密碼持有人信息與所使用密碼關(guān)系的調(diào)查統(tǒng)計(jì)分析

張 弘，石瑞民，丁 錳

(中國人民公安大學(xué)，北京 100038)

1 背景和意義

隨著計(jì)算機(jī)技術(shù)在我國各個(gè)領(lǐng)域的推廣、普及，越來越多的人開始學(xué)習(xí)計(jì)算機(jī)知識并且開始重視計(jì)算機(jī)存儲的各種信息的安全性，對重要內(nèi)容設(shè)置密碼加密。此前有文章研究過學(xué)校的MIS系統(tǒng)的暴力破解［1］，發(fā)現(xiàn)使用的密碼復(fù)雜度越高，傳統(tǒng)的暴力破解會耗費(fèi)越多的時(shí)間，破譯工作越困難。與暴力攻擊方式相比，字典攻擊方式在統(tǒng)計(jì)學(xué)意義上的破解速度要快很多，而其破解率主要依賴于所使用的口令字典。

口令字典中包括許多人們習(xí)慣性設(shè)置的密碼，配合解密軟件使用，可以有效縮短解密時(shí)間，提高解密軟件的密碼破解率。口令字典的制作方法有很多種，其中如何有效地運(yùn)用社會工程學(xué)方法制作口令字典是破譯學(xué)領(lǐng)域中的熱點(diǎn)問題之一［2-4］。我們通過大范圍調(diào)查，運(yùn)用統(tǒng)計(jì)學(xué)相關(guān)工具詳細(xì)分析了密碼持有人信息與所使用密碼的相關(guān)關(guān)系［5］，從而對口令字典的生成起到指導(dǎo)性作用。

2 資料與方法

1)資料:北京市范圍內(nèi)發(fā)放問卷20 000份，回收有效問卷12 560份，有效回收率為63%。

2)方法:通過隨機(jī)發(fā)放問卷，進(jìn)行調(diào)查。問卷的內(nèi)容包括:年齡、受教育程度、密碼持有數(shù)量、持有密碼位數(shù)、密碼組成情況、密碼與本人信息是否相關(guān)。

3)統(tǒng)計(jì)分析:資料經(jīng)整理錄入計(jì)算機(jī)，采用SPSS軟件包，結(jié)合手工進(jìn)行統(tǒng)計(jì)分析。

3 分析

3.1 密碼持有人分析

3.1.1 密碼持有人分類

我們將密碼持有人按照年齡和受教育程度分別進(jìn)行分類統(tǒng)計(jì)，結(jié)果見表1。

1)按年齡段劃分:1、20歲以下;2、21～35歲;3、36～50歲;4、50歲以上。

2)按最高學(xué)歷劃分:1、低學(xué)歷(高中及以下)，2、中等學(xué)歷(大學(xué)專科、本科)，3、高學(xué)歷(碩士、博士)。

表1 密碼持有人分類

3.1.2 密碼持有人的年齡與使用密碼情況的相關(guān)分析

圖1和表2中列出了密碼持有人的年齡和使用密碼的位數(shù)及密碼組成的調(diào)查結(jié)果。統(tǒng)計(jì)發(fā)現(xiàn)66.6%的被調(diào)查人群持有密碼位數(shù)是6～8位，并且各個(gè)年齡段的被調(diào)查人群中，使用6～8位密碼的比例最多;74.6%的被調(diào)查人群持有密碼組成是數(shù)字+字母形式，其中21～35歲和36～50歲的被調(diào)查人群中使用數(shù)字+字母密碼的比例分別為78.2%和79.7%，明顯高于20歲以下和50歲以上的被調(diào)查人群中使用該密碼組成的比例。

圖1 密碼持有人使用密碼位數(shù)分布圖

表2 密碼持有人使用密碼組成比

對于20歲以下和50歲以上的人群，由于涉及密碼保護(hù)的內(nèi)容較少以及計(jì)算機(jī)知識的匱乏，使用僅由數(shù)字構(gòu)成的密碼的比例較高，破譯起來比較容易。而21～35歲和36～50歲的人群，由于需要密碼保護(hù)的內(nèi)容較多以及對計(jì)算機(jī)知識比較熟悉，所以使用的密碼復(fù)雜度較高，破譯起來也就比較困難。按照對計(jì)算機(jī)的熟悉程度，我們將各年齡段密碼持有人分成4個(gè)等級，見表3第2列。按照密碼持有人使用密碼組成比，對每個(gè)年齡段賦一個(gè)密碼復(fù)雜程度值(以20歲以下年齡段為例，其使用密碼復(fù)雜程度 =24.2% × 1+59.8% × 2+16.0% × 3=1.918)，并相應(yīng)地分成4個(gè)等級，見表3第4列。利用等級相關(guān)系數(shù) ，我們計(jì)算了密碼持有人年齡和他們使用密碼復(fù)雜程度的相關(guān)性，此處n=4，di等于B等級減去相應(yīng)的A等級。經(jīng)計(jì)算rs=1，說明密碼持有人年齡和使用密碼復(fù)雜程度高度相關(guān)。因此生成口令字典時(shí)密碼組成應(yīng)以數(shù)字和字母為主，輔以一些常見的其他字符。在編寫軟件時(shí)，增加密碼持有人年齡段的分類選項(xiàng)，以提高破譯效率。

