[发明专利]一种弱口令核查方法及装置

说明书

本发明公开了一种弱口令核查方法，包括：预置包含多个弱口令的弱口令字典；获取第三方账号口令系统中接管的所有系统资源/应用资源的账号和口令信息；获取被核查系统的登录帐号和口令密文信息；根据弱口令字典和第三方账号口令系统中接管的所有系统资源/应用资源的账号口令信息，对被核查系统的登录帐号口令密文信息进行碰撞分析，找出弱口令并输出到核查结果中，并对所述的第三方账号口令系统中的口令出现的次数进行累计计数；根据所述的第三方账号口令系统中的口令及其计数值，更新弱口令字典。还公开了一种弱口令核查装置。创新性地解决了弱口令字典的自动扩展、减少单独弱口令字典碰撞分析的局限性，减少碰撞分析的计算量，加快弱口令核查效率。

技术领域

本发明涉及信息安全管理领域，尤其涉及一种弱口令核查方法及装置。

背景技术

现有的软件系统普遍通过设置帐号和口令的方式进行安全认证管理。随着应用软件的使用量越来越多，例如通讯软件、购物软件、电子银行、阅读软件等等，使得使用软件的用户要面对如此多种类的软件进行各类软件的安全登录认证实在头痛，因此人们往往喜欢使用自己熟悉和容易记忆的口令进行注册和登录认证。那么设置大量的容易被人破解的弱口令则难以避免。为了提升用户使用应用软件的安全性，需要解决弱口令核查的问题。

现有的弱口令核查方法有两种：

方法1：通过利用技术或者人工手段登录被核查设备获取口令密文，基于预置的弱口令字典进行弱口令碰撞分析,也即基于弱口令字典，对字典中的弱口令采用相同的加密算法生成密文，与获取的被核查设备口令密文进行一致性对比分析，如果一致则碰撞成功。

方法2：通过远程连接设备反复尝试登录账号的口令。

分析现有技术反映出的缺点如下：

方法1存在以下几个方面的缺点：

弱口令字典需要人工维护：弱口令字典不能结合行业情况自动扩展更新；

口令密文破解运算量大：需要对口令密文中的所有账号进行碰撞破解，加密计算过程运算量大，耗时长；

方法2存在以下几个方面的缺点：

采用弱口令反复尝试登录极易造成配置了账号锁定策略的设备账号锁定，从而影响用户正常访问；

为了降低弱口令反复尝试登录对设备造成的影响，一般不会采用全字典尝试，只使用出厂缺省口令和少量其它弱口令，不能全面发现不符合强口令策略的其它弱口令。

因此，这两种方法都不适合用于信息系统日常弱口令的核查管理。

现有的口令破解方法一般基于弱口令字典进行弱口令破解。

其中，破解工作人员把常见的弱口令放入弱口令字典中，并通过手工方式对弱口令字典进行维护。如果弱口令字典更新不及时，将无法识别出字典中没有的、新发现的弱口令。

在现有的弱口令破解方法中，首先需要获取被核查设备上获得的口令密文。然后采用穷举法的暴力破解方式，即从弱口令字典中抽取弱口令或者根据弱口令组成规则生成系列弱口令，按照弱口令密文的加密算法生成密文，然后与被核查设备的口令密文进行比对，密文是否一样，如果一样则碰撞成功，识别出被核查设备的该口令为弱口令。由于需要把弱口令字典的所有弱口令进行逐个加密比对，直到找到真正的弱口令为止，这就导致了暴力破解的过程需要很长的时间，当需要进行破解的账号口令很多时，所用时间将会很长，工作效率低，成为整个弱口令核查过程的瓶颈。

综上所述，现有技术中，由于弱口令字典靠人为更新而缺乏自动更新机制可能导致无法识别出字典中的没有的新弱口令；同时，因为需要对从设备侧获得的口令密文进行全量破解，导致暴力破解耗时过长，弱口令核查效率低。

发明内容