2019年10月06日 | 语言是如何塑造密码安全性的

翻译自——spectrum，Jeremy Hsu

中文和英文密码的差异对现在流行的Web服务有很大的安全影响。

无论语言和文化有何不同，中、英文互联网用户都能在通过使用“123456”等密码变体时找到共同点。但最近研究发现，从比较两种语言密码模式来看，中文密码具有显著而独特的特点，对中国以外的互联网安全具有重大影响。

令人惊讶的是，由于使用中文用户的密码只占全球互联网用户总数的20%，所以一直没有得到充足的研究。据统计，仅中国就有8.54亿互联网使用者，是美国总人口的两倍多。为此我们开始了一项研究，测试中文和英文用户的密码安全性是如何对抗最好的破解算法的。

“我们的工作可能是第一批研究不同语言的密码所带来的影响的机构，”北京大学信息安全研究员丁旺表示。

丁旺和他的同事分析了2009年至2012年间被黑客泄露的9项网络服务的1.06亿个真实密码，其中6项中文服务有7300万个以及3项英文服务有3300万个。他们只从类似Web服务同行之间的混合社会论坛、游戏服务,电子商务网站、程序员论坛,加上雅虎门户在英文方面的数据集进行了细细的比较。

基于英语的那些高强度密码实际上可能非常弱，而且从汉语角度来看很容易猜出来。事实上，世界上许多流行的网络服务，包括一些中国本土的服务，都是从英语的角度来考虑密码安全问题的。

研究人员指出，像流行的中文密码“woaini1314”，目前被美国在线(AOL)、谷歌，甚至流行的中国社交网络新浪微博(以及IEEE Spectrum的母公司IEEE)评委了高强度密码。但说普通话的人很容易猜到“woaini1314”的密码，因为“woaini”在汉语拼音中是“我爱你”，而“1314”在汉语中是“永远”的意思。

中、英文密码的一个主要区别是，许多中文用户喜欢纯数字密码。除了傻瓜式的“123456”，其他在中文用户中流行的密码还包括“111111”、“123123”和“123321”。用“5201314”作为爱情的主题，是因为它听起来像中文里的“我爱你，直到永远”，这个相对来说比较好记。一些常用的密码段会在数字串中添加一个字母，比如“a12345”和“12345a”。

中文用户也经常使用手机号码或特定日期(可能是他们的生日)作为密码。相反，英语用户经常只使用字母组成密码，并倾向于某些特定的单词或短语，比如容易猜到的“password”、“letmein”、“sunshine”和“princess”。国外也有一下傻瓜式的密码包括“abcdef”和“abc123”以及“123456”。

数字组合只基于10个可能的数字，而不是现代英语字母表中的26个字母，所以只使用数字的密码比只用字母的密码更容易破解。有时会使用中文密码的用户会展示出难以置信的复杂和创造性的密码，比如中国软件开发人员网络(CSDN)的一些成员将编程语言命令与中国传统诗歌结合起来。

弗吉尼亚州夏洛茨维尔市弗吉尼亚大学的计算机科学家、该研究的合著者袁田说到:“中国用户在字母和数字的组合上真的很有创意。”

研究人员使用的密码文件包含泄露或被盗密码的散列，而不是密码本身的纯文本版本。研究人员试图用两种最先进的密码破解算法来破解中文和英文密码。他们测试了Markov-chain模型和概率上下文无关语法(PCFG)模型，前者根据密码字符之间的关系为密码字符分配一定的概率，后者在猜测最可能组合的顺序之前将密码解析为字母段、数字段和符号段。

该团队还改进了PCFG方法，使之适用于更常见的中文密码模式。例如，他们增加了流行的日期格式的数字段和用罗马拼音系统编写的中文名字。他们还赋予了基于PCFG算法处理交织模式的能力——在许多中文密码中发现的交替数字和字母串。

总的来说，这些改进提高了基于PCFG的算法对中文密码集的性能——它破解的密码比标准版本的算法多破解了98%到188%。

此外，调查结果还显示了与英文密码相比，中文密码的优缺点。当猜测次数限制在1万次或更少时，这两种算法破解中文密码更容易。但事实证明，其余的中文密码比英文密码更强，因为猜测次数已经超过1万次。

猜测的数量很重要，因为许多Web服务在临时锁定用户帐户之前都会限制在线猜测的数量。泄露或被盗的密码存储文件可以让黑客进行理论上无限次的离线猜测攻击，因为他们不必处理可能被锁定在Web服务之外的问题。但是，即使是离线猜测攻击，也会受到计算时间和猜测尝试上成本效益的限制。

在这两种破解算法中，当你有机会进行10000次或更多次数的猜测时，数据显示，基于markov的算法表现最佳。通过比较，基于PCFG算法在猜测次数较少的情况下，性能与基于markov算法相当，甚至更好。由于PCFG比基于markov的方法少了31%的计算量和70%的内存，可以说PCFG方法也是最有效的。

从安全角度来看，这项研究对那些有着大量中文用户的网络服务公司，或者希望有一天能吸引众多中文用户的公司来说，都具有重大意义。袁田表示：安全管理员可能会考虑调整密码创建策略和强度表，来适应最流行的中文密码和未来的变体。

所以说，为了你的安全，在设置密码的时候，这种“123456”和“111111”等傻瓜式和以永恒爱情为主题的字母/数字混合模式密码，就不要在使用了。同样的道理也适用于仍然使用“123456”和“abcdef”的英语用户们，否则后果很严重。

在中文社区中，语言对密码影响的复杂性会更为强烈。

我们中国人使用汉语通常依靠同一套汉字进行阅读和写作，但口语中由于地方方言的不同而存在多种地域差异，这些差异在发音上可能听起来不同。举个例子,由于我们中国地大物博，各个地区或多或少都有方言，仅仅一句“我爱你”就会有许多发音，如果是闽南或者香港地区，乍一听以为是外语。

所以，各个地区汉语口语的差异超出了此次研究的范围。但袁田注意到，如果按照广东话、福建话、上海话或其他中国方言变体，试图根据发音创建密码，那么密码模式可能会有所不同，说不定会很有趣。

作为更深入研究的一部分，研究人员希望继续评估中文密码模式，通过调查来更好地了解中国互联网用户在创建密码时的想法。他们还提出了继续研究除中英文以外的不同语言密码的可能性。

“为了我们未来的工作，我们希望继续研究覆盖中国以外的世界各地的密码，”丁旺表示。