表3 年齡段和密碼復(fù)雜程度等級表

3.1.3 密碼持有人的受教育程度與使用密碼情況的相關(guān)分析

通過統(tǒng)計(jì)調(diào)查，密碼持有人所使用的密碼位數(shù)及密碼組成和他們的受教育程度密切相關(guān)。從表4中可以看出，66.6%的被調(diào)查人群持有密碼位數(shù)是6～8位。低學(xué)歷人群中使用6～8位密碼的人數(shù)最多，占77.4%;其次是使用6位以下密碼的比例，占16.1%。中等學(xué)歷人群和高學(xué)歷人群使用的密碼位數(shù)則集中在6～8位和8～12位，并且中等學(xué)歷人群中使用6～8位密碼的人數(shù)最多，占68.7%;高等學(xué)歷人群中使用8～12位密碼的人數(shù)最多，占50.3%。從圖2中的數(shù)據(jù)分析得知，74.6%的被調(diào)查人群持有密碼組成是數(shù)字+字母形式。低學(xué)歷人群中有61.8%的人使用數(shù)字+字母形式的密碼;中等學(xué)歷人群和高等學(xué)歷人群中使用該密碼形式的比例提高到77.6%和74.3%，且高學(xué)歷人群中使用其它形式密碼的比例(14.1%)稍高于中等學(xué)歷人群中的比例(13.3%)。

表4 密碼持有人受教育程度與使用密碼位數(shù)的比例%

圖2 密碼持有人使用密碼組成分布圖

我們將密碼持有人按照受教育程度分成3個(gè)等級，見表5第2列。按照密碼持有人使用密碼位數(shù)比，對每種學(xué)歷人群賦一個(gè)平均密碼位數(shù)，并相應(yīng)地分成4個(gè)等級，見表5第4列。利用等級相關(guān)系數(shù)，我們計(jì)算了密碼持有人受教育程度和他們使用密碼位數(shù)的相關(guān)性，此處n=3，di等于D等級減去相應(yīng)的C等級。經(jīng)計(jì)算rs=1，說明密碼持有人受教育程度和使用密碼位數(shù)高度相關(guān)。

密碼持有人的受教育程度越高，其密碼保護(hù)意識越強(qiáng)，使用的密碼復(fù)雜度越高，設(shè)置的密碼位數(shù)越多。但是密碼位數(shù)越多，采用的字符集越復(fù)雜，生成的口令字典就越龐大，破譯時(shí)需要的時(shí)間就越多。而且在我們的調(diào)查結(jié)果中，僅有0.7%的人會設(shè)置多于12位的密碼，絕大多數(shù)人表示由于記憶困難等原因，密碼位數(shù)不會超過12位，這個(gè)統(tǒng)計(jì)結(jié)果與此前的文章［7］結(jié)論基本一致。因此生成口令字典時(shí)密碼位數(shù)應(yīng)以12位以下為主，同時(shí)增加密碼持有人受教育程度的分類選項(xiàng)，以提高破譯效率。

表5 受教育程度和平均密碼位數(shù)等級表

3.2 密碼來源分析

統(tǒng)計(jì)調(diào)查發(fā)現(xiàn)，密碼持有人的密碼來源大致分為兩類。第一類是密碼持有人直接使用自身相關(guān)信息作為密碼，例如生日、手機(jī)號碼等信息(可被看成口令因子)，或者使用在自身相關(guān)信息的基礎(chǔ)上生成的密碼;第二類是使用完全隨機(jī)生成的密碼。眾所周知，口令字典對于破解第一類密碼有比較好的破譯效果，而當(dāng)密碼持有人使用第二類密碼時(shí)，使用口令字典的破解模式便無從下手，只能通過暴力破解的方式破譯密碼。

第一類密碼的優(yōu)點(diǎn)在于易于記憶，不容易遺忘，因此97.3%的被調(diào)查人群選擇使用這類密碼(其中22.9%的人群直接使用自身相關(guān)信息作為密碼，74.4%的人群使用相關(guān)信息生成的密碼);缺點(diǎn)在于一旦他人掌握密碼持有人的相關(guān)信息，其密碼將會比較容易破譯。第二類密碼的優(yōu)點(diǎn)在于他人無法利用密碼持有人的相關(guān)信息破譯密碼，缺點(diǎn)是不易于記憶，一旦長時(shí)間不使用很容易遺忘，從而造成自己也無法解密的情況。因此，在調(diào)查人群中僅有2.7%的人群使用此類密碼，而且使用此類密碼的人多數(shù)(2.1%)使用密碼位數(shù)在8位以內(nèi)，使用隨機(jī)密碼且位數(shù)多于8位的僅占0.6%。這個(gè)結(jié)果與目前已有的一些口令數(shù)據(jù)庫的分析結(jié)果一致:用戶密碼和真正隨機(jī)密碼的分布是不同的［8］。而且，此前有文章提出了通過這些口令因子生成口令字典的方法，并得到了較高的破解成功率［9］。

