Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ Tiếng Việt dựa trên ước lượng entropy
Mật khẩu là một trong những
nhân tố được sử dụng phổ biến nhất trong hệ
thống xác thực. Vai trò của mật khẩu là đảm
bảo người dùng có quyền hợp lệ với dữ liệu
mà họ đang muốn truy cập. Hầu hết các hệ
thống đều cố gắng thực thi bảo mật bằng
cách bắt buộc người dùng tuân theo các
chính sách tạo mật khẩu thông qua đánh giá
độ mạnh mật khẩu. Bài báo này giới thiệu
một số phương pháp đánh giá độ mạnh mật
khẩu trong đó tập trung vào phương pháp
đánh giá dựa trên ước lượng entropy, từ đó
đề xuất phát triển một công cụ đánh giá độ
mạnh mật khẩu có thể ứng dụng được trong
các phần mềm xác thực người dùng dựa trên
mật khẩu sử dụng ngôn ngữ tiếng Việt
Trang 1
Trang 2
Trang 3
Trang 4
Trang 5
Trang 6
Trang 7
Trang 8
Trang 9
Trang 10
Tải về để xem bản đầy đủ
Bạn đang xem 10 trang mẫu của tài liệu "Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ Tiếng Việt dựa trên ước lượng entropy", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
Tóm tắt nội dung tài liệu: Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ Tiếng Việt dựa trên ước lượng entropy
Journal of Science and Technology on Information Security 58 Số 2.CS (08) 2018 Hoàng Thu Phương, Trần Sỹ Nam Tóm tắt— Mật khẩu là một trong những nhân tố được sử dụng phổ biến nhất trong hệ thống xác thực. Vai trò của mật khẩu là đảm bảo người dùng có quyền hợp lệ với dữ liệu mà họ đang muốn truy cập. Hầu hết các hệ thống đều cố gắng thực thi bảo mật bằng cách bắt buộc người dùng tuân theo các chính sách tạo mật khẩu thông qua đánh giá độ mạnh mật khẩu. Bài báo này giới thiệu một số phương pháp đánh giá độ mạnh mật khẩu trong đó tập trung vào phương pháp đánh giá dựa trên ước lượng entropy, từ đó đề xuất phát triển một công cụ đánh giá độ mạnh mật khẩu có thể ứng dụng được trong các phần mềm xác thực người dùng dựa trên mật khẩu sử dụng ngôn ngữ tiếng Việt. Abstract— Password is one of the most common means of authentication systems. The role of the password is to ensure that the user has legal right to the data they are trying to access. Most systems try to enforce security by requiring their users to follow some password generation policies with evaluating password strength. This paper introduces a number of methods for evaluating password strength, particularyly the entropy estimation based method, then, it is proposed to develop a password strength evaluation tool that can be applied in password-based user authentication software using Vietnamese language. Từ khóa: — độ mạnh mật khẩu; xác thực; đánh giá; ngôn ngữ tiếng Việt. Keywords: password strength; authentication; evaluation; Vietnamese language. Bài báo đƣợc nhận ngày 15/11/2018. Bài báo đƣợc gửi nhận xét và đƣợc chấp nhận đăng bởi phản biện thứ nhất vào ngày 04/12/2018 và 26/12/2018. Bài báo đƣợc gửi nhận xét và đƣợc chấp nhận đăng bởi phản biện thứ hai