用户密码数据的分析与保护

网站建设730 更新时间：2025-06-08 21:56:29

2023年7月31日发(作者：)

文献综述

当今社会,因特网(Internet)正发挥着越来越重要的作用,人们可以利用因特网进行网上购物、电子支付、远程教育、发送电子邮件等，甚至利用Twitter等社交网站进行社会化交往，很多时候用户的敏感信息如账户资料等以加盐哈希文件的方式存储在后台数据文件中。这些数据文件自然成为了黑客等恶意攻击者窃取的对象。

2011年，全球共计信息泄露事件819起，总损失金额超过200亿美元[3]。2012年，国内程序员社区 CSDN 安全系统遭黑客攻击，600 万用户的登录名及密码遭泄露[1]。随后，天涯社区、世纪佳缘、开心网等十余家国内知名网站，近 5000 万用户信息在网上被黑客公布。当当、京东、支付宝等账户被盗用，工信部随后介入调查，一石激起千层浪。这一系列的事情被人们称为“互联网裸奔”事件。另外，这年中一个攻击者攻击了LinkedIn[5]的服务器，盗取650万的账户信息，利用这些信息在一周之内破解了60%的密码。造成这种情况，一方面是很多时候用户密码过于短弱，特别是非计算科学领域的用户选择密码可能更弱[14]，攻击者很容易通过暴力破解、字典攻击、彩虹表对用户的密码进行攻击。另一方面，很多网站数据保护存在安全隐患，不符合一定的安全规范。另外由于近年来计算机图形处理单元（GPU）[15]技术的使用，加速了数据处理的速度，使得攻击者进行暴力破解更加容易。

在 Verizon的2012年年度数据泄露调查报告[4]中提到，94%的数据泄露跟服务器有关，比2011年增加了12%；在Verizon的2014年年度数据泄露调查报告[2]显示，失窃账户密码依然是非法获取信息的最主要途径。三分之二的数据泄露都与漏洞或失窃密码有关。

因此，保护服务器上的密码，特别是密码哈希文件变得非常紧迫，研究防范密码数据被窃取的技术以及怎样提高数据库的密码文件的安全性是一个重要的课题，不管是在已经被窃取或者是没有窃取之前的保护都是值得研究的。

对于用户密码数据的分析与保护方面，很多研究者作了相关的研究：

利用用户的不同密码选择：在文献[6]中，作者对用户选择密码的分布进行了研究。在对四个不同的web网站进行分析的基础上，发现用户的密码选择符合齐普夫定律（Zipf’s law）,并且发现这几个网站中，有很大一部分是共同出现过的频率较高的密码，这就说明用户在选择密码的时候，很大程度上选择曾经用过的密码。如果用户在不同网站的服务中选择不同的密码，安全性会得到适当的加强。在文献[7]中，Georgios 等人提出了SAuth方法来保护密码文件的信息泄露。这种方法利用用户不同服务间选择密码不一样来进行保护。SAuth是一种不同服务之间协同认证的协议。如果用户U提交用户名、密码想要登录服务S，那么他同时必须提交账户名、密码到服务P上进行认证，服务P是服务S的担保方，服务S和P是用户可能经常登录的服务，比如Twitter、Facebook、Gmail。如果攻击者盗取了U在S的密码，但是不知道P上的密码，攻击者是不能进行有效登录的，当然要求S和P上的密码不一样。如果两者密码是一样的，这种方法将变得不那么有效。当然这种方法为保护用户的数据信息提供了一种思路。

利用多个服务器：在文献[7]中，作者提出了PPSS的方法，允许用户在n个受托方保存数据，任意至少t+1个未损害的受托方可以重建数据，少于t+1个受托方则不能重建数据。在[8]中，作者将门限认证应用到了Ad hoc网络中，n个服务器节点中，任意t个节点可以共同完成一个注册用户的认证。这类思路中，如果攻击者不能攻破一定门限的服务器，那么用户的密码数据将是安全的，缺点是需要多个服务器的协同使用。

设置密码陷阱：密码陷阱的概念和理论在[18]中得到了概述。在文献[9]中，Hristo Bojinov等人提出了一种密码管理器，这种设备将用户密码和很多陷阱密码共同存储，从而增加攻击者窃取用户信息的时间。在最近的文献[10]中，Ari

