[发明专利]一种候选口令字典的生成方法与装置

说明书

本发明公开了一种候选口令字典的生成方法与装置，用于从已知信息推导可能口令。该方法包括：根据目标对象的基础信息构建基本词条库；基于预设算法构建候选口令生成式，并根据所述生成式对所述基本词条库中的每个长度的词条生成相应的全部候选口令；从所述全部候选口令中输出符合预设条件的候选口令作为所述目标对象的候选口令字典。采用本发明的技术方案，克服现有口令字典破解中所用口令字典与目标对象联系不密切的问题，将目标相关信息组织起来，并与目标所用语言常用口令结合，依据所用语言的口令分布规律，构造与目标关系密切的破解字典，达到对于慢速散列也能够快速破解目标口令的目的。

技术领域

本发明涉及信息安全领域，尤其涉及一种候选口令字典的生成方法与装置。

背景技术

口令是目前最常用、最可靠的认证形式，并且在可以预知的未来，口令仍然是用户身份认证的主要形式。因此，口令是系统安全的第一道防线，选择不易被猜测的口令对于采用口令认证的系统来说至关重要。人们在选择口令时，很多人会选择使用弱口令、或者在多个不同服务之间使用相同的口令，这样就给用户的信息安全带来了潜在的威胁。因此，评估用户口令的安全性就是保护重要系统安全的有效措施之一，破解口令是评估用户口令安全性的有效方法。

除了根本不考虑安全性的系统之外，用户口令被散列或加密处理后将结果保存在系统中。散列是一种使用散列函数将任意长度字符串变换为固定长度值的数学映射。散列函数被设计为单向函数，也就是说，将字符串散列为一个值时很容易，所需计算资源也不太多，但由散列值求取原始字符串时，不存在相应的数学表示，只能使用尝试方法猜测可能的原始字符串，即通过破解散列值得到相应的口令。

破解散列的方法很多，主要包括暴力破解、字典破解两大类。暴力破解尝试密钥空间中的每一个口令，理论上可以破解所有口令，但现实中通常只能破解长度较短的口令，主要原因是计算资源不足和慢速散列算法的广泛采用；字典破解尝试字典中的每一个词条，从中找出其散列值与待破解散列值相同的词条，字典通常词条数量有限，因此破解速度很快。但是，字典破解的成功率严重依赖于字典的优劣。

生成字典的方法有很多，包括收集曾经用过的各种口令、人名、地名、语言字典等。也可以在已有字典的基础上增加一些变换，比如更改大小写、词条末尾添加一些数字、符号等构成新的字典。这样的字典由于覆盖面广，与特定用户关联性不大，因此要么破解成功率不高、要么字典规模过大，近似于达到暴力破解的规模，破解速度慢，效率低。

据统计，用户在创建口令时，47％的人使用名字缩写、朋友或家庭成员的名字；42％的人使用有意义的日期和数字；26％的人使用宠物的名字；21％的人使用生日；14％的人使用家乡的名字；13％的人使用毕业学校的名字和吉祥物的名字。

本发明提出的候选口令生成方案能够综合运用已知用户信息，并与用户语言相关的上万条常用口令结合，以口令选用概率为基础，生成任意规模的候选口令字典。

发明内容

本发明的主要目的在于公开一种候选口令字典的生成方法与装置，以综合运用已知用户信息，并与用户语言相关的上万条常用口令结合，以口令选用概率为基础，生成任意规模的候选口令字典。

为达上述目的，根据本发明的一个方面，公开一种候选口令字典的生成方法，包括：根据目标对象的基础信息构建基本词条库；基于预设算法构建候选口令生成式，并根据所述生成式对所述基本词条库中的每个长度的词条生成相应的全部候选口令；从所述全部候选口令中输出符合预设条件的候选口令作为所述目标对象的候选口令字典。

进一步地，所述根据目标对象的基础信息构建基本词条库包括：获取与目标对象相关联的信息生成目标信息文件；按照预设规则对所述目标信息文件进行划分处理，得到由单词组成的词汇表,按每个单词占据一行进行排练,生成目标信息词汇表；将所述目标信息词汇表与预设常用口令按预设规则进行合并，去除重复词条后得到无重复目标信息表；统计所述无重复目标信息表中符合预设长度的词条，将每一个长度的词条放在一个表中,得到所述基本词条库。