vào ngày 05/12/2018 và 28/12/2018. I. GIỚI THIỆU Việc sử dụng mật khẩu đã đƣợc biết đến từ xa xƣa. Trong thời hiện đại, tên ngƣời dùng và mật khẩu thƣờng đƣợc sử dụng trong quá trình đăng nhập vào các hệ điều hành máy tính, điện thoại di động, bộ giải mã truyền hình cáp, máy rút tiền tự động (ATM), v.v... Một ngƣời dùng máy tính thông thƣờng có mật khẩu cho nhiều mục đích: đăng nhập vào tài khoản, lấy e-mail, truy cập các ứng dụng, cơ sở dữ liệu, mạng, trang web và thậm chí đọc báo buổi sáng trực tuyến [1]. Trong các vấn đề về an toàn phổ biến của mật khẩu [2], độ mạnh mật khẩu là vấn đề đƣợc quan tâm hàng đầu. Độ mạnh của mật khẩu là một thƣớc đo hiệu quả khả năng chống lại các tấn công đoán hoặc vét cạn của mật khẩu. Nói một cách đơn giản, nó ƣớc lƣợng số lần thử nghiệm trung bình mà kẻ tấn công sẽ cần để đoán chính xác mật khẩu đó. Thông thƣờng, độ mạnh mật khẩu đƣợc xác định bằng entropy của thông tin và đƣợc đo bằng bit [3]. Thay vì số lần đoán cần thiết để tìm ra mật khẩu một cách cụ thể, giá trị logarit cơ số 2 của số đó đƣợc đƣa ra, đó là số ―bit entropy‖ của mật khẩu đó. Căn cứ vào cách thiết lập, mật khẩu có thể đƣợc phân thành hai loại: Mật khẩu ngẫu nhiên và mật khẩu được người dùng lựa chọn. Mật khẩu ngẫu nhiên là mật khẩu bao gồm một chuỗi các ký tự có độ dài xác định đƣợc lấy từ một tập hợp các ký tự sử dụng một quy trình lựa chọn ngẫu nhiên, trong đó mỗi ký tự có khả năng đƣợc lựa chọn nhƣ nhau. Để lựa chọn ngẫu nhiên một mật khẩu có độ dài k bit thì sẽ có thể có 2k khả năng và mật khẩu đó đƣợc coi là có k bit entropy. Nếu mật khẩu có độ dài l ký tự đƣợc chọn ngẫu nhiên từ b ký tự trong một bảng ký tự nào đó thì entropy của mật khẩu đó là bl [4]. Tuy nhiên, đối với mật khẩu mà người dùng lựa chọn, việc ƣớc lƣợng entropy là khó khăn hơn nhiều, vì chúng không đƣợc chọn ngẫu nhiên và không có phân phối ngẫu nhiên đồng nhất. Các mật khẩu đƣợc ngƣời dùng lựa chọn Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ tiếng Việt dựa trên ƣớc lƣợng entropy Nghiên cứu Khoa học và Công nghệ trong lĩnh vực An toàn thông tin Số 2.CS (08) 2018 59 có thể phản ánh một cách khái quát các mẫu từ và phân phối tần suất của các ký tự trong văn bản tiếng Anh thông thƣờng và đƣợc ngƣời dùng lựa chọn để họ có thể ghi nhớ chúng. Thực nghiệm còn cho thấy rằng nhiều ngƣời dùng còn chọn mật khẩu dễ đoán và thậm chí là mật khẩu xuất hiện trong các từ điển thông dụng, rất dễ dàng để có thể bẻ khóa thành công. Các nhà mật mã học đã đƣa ra khái niệm thay thế của entropy, ―entropy ƣớc lƣợng‖ để làm thƣớc đo độ khó trong việc đoán hay xác định mật khẩu đƣợc ngƣời dùng lựa chọn hoặc khóa [4]. Trong nghiên cứu này, trên cơ sở tìm hiểu các phƣơng pháp đánh giá độ mạnh mật khẩu đã đƣợc công bố, chúng tôi tập trung vào phân tích phƣơng pháp dựa trên ƣớc lƣợng entropy và từ đó đề xuất một phƣơng pháp đánh giá độ mạnh mật khẩu. Chúng tôi đã nghiên cứu và thiết lập các ngƣỡng