把密码从“abc123”改成“123abc”,这么一点的变化就很危险?中国团队研究
パスワードを“ちょっと変える”はどれくらい危ない? 「abc123」→「123abc」など 中国チームが発表
译文简介
全靠验证码登陆
正文翻译
パスワードを“ちょっと変える”はどれくらい危ない? 「abc123」→「123abc」など 中国チームが発表
把密码从“abc123”改成“123abc”,这么一点的变化就很危险?中国团队研究
原创翻译:龙腾网 https://www.ltaaa.cn 转载请注明出处
中国の南開大学や北京大学などに所属する研究者らが発表した論文「Pass2Edit: A Multi-Step Generative Model for Guessing Edited Passwords」は、1つのサービスで使っているパスワードを少し変えて別のサービスで使い回しているパスワードを予測して特定する攻撃を提案した研究報告である。
インターネットでサービスを利用すると、アカウント数が増加する。一般のユーザーは、80~107個ものオンラインアカウントを持っているとされている。このような状況において、新しいパスワードを都度設定するのは困難であり、その結果、同一のパスワードを使い回す人が多い。
隶属于中国南开大学和北京大学的研究人员发表了论文《Pass2Edit:Multi-Step Generative Model for Guessing EditedPasswords》,这是一份研究报告,提出了一个观点:将用户的一项服务中使用的密码稍加改变,就能预测并确定用户在其他服务上重复使用的密码,并进行攻击。
互联网上的服务,越用账户数就会增加。一般的用户拥有80 ~ 107个账户。在这种情况下,每次都设置新的密码是很困难的,结果导致很多人反复使用同一个密码。
インターネットでサービスを利用すると、アカウント数が増加する。一般のユーザーは、80~107個ものオンラインアカウントを持っているとされている。このような状況において、新しいパスワードを都度設定するのは困難であり、その結果、同一のパスワードを使い回す人が多い。
隶属于中国南开大学和北京大学的研究人员发表了论文《Pass2Edit:Multi-Step Generative Model for Guessing EditedPasswords》,这是一份研究报告,提出了一个观点:将用户的一项服务中使用的密码稍加改变,就能预测并确定用户在其他服务上重复使用的密码,并进行攻击。
互联网上的服务,越用账户数就会增加。一般的用户拥有80 ~ 107个账户。在这种情况下,每次都设置新的密码是很困难的,结果导致很多人反复使用同一个密码。
このような行動は、1つのサイトが攻撃を受けた場合、他のサイトも危険にさらされる可能性が高まる。それでも、パスワードの使い回しに懸念を抱く人は少なくない。事実、攻撃者にとっては格好の狙い目である。
注目すべきは、既存のパスワードを微調整(追加、削除、置換など)して使用する行為である。例えば、基準とするパスワード「abc123」を「abc123abc」や「123abc」「abc124」「abc321」「abc12」といった形で微調整して、別のサイトで使用するケースがある。研究によれば、ユーザーの21~33%が新しいアカウントで微調整したパスワードを使っていると報告されている。
这种行为在一个网站受到攻击的情况下,其他网站也会受到威胁。即便如此,还是有不少人对密码的重复使用没有感到担忧。事实上,对于攻击者来说,这些就是绝佳的目标。
值得注意的是,对现有密码进行微调(添加、删除、替换等)后等行为,例如,将作为基准的密码“abc123”以“abc123abc”、“123abc”、“abc124”、“abc321”、“abc12”等形式进行微调,然后在其他网站上使用。研究显示,有21% ~ 33%的用户会新账户中使用微调后的密码。
注目すべきは、既存のパスワードを微調整(追加、削除、置換など)して使用する行為である。例えば、基準とするパスワード「abc123」を「abc123abc」や「123abc」「abc124」「abc321」「abc12」といった形で微調整して、別のサイトで使用するケースがある。研究によれば、ユーザーの21~33%が新しいアカウントで微調整したパスワードを使っていると報告されている。
这种行为在一个网站受到攻击的情况下,其他网站也会受到威胁。即便如此,还是有不少人对密码的重复使用没有感到担忧。事实上,对于攻击者来说,这些就是绝佳的目标。
值得注意的是,对现有密码进行微调(添加、删除、替换等)后等行为,例如,将作为基准的密码“abc123”以“abc123abc”、“123abc”、“abc124”、“abc321”、“abc12”等形式进行微调,然后在其他网站上使用。研究显示,有21% ~ 33%的用户会新账户中使用微调后的密码。
最近注目されているのは、ユーザーが新しく少し違うパスワードを生成する際に、既存のパスワードをわずかに編集する傾向に対する攻撃である。この研究では、ユーザーの微調整パスワードを効率的に予測する手法「Pass2Edit」を提案する。
この提案手法では、ニューラルネットワークによる分類器を用いて、「元のパスワード」と「微調整したパスワード」の組み合わせを入力とし、「パスワードがどのように変わったか」を分類する。この学習によって、元のパスワードと微調整したパスワードとの関連性を訓練する。
データセットとしては、中国語および英語のサイトから48億個のパスワードを収集して利用している。
