The science of guessing: analyzing an anonymized corpus of 70 million passwords

1. The science of guessing: analyzing an anonymized corpus of 70 million passwords Joseph Bonneau 报告人：吴振刚

2. I. INTRODUCTION • 2009年，网站RockYou泄露了32百万个口令。 • 目的：用科学的方法来评估大规模的口令数据集。 • 三个贡献： • 用一种改进的形式化度量方法来评估对口令的猜测困难程度。（口令的分布是一种不均匀的、有倾向的分布） • 提出了一种新的方法，当对口令数据集来进行统计分析的时候，进行隐私保护。 • 针对一个接近7千万用户的口令数据集（通过合作，由yahoo提供）进行了研究

3. II. HISTORICAL EVALUATIONS OF PASSWORD SECURITY

4. Problems with previous approaches • Comparability 过去的研究缺乏对数据集大小和猜中的机率之间的比较。

5. Problems with previous approaches • Repeatability • 准确重现口令破解攻击的结果很困难。 • Evaluator dependency • 口令破解的结果固有地依赖于字典和数据集规律的适合程度。 • Unsoundness • 根据结构化特征来估计口令分布的熵在数学上是不可靠的。

6. Guessing model: • 把密码的选择看做一个从密码分布中随机的取出一个值

7. R´ enyientropy的变体

8. VI. ANALYSIS OFYAHOO!DATA

10. VII. CONCLUDING REMARKS • 口令提供相当于10个随机字符串的安全性，可以提抗最理想的在线攻击者用最流行的词来尝试猜中大数据集中的账户。 • 防止暴力破解有效账户中的一半，至少需要20位长度的随机字符串作为密码。