đánh giá độ an toàn dựa trên giá trị entropy ƣớc lƣợng của mật khẩu đồng thời xây dựng một từ điển tiếng Việt để sử dụng làm cơ sở dữ liệu đánh giá độ mạnh của mật khẩu dựa trên tiếng Việt. Ngoài ra, chúng tôi cũng đã sử dụng phƣơng pháp đƣợc đề xuất này để đánh giá một số danh sách mật khẩu nổi tiếng và thử nghiệm cài đặt mô-đun đánh giá độ mạnh mật khẩu vào một số phần mềm để chứng minh khả năng ứng dụng của nó trong các phần mềm có xác thực ngƣời dùng dựa trên mật khẩu. Trong các phần tiếp theo của bài báo, trƣớc tiên, mục II giới thiệu các nghiên cứu có liên quan trong lĩnh vực độ mạnh mật khẩu; sau đó, phƣơng pháp đánh giá độ mạnh mật khẩu dựa trên ƣớc lƣợng entropy sẽ đƣợc thảo luận trong mục III; mục IV trình bày đề xuất phƣơng pháp đánh giá độ mạnh mật khẩu có thể ứng dụng trong các phần mềm xác thực ngƣời dùng dựa trên mật khẩu có sử dụng ngôn ngữ tiếng Việt; một số kết quả thử nghiệm phƣơng pháp đƣợc đề xuất đƣợc trình bày trong mục V và cuối cùng mục VI là một số kết luận II. CÁC NGHIÊN CỨU LIÊN QUAN ĐẾN ĐỘ MẠNH MẬT KHẨU A. Các tấn công lên mật khẩu Các mối đe ... c, một từ không phổ biến u và một ngày d, có 3! thứ tự có thể thử: cud, ucd, v.v D|S|-1 mô hình hóa một kẻ tấn công không biết về độ dài của chuỗi mẫu. Giả sử rằng trƣớc khi thử các chuỗi có độ dài |S|, kẻ tấn công sẽ cố gắng thử các chuỗi mẫu có độ dài ngắn hơn trƣớc với giá trị tối thiểu là D lần đoán đối với mỗi mẫu, và sẽ mất tổng cộng ∑ | | | | | | lần đoán. Ví dụ, nếu một mật khẩu bao gồm token mật khẩu t phổ biến thứ 20 với một chữ số d ở cuối –một chuỗi gồm 2 mẫu – và kẻ tấn công biết D = 10000 mật khẩu phổ biến nhất và td không ở trong danh sách 10000 này, D1 biểu thị một kẻ tấn công thử 10000 lần đoán trong danh sách này trƣớc khi thử đoán hai mẫu. zxcvbn đƣợc đánh giá là xem xét thành phần của mật khẩu kỹ lƣỡng hơn tất cả các công cụ kiểm tra khác trong các thử nghiệm của [3], dẫn đến việc đánh giá thực tế hơn về độ phức tạp của mật khẩu cho trƣớc. Tuy nhiên, có quá nhiều mẫu khác nhau ngƣời dùng có thể sử dụng để tạo mật khẩu mà zxcvbn không thể nhận biết hết đƣợc, ví dụ nhƣ các từ đã bị bỏ đi chữ cái đầu, các từ không có nguyên âm, các từ đánh vần sai, n-gram, mã zip của các khu vực, các tổ hợp bàn phím cách xa nhau ví dụ nhƣ qzwxec, v.v [13]. Nhóm phát triển bộ công cụ này cũng đã đƣa ra khuyến nghị rằng việc bổ sung các mẫu ví dụ nhƣ các bộ từ điển và cụm từ thông dụng trong các ngôn ngữ khác ngoài tiếng Anh, các mẫu tổ hợp bàn phím theo các sơ đồ bàn phím khác, v.v.. trong bƣớc so khớp chính là một cách hiệu quả để cải thiện tính hiệu quả cho bộ công cụ này. IV. ĐỀ XUẤT PHƢƠNG PHÁP ĐÁNH GIÁ ĐỘ MẠNH MẬT KHẨU Phần này sẽ trình bày đề xuất phƣơng pháp đánh giá độ mạnh mật khẩu đƣợc phát triển dựa trên ƣớc lƣợng entropy theo thuật toán zxcvbn đã đƣợc phân tích ở trên. Mã nguồn chƣơng trình zxcvbn đã đƣợc phát triển thêm một số nội dung để biến nó trở Nghiên cứu