最近值得注意的是,针对用户的这种行为,可以收集微调后的密码信息进行攻击。这就是该研究提出的一种有效预测用户微调密码的方法“Pass2Edit”。
该方案使用基于神经网络的分类器,输入“原始密码”和“微调后的密码”的组合,对“密码发生了怎样的变化”进行分类。通过深度学习,训练原始密码和微调后的密码之间的关联性。
数据集收集了来自中文和英文网站的48亿个密码。
この提案手法では、ニューラルネットワークによる分類器を用いて、「元のパスワード」と「微調整したパスワード」の組み合わせを入力とし、「パスワードがどのように変わったか」を分類する。この学習によって、元のパスワードと微調整したパスワードとの関連性を訓練する。
データセットとしては、中国語および英語のサイトから48億個のパスワードを収集して利用している。
最近值得注意的是,针对用户的这种行为,可以收集微调后的密码信息进行攻击。这就是该研究提出的一种有效预测用户微调密码的方法“Pass2Edit”。
该方案使用基于神经网络的分类器,输入“原始密码”和“微调后的密码”的组合,对“密码发生了怎样的变化”进行分类。通过深度学习,训练原始密码和微调后的密码之间的关联性。
数据集收集了来自中文和英文网站的48亿个密码。
実験の結果は次の通りである。100回の推測が許され、目標とするパスワードが元のパスワードと異なる場合を考慮した上で、Pass2Editの成功率は一般ユーザーに対して平均で24.18%、セキュリティに精通したユーザーに対しては11.68%を記録した。
1000回の推測が許された場合には、Pass2Editの成功率は一般ユーザーに対して30.34%、セキュリティに精通したユーザーに対しては15.32%を記録した。さらに、目標とするパスワードが元のパスワードと同一であるケースを含め、また人気のあるパスワード(例:「password」「123456789」)を選択するといったユーザーの脆弱な行動を考慮に入れた場合、攻撃成功率はさらに向上した。
实验结果如下。在允许100次推测,并考虑目标密码与原密码不同的情况下,Pass2Edit对普通用户的平均成功率为24.18%,对于那些精通安全的用户则是11.68%。
在允许进行1000次推测的情况下,Pass2Edit对普通用户的成功率为30.34%,对精通安全的用户的成功率为15.32%。此外,包括目标密码与原始密码相同的情况,以及一些常用密码(例如:有人会直接用“password”、“123456789”),则进一步提高了攻击成功率。
1000回の推測が許された場合には、Pass2Editの成功率は一般ユーザーに対して30.34%、セキュリティに精通したユーザーに対しては15.32%を記録した。さらに、目標とするパスワードが元のパスワードと同一であるケースを含め、また人気のあるパスワード(例:「password」「123456789」)を選択するといったユーザーの脆弱な行動を考慮に入れた場合、攻撃成功率はさらに向上した。
实验结果如下。在允许100次推测,并考虑目标密码与原密码不同的情况下,Pass2Edit对普通用户的平均成功率为24.18%,对于那些精通安全的用户则是11.68%。
在允许进行1000次推测的情况下,Pass2Edit对普通用户的成功率为30.34%,对精通安全的用户的成功率为15.32%。此外,包括目标密码与原始密码相同的情况,以及一些常用密码(例如:有人会直接用“password”、“123456789”),则进一步提高了攻击成功率。
评论翻译
很赞 ( 13 )
收藏
アカウントロックされないサービスなんて
使わない方がいいけどね(笑)
そもそもなんでアカウント名がバレているんだろうな
パスワードに記号を入れていない(設定が出来ない)人が多いから総当りなら8桁未満は瞬殺だろうね
ランダムな文字ではなく単語数字の組み合わせだとAIに過去のパスワード使用データから予測されるらしいね
所詮は人間が考える組み合わせだから
ある程度の組み合わせは予測されてしまうらしい
100次输错密码都不锁账户,这种服务还是别用了吧。(笑声)
而且说到底,你要怎么知道我的账号名呢?
密码里没有符号(不能设定)的人很多,所以一直猜的话,不到8位的都能秒杀了。
不是随机的字符,而是单词和数字的组合。
而且是人类想出来的组合,某种程度的组合似乎是可以预测的
入られてはまずいシステムなら二段階認証は必須だと思う。
如果一直被这么猜的话,不管把密码设置得多么长、多么复杂,只要是字符串密码就很容易被突破。
如果是不能被人随便破解的东西,就必须进行两步认证。
端末に保存したりすると結局端末依存になるし。他端末で使いたいときや保存されてなかったときに使えない。
せいぜい決まったパターンを使いまわすレベル。
一番めんどくさいと思うのは
お店のレジで、アプリのポイントカードで
久しぶりに開いたときにログインIDパスワードを聞かれ、全然ログインできねえええ使えねええええ
という現象。
お店の人や後ろの人はその分待たされるし、自分はできなくてイライラ…
把每个密码都换一遍是不可能的。
在设备上保存的话,最终还是会依赖设备。到时候换个设备或者忘了保存就不知道怎么用了。所以最后就是会去重复使用。
我觉得最麻烦的是
在商店的收银台,开APP里的积分卡
然后因为好久没打开APP,被询问登录ID密码然后忘了完全登不进去。
店里的人和后面的人要等很久,自己就会因为想不起密码而焦躁不安……
Googleアカウントにログインして本人認証が通れば、登録している全てのサービスのパスワードが見れてしまうのがちょっと怖い
如果用谷歌的密码管理器来管理的话,可以根据不同的服务设置不一样的复杂密码,
登录谷歌账户,通过身份验证,就能看到注册的所有服务的密码,想想有点可怕