者来说是敞开的。
研究成果促使美国身份认证标准修改
2016年7月,汪定团队的研究以《定向口令在线猜测:一种被低估的威胁》为题,发表于美国计算机协会主办的第23届计算机与通信安全会议( ACM CCS)。
据了解,该会议被公认是网络与信息安全领域的顶级学术会议之一(也是中国计算机学会和中国密码学会所推荐的A类国际学术会议),创办23年来,中国大陆研究机构以第一完成单位发表的长文不超过10篇。
汪定团队的这项研究成果,自去年8月底公开以来,目前已被数十个国家的200多家媒体报道,相关报道涵盖20多种语言。该成果已成为包括美国普渡大学在内的欧美多所高校2016秋季学期的授课内容。
美国国家标准与技术研究院曾就其数字认证安全指南(NIST SP-800-63-3)向汪定和论文作者们征询防御措施。2016年9月18日,美国国家身份认证指南(NIST SP800-63-3)根据该结果,修订了在线猜测防御部分的内容。
汪定在痴迷科研的同时,还积极承担多项学术服务工作。2016年,他应邀担任国际电气和电子工程师协会汇刊(IEEE Trans)和《中国科学》等50多个国内外期刊和会议审稿人;担任16个ACM/IEEE国际学术会议的程序委员会委员,包括如IEEE TrustCom、ICPADS、ISPEC、ProvSec等著名国际会议,委员们基本都是国际知名教授,极少有在读学生;4次受邀在国内外学术会议作大会特邀报告。
采访中,汪定说,在北大求学中,令他最难忘的是,一次外出参加学术会议时,一位教授曾当面对他说:“你符合我对北大学生的印象。”这句话让他深感做为一名北大学子所肩负的社会期望和责任,只有不断追求卓越,才会不负青春,才堪称未名学子。