Khoa học và Công nghệ trong lĩnh vực An toàn thông tin Số 2.CS (08) 2018 65 thành một công cụ đánh giá độ mạnh mật khẩu sử dụng đƣợc trong các hệ thống xác thực ngƣời dùng dựa trên mật khẩu có sử dụng tiếng Việt. Các nội dung đã đƣợc phát triển thêm bao gồm: tính toán ngƣỡng an toàn theo entropy của mật khẩu và tích hợp mô-đun đánh giá độ mạnh mật khẩu theo thang điểm; và tích hợp từ điển tiếng Việt vào dữ liệu bƣớc so khớp. Các mục tiếp theo đây sẽ lần lƣợt phân tích chi tiết các nội dung đã đƣợc bổ sung vào mã nguồn chƣơng trình zxcvbn trên. A. Tính toán ngưỡng an toàn theo entropy của mật khẩu và tích hợp mô-đun đánh giá độ mạnh mật khẩu theo thang điểm Zxcvbn cung cấp giá trị ƣớc lƣợng entropy của một mật khẩu đầu vào. Tuy nhiên, với một ngƣời dùng thông thƣờng, giá trị entropy này cũng không thể giúp họ đánh giá đƣợc mật khẩu mà họ lựa chọn đã đủ an toàn hay chƣa. Để cụ thể hơn, cần phải có một mô-đun đánh giá mức độ mạnh yếu của mật khẩu theo thang điểm. Căn cứ đánh giá độ mạnh của một mật khẩu theo giá trị entropy đƣợc dựa vào là RFC 4086 – ―Các yêu cầu về tính ngẫu nhiên đối với bảo mật‖ [14] năm 2004. Tài liệu này đã trình bày một số mô hình tấn công lên các giá trị bí mật (mật khẩu, khóa mật mã) và entropy cần thiết đối với từng mô hình. Kết quả là để chống lại các tấn công trực tuyến, một mật khẩu có 29 bit entropy đƣợc đánh giá là đủ an toàn. Tuy nhiên, đây là giá trị cần thiết tại năm 2004. Theo định luật Moore, mỗi năm giá trị này chỉ cần thêm 2/3 bit, có nghĩa là đến năm 2019, giá trị entropy tối thiểu để mật khẩu đƣợc đánh giá là đủ an toàn trƣớc các tấn công trực tuyến phải là: . Vì nên các ngƣỡng đánh giá độ mạnh của mật khẩu dựa trên số lần đoán cần thiết để tìm ra một mật khẩu đƣợc thiết lập nhƣ sau: Rất yếu (0 điểm) đối với các mật khẩu có thể bị bẻ khóa với chƣa đến 103 lần đoán; Yếu (1 điểm) nếu số lần đoán cần thiết nằm trong khoảng 103-106; Trung bình (2 điểm) nếu cần từ 106-109 lần đoán; Khá mạnh (3 điểm) nếu cần từ 109- 1012lần và; Đủ mạnh (4 điểm) đối với các mật khẩu cần trên 1012 lần đoán. B. Bổ sung tiếng việt vào dữ liệu so khớp từ điển Một trong những điểm yếu của zxcvbn là ở chỗ bộ từ điển của nó chỉ bao gồm các từ tiếng Anh, do đó, nó không thể nhận ra các từ hoặc cụm từ phổ biến trong các ngôn ngữ khác. Ở đây, một từ điển tiếng Việt đã qua xử lý đã đƣợc bổ sung vào dữ liệu so khớp từ điển của chƣơng trình này. Đặt giả thiết rằng các hệ thống thƣờng chỉ cho phép ngƣời dùng thiết lập mật khẩu không dấu hoặc nếu có cho phép thì cũng rất ít ngƣời dùng sử dụng tiếng Việt có dấu cho mật khẩu của mình, do đó, kẻ tấn công khi muốn bẻ khóa một mật khẩu sẽ thử đoán bằng một từ điển bao gồm các từ không dấu trƣớc và các mật khẩu là các từ có dấu đƣợc xem là khó đoán hơn hay mạnh hơn. Một danh sách các từ tiếng việt đƣợc lấy từ dự án Từ điển tiếng Việt miễn phí (The Free Vietnamese Dictionary Project [15]) sau đó đƣợc