Juels提出了Honeywords的方法，系统阐述了在数据库中，将用户的密码和伪密码共同存储，并且打乱他们的次序，利用一个检查服务器（checker）存储和检查密码的序号，从而大大增加了攻击者的开销。如果攻击者使用伪密码（honeyword）进行登录，那么系统会立刻发出警告信号，从而达到保护用户密码文件的目的。并且此文中讲述了有效地产生honeyword的方法，产生了比较大的反响。Rao在[13]描述了一个专利应用，这个应用将数据集分为开放数据集和封闭数据集，其中开放数据集存储用户的正确密码，封闭数据集存储一些相似的“失败密码”，攻击者攻击数据集后，登录的时候，输入的如果是正确密码，则正常登录，如果是失败密码，也让其登录，不过不赋予登录后相应的的权限，攻击者以为登录了，其实没有，从而实现对系统的保护。在文献[19]中，JimYuill设计了一种Honeyfiles的入侵检测设备，在服务器端存储陷阱文件，比如“”,检测设备以攻击者对“”的访问作为入侵检测的标准。在[20]中，也提到了一种类似的方法，作者利用“decoy documents”检测内部人员的攻击，如果“decoy documents”被访问到，则立刻发出警告。但是这类方法对攻击者进入并获取密码哈希这条“路”没有设置足够障碍。

在文献[30,31]中，作者针对传统加密方式中存在易被解密的隐患，提出了一种基于伪密码的加密方法。首先由加密函数将用户的真实密码转换为随机的伪密码并存储在数据库中，再由解密函数将存放在数据库中的伪密码解密，并与用户的原密码比较，从而确声用户身份的合法性。该方法实现简单，对应的伪密码毫无规律，有一定的效果。但是这种方法增加了一定的存储空间。

键值延长：在[11]中，作者提出了一种键值延长（Key Stretching）的方法，这种方法基于哈希函数使得s 比特的暴力破解的搜索空间延长到s+t比特的键值搜索空间，从而提高了暴力破解的复杂度，减弱了密码破解的效率。但是这种方法需要执行多轮加密操作，即减缓了攻击者的攻击效率，也影响了正常用户认证的速度。

多方认证：在文献[16,17]中，作者提出了使用多个服务器来对用户的密码进行认证，任何一个服务器端的数据损害并不能造成任何一方服务器的数据泄露，因为必须同时对多方服务器进行认证，并且在多方服务器的值满足一定的关系时，所有的数据才能完全“打开”。这种方法需要建立服务器端和客户端的协议，并且不能应用到非分布式的场景。

双因子认证：在文献[21,22]中，作者提出了双因子认证（Two-Factor

Authentication）的概念，将密码以及实物（信用卡、SMS手机、令牌或指纹等生物标志）结合起来进行认证，只有当用户同时知道用户的密码和实物信息时，才能进行登录。例如，如果攻击者盗取了用户密码，但是不知道用户的手机信息或者攻击者获得了用户的手机但是不知道用户的密码同样不能登录系统。因而有效地保护系统，但是这种方法需要使用额外的工具，为IT和技术支持增加了额外的负担。

Gwoboa在[12]中提出了将用户的用户名和密码等验证信息通过门限加密的多项式转化为两个隐藏的信息存储在数据库中，从而使得数据库中存储的不是用户名与密码的表而是两个隐藏的信息，即使攻击者得到两个隐藏信息，由于不知道私钥为何值，因此不能解密。但是这种方法需要私钥得到安全存储，文中提到将私钥应用门限加密存储于多个系统中，但是如果所有的磁盘数据已知的话，私钥同样变得不安全。

其他的一些保护用户秘密信息的方式包括：像银行和医疗服务一样，使用智能卡来存储用户的信息[32]，这种方式应用非常广泛并且非常有效。但是这种方式需要额外的设备开销，并且并不适合纯文本的认证方式；使用第三方的软件如密码管理器，来为用户产生安全密码[33]，当用户使用自己的密码登陆密码管理器后，密码管理器依据网站的不同分别产生不同的安全密码，从而避免了攻击者利用用户使用相同密码的弱点跨网站攻击。但是这种方式的安全性局限于第三方软件，并且用户的真实密码必须存储于第三方软件上；使用生物信息[34]，如指纹、虹膜，来对用户信息进行认证。使用击键动力学[35]进行认证，这种方法当用户输入密码的时候，根据动力学来改变存储的密码。这类方法都需要在客户端和服务端增加相应的设备。

