抵擋線上猜密碼攻擊的認證機制
時間:113年10月14日(星期一) 19:00-21:00
地點: 大仁樓301
主持人:左瑞麟老師
演講者:國立臺灣師範大學資工系 官振傑教授
演講題目:抵擋線上猜密碼攻擊的認證機制
演講綱要:使用者名稱和密碼(或稱「通行碼」)是資訊系統中最常用的使用者身分認證機制。「強密碼」的長度夠長且包含多樣字母的組合,是很安全的,可惜難以記住,因此許多使用者採用易於記憶的密碼。這些「弱密碼」也容易被攻擊者猜中,導致「線上密碼猜測攻擊」成為資訊系統安全的嚴重威脅。提供可靠的使用者身分認證方案,以允許合法使用者登入,同時防止線上密碼猜測攻擊一直是很大的挑戰。到本文發表之前尚無可靠的方案。我們為使用者和攻擊者的行為定義了一個正式的統計模型,並根據此模型區來分使用者和攻擊者。此法經過實驗證實確實有效。我們提出的解決方案是計算使用者輸入密碼字串的熵,僅當熵不超過閾值時才確認使用者的合法性。我們證明「輸入密碼字串的熵」是區分合法使用者和攻擊者的有效特徵。我們還證明,即使使用者選擇如: 123456, admin, abcde, qwerty, welcome,等常用密碼,我們所提出的使用者身份驗證方案也能有效的識別密碼猜測攻擊者。此新方案為身分認證增加了一層額外的保護,這點對於採用弱密碼的使用者尤其重要。而且該方案是對現有方案的輕微修改,因此可以很容易地整合到現有的身分認證系統中。