chuyển đổi thành định dạng các từ tiếng Việt không dấu và viết thƣờng rồi đƣa vào dữ liệu từ điển so khớp của chƣơng trình. Hình 2 mô tả định dạng các từ trong từ điển tiếng Việt nguyên gốc đƣợc lấy từ [15] (bên trái) và sau khi đƣợc chuyển đổi thành định dạng phù hợp để sử dụng trong cơ sở dữ liệu so khớp của chƣơng trình (bên phải). Hình 2. Định dạng dữ liệu tiếng Việt trước và sau khi được xử lý Journal of Science and Technology on Information Security 66 Số 2.CS (08) 2018 V. MỘT SỐ KẾT QUẢ THỬ NGHIỆM PHƢƠNG PHÁP ĐÁNH GIÁ ĐỘ MẠNH MẬT KHẨU ĐƢỢC ĐỀ XUẤT Để đánh giá hoạt động của phƣơng pháp đƣợc đề xuất, một số danh sách mật khẩu dƣới đây đã đƣợc lựa chọn để thử nghiệm đánh giá độ mạnh mật khẩu. Danh sách top 10.000 mật khẩu từ nghiên cứu của Mark Burnett đƣợc công bố trên trang web xato.net [16]: Danh sách 10.000 mật khẩu phổ biến này đƣợc xếp hạng theo số lƣợng ngƣời dùng sử dụng cùng một mật khẩu và đã đƣợc chuyển đổi thành tất cả các chữ cái viết thƣờng [17]. Danh sách mật khẩu người dùng của diễn đàn phpBB.com [18]. Năm 2009, diễn đàn này đã bị xâm nhập do một ứng dụng bên thứ ba và một cơ sở dữ liệu chứa mật khẩu băm đã bị rò rỉ. Do nền tảng kỹ thuật của ngƣời dùng đăng ký trên trang web này, mật khẩu có xu hƣớng phức tạp hơn một chút so với các từ điển khác. Thành phần mật khẩu: 41,24% chỉ bao gồm chữ cái viết thƣờng, 35,7% chỉ bao gồm chữ cái viết thƣờng và chữ số, 11,24% chỉ bao gồm chữ số, 4,82% có sử dụng cả chữ cái viết hoa và viết thƣờng và chữ số, 2,68% sử dụng chữ cái hỗn hợp và phần còn lại đƣợc tạo thành từ các tổ hợp ký tự khác nhau [2]. Danh sách mật khẩu người dùng của trang web MySpace.com. Trang web này đã bị hack vào ngày 11 tháng 6 năm 2013 bởi công cụ LeakedSource, một công cụ tìm kiếm có khả năng tìm kiếm, tổng hợp dữ liệu từ hàng trăm nguồn khác nhau. Danh sách đầy đủ bao gồm tổng cộng 427.484.128 mật khẩu của gồm 360.000.000 ngƣời dùng [19], một danh sách thu nhỏ bao gồm 37.126 mật khẩu đƣợc cung cấp trong [20] đã đƣợc sử dụng để thử nghiệm công cụ này. Danh sách mật khẩu người dùng của diễn đàn vnzoom.com. Diễn đàn chia sẻ công nghệ này đã bị tấn công vào ngày 31/5/2012 và để bị rò rỉ ra một cơ sở dữ liệu bao gồm mật khẩu của sáu triệu ngƣời dùng trên diễn đàn này. Danh sách sáu triệu mật khẩu này [21] đã đƣợc đƣa vào để thử nghiệm nhằm mục đích đánh giá dữ liệu từ điển tiếng Việt đã đƣợc đƣa tích hợp thêm vào dữ liệu so khớp của bộ công cụ đánh giá. Kết quả thử nghiệm đánh giá các danh sách mật khẩu trên đƣợc thể hiện trong Bảng 3. BẢNG 3. KẾT QUẢ THỬ NGHIỆM CÔNG CỤ ĐÁNH GIÁ ĐỘ MẠNH MẬT KHẨU Điểm xato phpBB MySpace vnzoom 0 78 148 41 220 1 8932 26145 4835 96895 2 990 81948 18340 1117424 3 0 52588 10456 2359467 4 0 23559 3454 2470234 Tổng số 10000 184388 37126 6044240 Điểm TB 1.09 2.40 2.34 3.19 Bảng trên cho thấy, trong các danh sách mật khẩu dựa trên tiếng Anh, xato.net cung cấp danh sách 10.000 mật khẩu phổ biến, thƣờng