一种思路是利用秘密共享来实现对密码的保护：秘密共享是现代密码学领域中的重要领域之一，常用于密钥管理；为密钥在保存、传输和使用过程中提供了强有力的安全保障。秘密共享主要思路是，首先利用某种算法将秘密信息分成若干份额，分别将其分配给相应的秘密持有者，只有持有者的人数大于或等于某值时才能恢复出秘密信息；小于该值时得不到任何秘密信息，哪怕是只差一份持有者信息也不能恢复秘密。这就是秘密共享的基本思想。首先，秘密共享可以将个人权力分散防止过于集权；其次，增加了秘密信息的稳定性，即当有参与者的秘密份额缺失时，其他参与者也能利用各自的秘密份额恢复秘密；再次，增强了秘密信息的隐蔽性，任何个人或小于规定个数的持有者群体，都不能得到秘密信息的任何信息。因此，秘密共享作为管理秘密信息的重要工具，在密钥管理、数据安全、信息隐藏等领域有着非常广泛的作用，其不仅有重要的理论意义，而且具有非常广泛的应用前景。

秘密共享最早由Shamir[23]和 Blarkey[24]分别独立提出的。秘密共享的概念，即把一个秘密分成若干部分（秘密份额）分发给 n个参与者，只有 t或 t个以上的参与者合作才能恢复出秘密。Shamir 设计了一个基于 Lagrange 插值多项式的秘密共享方案，将多项式的常数设置为秘密，多项式的其他系数随机产生，多项式在各个规定点的值作为方案的秘密份额。根据 Lagrange 插值定理，任意 t个点和在这 t个点上多项式的值可以重构该多项式，常数项即为共享秘密；而小于 t个点无法确定多项式各个项的系数，所以无法得到共享秘密。Blarkey 利用向量空间的性质提出了一个 (t , n )门限秘密共享方案，即秘密S是一个t维向量的点，n个参与者的秘密份额是一个包含这个点的t-1维超平面的方程。通过解 t个方程组成的方程组得到S，而小于 t个方程组成的方程组显然无法得到正确结果，从而无法得到秘密信息。这两种方法在某种程度上具有一定的相似性。其他研究者以中国剩余定理为基础提出了Asmuth-Bloom 法[25]以及根据矩阵乘法的Karnin-Greene-Hellman 方法[26]等。而在这些方案中，最常用的是 Shamir 的(t, n)门限方案，以 Lagrange 插值法为基础，方案实现简单，并且是一个比较完备的理想方案。

基于秘密共享的这些特点，一些研究者提出了利用秘密共享来对密码哈希进行保护。如Justin Cappos在[27]中提出了PolyPassHash的方法，这种方法对于数据库中存在的密码哈希添加一个Shamir（t，n）门限加密系统，随机产生一个key对密码哈希值进行加密，而将key分散于门限系统中，给不同用户分配不同的门限值，只有用户提交的门限值不小于t时，门限系统加密系统解密，小于t时，由于没有解密，密码文件中的哈希值被key进行了加密，即使攻击者得到，由于key未知，密码信息并不能泄露，从而实现对密码的保护。另外，Shamir门限系统在其他领域得到广泛的应用。在文献[28]中，作者利用Shamir门限系统来保护AES。在文献[29]中，在CA系统中利用Shamir门限方案来保护私钥，优点是不需要加密卡等加密设备，取得了不错的效果。

参考文献

[1] 管怡舒,CSDN用户数据泄露案浅析,消费电子.2013年1月下：203.

[2] Verizon发布2014年数据泄露调查报告：九大攻击模式为主.

/content/14/0606/13/17914362_.

[3] 杨卫强，扼制数据泄露的可能，技术.数据泄露防护，2012.

[4] 谭峻楠，廉小伟，刘晓韬，Verizon2012年度数据泄露调查报告摘述与分析，技术天地，2012.

[5] Hackers crack more than 60% of breached LinkedIn passwords.

/s/article/9227869/Hackers_crack_more_than_60_of_breached_LinkedIn_passwords.

[6] Mazurek, Michelle L., et al. "Measuring password guessability

for an entire university." Proceedings of the 2013 ACM SIGSAC

conference on Computer & communications security. ACM, 2013.

[7] Kontaxis, G., Athanasopoulos, E., Portokalidis, G., & Keromytis,

A. D. (2013, November). SAuth: protecting user accounts from password

database leaks. In Proceedings of the 2013 ACM SIGSAC conference on

Computer & communications security (pp. 187-198). ACM.

[8] Chai, Zhenchuan, Zhenfu Cao, and Rongxing Lu. "Threshold password authentication against guessing attacks in Ad hoc networks." Ad Hoc

Networks 5.7 (2007): 1046-1054.

[9] Bojinov, Hristo, et al. "Kamouflage: Loss-resistant password

management." Computer Security–ESORICS 2010. Springer Berlin

Heidelberg, 2010. 286-302.