表6 被調(diào)查人密碼來源比例

3.3 密碼持有人持有密碼數(shù)量分析

隨著科技的發(fā)展和時(shí)代的進(jìn)步，人們在日常生活和工作中對電子產(chǎn)品的需求越來越大，存儲在電子產(chǎn)品中需要密碼保護(hù)的內(nèi)容也越來越多。為了確保一些個(gè)人信息的安全，大家設(shè)置了多于一個(gè)的密碼。調(diào)查發(fā)現(xiàn)，85.8%的人持有2個(gè)以上密碼，只有14.2%的人所有信息都只用一個(gè)密碼加密。但是持有密碼數(shù)量的增加也給人們的工作生活帶來一些不便，比如多個(gè)密碼之間容易產(chǎn)生混淆等問題，因此人們持有的密碼數(shù)量也不會太多。根據(jù)我們的統(tǒng)計(jì)，97%的人在日常工作和生活中使用的密碼不會超過3個(gè)，持有3個(gè)以上密碼的人的數(shù)量僅占被調(diào)查人群的3%。

表7 被調(diào)查人持有密碼個(gè)數(shù)比例

4 結(jié)論

如何有效地制作口令字典是破譯學(xué)領(lǐng)域中的熱點(diǎn)問題之一，它是一項(xiàng)關(guān)系到密碼能否成功破譯的重要工作。本文中，我們通過12 560份有效隨機(jī)調(diào)查問卷，詳細(xì)分析了密碼持有人信息與所使用密碼的相關(guān)關(guān)系。統(tǒng)計(jì)調(diào)查發(fā)現(xiàn)，密碼持有人所使用的密碼位數(shù)及密碼組成和他們的年齡及受教育程度密切相關(guān)。因此生成口令字典時(shí)密碼組成應(yīng)以數(shù)字和字母為主，輔以一些常見的其他字符;密碼位數(shù)以12位以下為主;基于數(shù)據(jù)的相關(guān)性計(jì)算得到的結(jié)果，建議在編寫軟件時(shí)，增加密碼持有人年齡段和學(xué)歷層次的分類選項(xiàng)，以提高破譯密碼的效率。同時(shí)我們也對密碼持有人的密碼來源和持有密碼數(shù)量進(jìn)行了調(diào)查分析，發(fā)現(xiàn)97.3%的被調(diào)查人群使用自身相關(guān)信息作為密碼或是由相關(guān)信息生成密碼。因此在口令字典的前期準(zhǔn)備工作中，應(yīng)重點(diǎn)收集密碼持有人本人及其相關(guān)關(guān)系人(夫、妻，父母，子女，男女朋友等)的各類信息(身份證號，生日，手機(jī)，家庭電話等數(shù)字信息)。

由于本次調(diào)研我們只在北京市范圍內(nèi)發(fā)放問卷，得出統(tǒng)計(jì)結(jié)果，這使得我們的統(tǒng)計(jì)具有一定的地域性。我們希望在后續(xù)的研究中能夠擴(kuò)大調(diào)研的范圍和數(shù)量，通過對二、三線城市以及農(nóng)村地區(qū)進(jìn)行調(diào)研，得到更加廣泛的統(tǒng)計(jì)數(shù)據(jù)，進(jìn)而對數(shù)據(jù)進(jìn)行更深入的研究。

［1］ 王勝利，劉明月，馬立國.暴力破解MIS登錄密碼的一種方法［J］.電腦編程技巧與維護(hù)，2012(10):118-132.

［2］ 王宏波.社會工程的概念和方法［J］.西安交通大學(xué)學(xué)報(bào):社會科學(xué)版，2000(1):41-53.

［3］ 王治，范明鈺，王光衛(wèi).信息安全領(lǐng)域中的社會工程學(xué)研究［J］.信息安全與通信保密，2005(7):230-231.

［4］ Granger S.Social engineering fundamentals，Part I:Hacker Tactics［EB/OL］.［2010-11-03］.http:∥www.symantec.ocm.

［5］ 袁衛(wèi)，何曉群，賈俊平，等.統(tǒng)計(jì)學(xué)［M］.2版.北京:中國統(tǒng)計(jì)出版社，1996:18-34.

［6］ 何曉群，劉文卿.應(yīng)用回歸分析［M］.3版.北京:中國人民大學(xué)出版社，2011:92-96.

［7］ Cazier JA，Medlin B D.Password security:an empirical investigation into E-commerce passwords and their crack times［J］.Information Systems Security，2006:45-55.

［8］ Matt W，Sudhir A，Breno M，et al.Password cracking using probabilistic context-free grammars［C］.New Orleans:IEEE Publications，2009:391-405.

［9］ 盧致旭，邱衛(wèi)東，廖凌.基于數(shù)據(jù)挖掘技術(shù)的字典生成方法［J］.信息安全與通信保密，2011(11):63-65.