có mặt trong các từ điển đối chiếu của các công cụ đánh giá độ mạnh, do đó, điểm đánh giá độ mạnh đạt thấp nhất, chỉ khoảng hơn 1 điểm và không có mật khẩu nào đạt đƣợc điểm 3 hoặc 4. Trong khi đó, mật khẩu thực sự đƣợc ngƣời dùng sử dụng (phpBB.com và MySpace.com) có độ mạnh trung bình cao hơn, nằm trong khoảng giữa 2 và 3 điểm, và có cả mật khẩu đủ an toàn (4 điểm). Hình 3. Biểu đồ phân bố độ mạnh mật khẩu của các danh sách mật khẩu dựa trên tiếng Anh Hình 3 và 4 minh họa cụ thể hơn sự phân bố mật khẩu dựa trên ngôn ngữ tiếng Anh của ba danh sách đầu tiên (xato.net, phpBB.com, MySpace.com) theo thang điểm độ mạnh. Nghiên cứu Khoa học và Công nghệ trong lĩnh vực An toàn thông tin Số 2.CS (08) 2018 67 Hình 4. Biểu đồ phân bố độ mạnh mật khẩu của từng danh sách mật khẩu dựa trên tiếng Anh Những danh sách mật khẩu ở các trang web trên chỉ chứa ngôn ngữ tiếng Anh. Để đánh giá tác động của từ điển tiếng Việt đối với bộ công cụ đƣợc đề xuất, chúng tôi đã thực hiện đánh giá mật khẩu của vnzoom.com trong hai trƣờng hợp: từ điển chỉ bao gồm tiếng Anh và từ điển bao gồm cả tiếng Anh và tiếng Việt. Kết quả thử nghiệm hai trƣờng hợp này lần lƣợt đƣợc minh họa trong hình 5(a) và 5(b). Kết quả này cho thấy rằng khi có thêm từ điển tiếng Việt vào dữ liệu so khớp, số lƣợng mật khẩu đƣợc đánh giá là đủ mạnh giảm hơn 10% (từ 51,479% xuống còn 40,869%). Điều này chứng tỏ rằng việc đánh giá độ mạnh mật khẩu phụ thuộc nhiều vào ngôn ngữ mà ngƣời sử dụng lựa chọn để thiết lập mật khẩu, và việc bổ sung từ điển tiếng Việt đã giúp đánh giá độ mạnh mật khẩu của ngƣời dùng sử dụng ngôn ngữ tiếng Việt một cách chính xác hơn. Hình 5. Biểu đồ phân bố độ mạnh mật khẩu của vnzoom.com Hình 6 minh họa kết quả tích hợp mô-đun đánh giá độ mạnh mật khẩu vào phần mềm. Hình 6. Tích hợp mô-đun đánh giá mật khẩu Các kết quả đánh giá độ mạnh mật khẩu có thể giúp các nhà quản trị hệ thống đƣa ra chính sách tạo mật khẩu phù hợp, ví dụ nhƣ chỉ cho phép các mật khẩu có độ mạnh đạt một giá trị tối thiểu nhất định. Mô-đun đánh giá độ mạnh mật khẩu đƣợc trình bày trong bài báo này cũng đã đƣợc thử nghiệm cài đặt vào một số hệ thống và cho thấy đƣợc tính hiệu quả. VI. KẾT LUẬN Bài báo này đã phân tích và đề xuất phƣơng pháp đánh giá độ mạnh mật khẩu dựa trên entropy và thử nghiệm đánh giá hoạt động của phƣơng pháp đánh giá độ mạnh mật khẩu này. Kết quả thử nghiệm sử dụng phƣơng pháp đƣợc đề xuất để đánh giá độ an toàn mật khẩu của ngƣời dùng một số hệ thống trên thực tế cho thấy rằng ngay cả các hệ thống mà ngƣời dùng có trình độ công nghệ thông tin thì cũng chƣa đến một nửa số ngƣời dùng lựa chọn đƣợc một mật khẩu đủ an toàn. Vì vậy, vấn đề về độ an toàn của mật khẩu cần phải đặt ra ngay cả đối với những ngƣời dùng am hiểu về công nghệ. Ngoài ra, kết quả thử nghiệm cài đặt mô- đun đánh giá độ mạnh mật khẩu trong một số hệ thống cũng cho thấy khả năng công cụ này có thể đƣợc triển khai một