[10] JUELS, A., AND RIVEST, R. L. Honeywords: making passwordcracking

detectable. In Proceedings of the 2013 ACM SIGSAC conference on

Computer & communications security (2013),ACM, pp. 145–160.

[11] Kelsey, John, et al. "Secure applications of low-entropy keys."

Information Security. Springer Berlin Heidelberg, 1998. 121-134.

[12] GWOBOA, H. Password authentication without using a password

table. Information Processing Letters 55, 5 (1995), 247–250.

[13] Shrisha Rao. Data and system security with failwords.

U.S. Patent Application US2006/0161786A1, Office, July

20, :///patents/US2.

[14] Mazurek, Michelle L., et al. "Measuring password guessability

for an entire university." Proceedings of the 2013 ACM SIGSAC

conference on Computer & communications security. ACM, 2013.

[15] A Complete Suite of ElcomSoft Password Recovery Tools.

/#gpu.

[16] W. Ford and B. S. Kaliski Jr. Server-assisted generation of a

strong secret from a password. In Proceedings of the IEEE 9th

International Workshop on Enabling Technologies (WETICE). IEEE Press,

2000.

[17] Brainard,John,et al."A new two-server approach for

authentication with short secrets." Proceedings of the 12th

conference on USENIX Security Symposium. 2003.

[18] F. Cohen. The use of deception techniques: Honeypots and decoys.

In H. Bidgoli, editor,Handbook of Information Security，volume3，page,pages646– and Sons, 2006.

[19] J. Yuill, M. Zappe, D. Denning, and F. iles: eceptive

files for intrusion detection. In Information Assurance

Workshop,pages116–122,2004.

[20] B. M. Bowen, S. Hershkop, A. D. Keromytis, and S. .

Baiting inside attackers using decoy ecureComm,pages51–70,2009.

[21] DI PIETRO, R., M E, G., AND STRANGIO, M. A. A two-factor

mobile authentication scheme for secure financial transactions. In

Mobile Business, 2005. ICMB 2005. International Conference on

(2005), IEEE, pp. 28–34

[22] Czeskis, Alexei, et al. "Strengthening user authentication through opportunistic cryptographic identity assertions."

Proceedings of the 2012 ACM conference on Computer and communications

security. ACM, 2012.

[23] A. Shamir, How to Share a secret [J], Communication of the ACM,

22(11), 1979, pp: 612-613.

[24] G.R. Blakley, Safeguarding cryptographic keys, In: Proc. NCC,

Vol. 48, 1979, pp: 313-317.

[25] Asmuth C., Bloom J. A Modular approach to key safeguarding. IEEE

Transactions on Information Theory, 1983, 29(2): 208-210.

[26] Karnin E. D., Green J. W., Hellman M. E. On sharing secret systems.

IEEE Transactions on Information Theory, 1983, 29(1): 35-41.

[27] Cappos, Justin. "PolyPassHash: Protecting Passwords In The

Event Of A Password File Disclosure."

[28] Goubin, Louis, and Ange Martinelli. "Protecting AES with Shamir’s secret sharing scheme." Cryptographic Hardware and Embedded

Systems–CHES 2011. Springer Berlin Heidelberg, 2011. 79-94.

[29] 张雷,基于Shamir门限私钥保护的CA系统设计与实现,山东大学硕士学位论文，2008年.

[30] 杨东风,一种系统登录加密新方法研究与实现,计算机应用技术，2010，12（323）：51-52.

[31] 雷朝军,伪密码，计算机安全与维护，2009.

[32] DEO, V., S EIDENSTICKER, R. B., AND SIMON, D. R. Authentication

system and method for smart card transactions, Feb. 24 1998. US Patent

5,721,781.

[33] HALDERMAN, J. A., S CHOEN, S. D., H ENINGER, N., C LARKSON, W.,

PAUL, W., C ALANDRINO, J. A., F ELDMAN, A. J.,APPELBAUM, J., AND

FELTEN, E. W. Lest we remember: coldboot attacks on encryption keys.

Communications of the ACM 52,5 (2009), 91–98.

[34] ATALLAH, M. J., F RIKKEN, K. B., G OODRICH, M. T., AND

TAMASSIA, R. Secure biometric authentication for weak computational

devices. In Financial Cryptography and Data er, 2005,

pp. 357–371.

[35] MONROSE, F., AND RUBIN, A. D. Keystroke dynamics as a biometric

for authentication. Future Generation Computer Systems 16, 4 (2000),

351–359.