cách đơn giản và hiệu quả trong các hệ thống xác thực ngƣời dùng dựa trên mật khẩu. Journal of Science and Technology on Information Security 68 Số 2.CS (08) 2018 TÀI LIỆU THAM KHẢO [1]. https://en.wikipedia.org/wiki/Password [2]. Xavier De Carne De Carnavalet, Mohammad Mannan (2015) ―A Large-Scale Evaluation of High-Impact Password Strength Meters‖. [3]. https://en.wikipedia.org/wiki/Password_strength [4]. NIST Special Publication 800-63: Electronic Authentication Guideline, 2004. [5]. Nouf Mohammed D. Aljaffan, ―Password Security and Usability: From Password Checkers To a New Framework For User Authentication‖, 2017. [6]. A. Narayanan and V. Shmatikov, ―Fast dictionary attacks on passwords using time- space tradeoff‖, 2005. [7]. M. Weir, S. Aggarwal, B. de Medeiros, and B. Glodek, ―Password cracking using probabilistic context-free grammars‖, 2009. [8]. W. Melicher, B. Ur, S. M. Segreti, S. Komanduri, L. Bauer, N. Christin, and L. F. Cranor, ―Fast, lean and accurate: Modeling password guessability using neural networks‖, 2016. [9]. C. Castelluccia, A. Chaabane, M. Durmuth, and D. Perito, ―When privacy meets security: Leveraging personal information for password cracking‖, 2013. [10]. Y. Li, H. Wang, and K. Sun, ―A study of personal information in human-chosen passwords and its security implications‖, 2016. [11]. Daniel Lowe Wheeler (2016), ―zxcvbn: Low- Budget Password Strength Estimation‖. [12]. S. Ji, S. Yang, T. Wang, C. Liu, W.H. Lee, and R. Beyah, ―PARS: A uniform and open-source password analysis and research system‖, 2015. [13]. https://blogs.dropbox.com/tech/2012/04/zxcvbn -realistic-password-strength-estimation/ [14]. https://tools.ietf.org/html/rfc4086 [15]. https://www.informatik.unileipzig.de/~duc/Dict [16]. https://github.com/danielmiessler/SecLists/blob/ master/Passwords/xato-net-10-million-passwords- 100000.txt [17]. https://xato.net/10-000-top-passwords 6d63807 16fe0 [18]. https://raw.githubusercontent.com/danielmiessl er/SecLists/master/Passwords/Leaked-Databases/ phpbb.txt [19]. https://leakedsource.ru/blog/myspace [20]. https://raw.githubusercontent.com/danielmiess ler/SecLists/master/Passwords/Leaked- Databases/myspace.txt [21]. /6tr-user-vn-zoom.rar SƠ LƢỢC VỀ TÁC GIẢ CN. Hoàng Thu Phương Đơn vị công tác: Viện KH-CN mật mã, Ban Cơ yếu Chính phủ. Email: thuphuonghoang306@gmail.com Quá trình đào tạo: Nhận bằng kỹ sƣ tại Đại học Thƣợng Hải 2012. Hƣớng nghiên cứu hiện nay: Bảo mật trên thiết bị di động ThS. Trần Sỹ Nam Đơn vị công tác: Viện KH-CN mật mã, Ban Cơ yếu Chính phủ. Email: transynam1989@gmail.com Quá trình đào tạo: Nhận bằng kỹ sƣ chuyên ngành An toàn thông tin và Hệ thống mạng tại Học viện FSO, Nga và nhận bằng thạc sĩ chuyên ngành Kỹ thuật mật mã tại Học viện Kỹ thuật mật mã 2018 Hƣớng nghiên cứu hiện nay: Bảo mật mạng, dữ liệu lƣu trữ
File đính kèm:
- danh_gia_do_manh_mat_khau_su_dung_ngon_ngu_tieng_viet_dua_tr.pdf