Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ Tiếng Việt dựa trên ước lượng entropy

Mật khẩu là một trong những

nhân tố được sử dụng phổ biến nhất trong hệ

thống xác thực. Vai trò của mật khẩu là đảm

bảo người dùng có quyền hợp lệ với dữ liệu

mà họ đang muốn truy cập. Hầu hết các hệ

thống đều cố gắng thực thi bảo mật bằng

cách bắt buộc người dùng tuân theo các

chính sách tạo mật khẩu thông qua đánh giá

độ mạnh mật khẩu. Bài báo này giới thiệu

một số phương pháp đánh giá độ mạnh mật

khẩu trong đó tập trung vào phương pháp

đánh giá dựa trên ước lượng entropy, từ đó

đề xuất phát triển một công cụ đánh giá độ

mạnh mật khẩu có thể ứng dụng được trong

các phần mềm xác thực người dùng dựa trên

mật khẩu sử dụng ngôn ngữ tiếng Việt

Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ Tiếng Việt dựa trên ước lượng entropy trang 1

Trang 1

Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ Tiếng Việt dựa trên ước lượng entropy trang 2

Trang 2

Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ Tiếng Việt dựa trên ước lượng entropy trang 3

Trang 3

Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ Tiếng Việt dựa trên ước lượng entropy trang 4

Trang 4

Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ Tiếng Việt dựa trên ước lượng entropy trang 5

Trang 5

Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ Tiếng Việt dựa trên ước lượng entropy trang 6

Trang 6

Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ Tiếng Việt dựa trên ước lượng entropy trang 7

Trang 7

Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ Tiếng Việt dựa trên ước lượng entropy trang 8

Trang 8

Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ Tiếng Việt dựa trên ước lượng entropy trang 9

Trang 9

Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ Tiếng Việt dựa trên ước lượng entropy trang 10

Trang 10

Tải về để xem bản đầy đủ

pdf 11 trang minhkhanh 7840
Bạn đang xem 10 trang mẫu của tài liệu "Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ Tiếng Việt dựa trên ước lượng entropy", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

Tóm tắt nội dung tài liệu: Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ Tiếng Việt dựa trên ước lượng entropy

Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ Tiếng Việt dựa trên ước lượng entropy
Journal of Science and Technology on Information Security 
58 Số 2.CS (08) 2018 
Hoàng Thu Phương, Trần Sỹ Nam
Tóm tắt— Mật khẩu là một trong những 
nhân tố được sử dụng phổ biến nhất trong hệ 
thống xác thực. Vai trò của mật khẩu là đảm 
bảo người dùng có quyền hợp lệ với dữ liệu 
mà họ đang muốn truy cập. Hầu hết các hệ 
thống đều cố gắng thực thi bảo mật bằng 
cách bắt buộc người dùng tuân theo các 
chính sách tạo mật khẩu thông qua đánh giá 
độ mạnh mật khẩu. Bài báo này giới thiệu 
một số phương pháp đánh giá độ mạnh mật 
khẩu trong đó tập trung vào phương pháp 
đánh giá dựa trên ước lượng entropy, từ đó 
đề xuất phát triển một công cụ đánh giá độ 
mạnh mật khẩu có thể ứng dụng được trong 
các phần mềm xác thực người dùng dựa trên 
mật khẩu sử dụng ngôn ngữ tiếng Việt. 
Abstract— Password is one of the most 
common means of authentication systems. 
The role of the password is to ensure that the 
user has legal right to the data they are 
trying to access. Most systems try to enforce 
security by requiring their users to follow 
some password generation policies with 
evaluating password strength. This paper 
introduces a number of methods for 
evaluating password strength, particularyly 
the entropy estimation based method, then, it 
is proposed to develop a password strength 
evaluation tool that can be applied in 
password-based user authentication software 
using Vietnamese language. 
Từ khóa: — độ mạnh mật khẩu; xác thực; 
đánh giá; ngôn ngữ tiếng Việt. 
Keywords: password strength; 
authentication; evaluation; Vietnamese 
language. 
Bài báo đƣợc nhận ngày 15/11/2018. Bài báo đƣợc gửi 
nhận xét và đƣợc chấp nhận đăng bởi phản biện thứ nhất vào 
ngày 04/12/2018 và 26/12/2018. Bài báo đƣợc gửi nhận xét 
và đƣợc chấp nhận đăng bởi phản biện thứ hai vào ngày 
05/12/2018 và 28/12/2018. 
I. GIỚI THIỆU 
Việc sử dụng mật khẩu đã đƣợc biết đến từ 
xa xƣa. Trong thời hiện đại, tên ngƣời dùng và 
mật khẩu thƣờng đƣợc sử dụng trong quá trình 
đăng nhập vào các hệ điều hành máy tính, điện 
thoại di động, bộ giải mã truyền hình cáp, máy 
rút tiền tự động (ATM), v.v... Một ngƣời dùng 
máy tính thông thƣờng có mật khẩu cho nhiều 
mục đích: đăng nhập vào tài khoản, lấy e-mail, 
truy cập các ứng dụng, cơ sở dữ liệu, mạng, 
trang web và thậm chí đọc báo buổi sáng trực 
tuyến [1]. 
Trong các vấn đề về an toàn phổ biến của 
mật khẩu [2], độ mạnh mật khẩu là vấn đề đƣợc 
quan tâm hàng đầu. Độ mạnh của mật khẩu là 
một thƣớc đo hiệu quả khả năng chống lại các 
tấn công đoán hoặc vét cạn của mật khẩu. Nói 
một cách đơn giản, nó ƣớc lƣợng số lần thử 
nghiệm trung bình mà kẻ tấn công sẽ cần để 
đoán chính xác mật khẩu đó. Thông thƣờng, độ 
mạnh mật khẩu đƣợc xác định bằng entropy của 
thông tin và đƣợc đo bằng bit [3]. Thay vì số lần 
đoán cần thiết để tìm ra mật khẩu một cách cụ 
thể, giá trị logarit cơ số 2 của số đó đƣợc đƣa ra, 
đó là số ―bit entropy‖ của mật khẩu đó. 
Căn cứ vào cách thiết lập, mật khẩu có thể 
đƣợc phân thành hai loại: Mật khẩu ngẫu nhiên 
và mật khẩu được người dùng lựa chọn. Mật 
khẩu ngẫu nhiên là mật khẩu bao gồm một 
chuỗi các ký tự có độ dài xác định đƣợc lấy từ 
một tập hợp các ký tự sử dụng một quy trình lựa 
chọn ngẫu nhiên, trong đó mỗi ký tự có khả 
năng đƣợc lựa chọn nhƣ nhau. Để lựa chọn 
ngẫu nhiên một mật khẩu có độ dài k bit thì sẽ 
có thể có 2k khả năng và mật khẩu đó đƣợc coi 
là có k bit entropy. Nếu mật khẩu có độ dài l ký 
tự đƣợc chọn ngẫu nhiên từ b ký tự trong một 
bảng ký tự nào đó thì entropy của mật khẩu đó 
là bl [4]. 
Tuy nhiên, đối với mật khẩu mà người dùng 
lựa chọn, việc ƣớc lƣợng entropy là khó khăn 
hơn nhiều, vì chúng không đƣợc chọn ngẫu 
nhiên và không có phân phối ngẫu nhiên đồng 
nhất. Các mật khẩu đƣợc ngƣời dùng lựa chọn 
Đánh giá độ mạnh mật khẩu sử dụng ngôn 
ngữ tiếng Việt dựa trên ƣớc lƣợng entropy 
Nghiên cứu Khoa học và Công nghệ trong lĩnh vực An toàn thông tin 
 Số 2.CS (08) 2018 59 
có thể phản ánh một cách khái quát các mẫu từ 
và phân phối tần suất của các ký tự trong văn 
bản tiếng Anh thông thƣờng và đƣợc ngƣời 
dùng lựa chọn để họ có thể ghi nhớ chúng. Thực 
nghiệm còn cho thấy rằng nhiều ngƣời dùng còn 
chọn mật khẩu dễ đoán và thậm chí là mật khẩu 
xuất hiện trong các từ điển thông dụng, rất dễ 
dàng để có thể bẻ khóa thành công. 
Các nhà mật mã học đã đƣa ra khái niệm 
thay thế của entropy, ―entropy ƣớc lƣợng‖ để 
làm thƣớc đo độ khó trong việc đoán hay xác 
định mật khẩu đƣợc ngƣời dùng lựa chọn hoặc 
khóa [4]. 
Trong nghiên cứu này, trên cơ sở tìm hiểu 
các phƣơng pháp đánh giá độ mạnh mật khẩu đã 
đƣợc công bố, chúng tôi tập trung vào phân tích 
phƣơng pháp dựa trên ƣớc lƣợng entropy và từ 
đó đề xuất một phƣơng pháp đánh giá độ mạnh 
mật khẩu. Chúng tôi đã nghiên cứu và thiết lập 
các ngƣỡng đánh giá độ an toàn dựa trên giá trị 
entropy ƣớc lƣợng của mật khẩu đồng thời xây 
dựng một từ điển tiếng Việt để sử dụng làm cơ 
sở dữ liệu đánh giá độ mạnh của mật khẩu dựa 
trên tiếng Việt. Ngoài ra, chúng tôi cũng đã sử 
dụng phƣơng pháp đƣợc đề xuất này để đánh 
giá một số danh sách mật khẩu nổi tiếng và thử 
nghiệm cài đặt mô-đun đánh giá độ mạnh mật 
khẩu vào một số phần mềm để chứng minh khả 
năng ứng dụng của nó trong các phần mềm có 
xác thực ngƣời dùng dựa trên mật khẩu. 
Trong các phần tiếp theo của bài báo, trƣớc 
tiên, mục II giới thiệu các nghiên cứu có liên 
quan trong lĩnh vực độ mạnh mật khẩu; sau đó, 
phƣơng pháp đánh giá độ mạnh mật khẩu dựa 
trên ƣớc lƣợng entropy sẽ đƣợc thảo luận trong 
mục III; mục IV trình bày đề xuất phƣơng pháp 
đánh giá độ mạnh mật khẩu có thể ứng dụng 
trong các phần mềm xác thực ngƣời dùng dựa 
trên mật khẩu có sử dụng ngôn ngữ tiếng Việt; 
một số kết quả thử nghiệm phƣơng pháp đƣợc 
đề xuất đƣợc trình bày trong mục V và cuối 
cùng mục VI là một số kết luận 
II. CÁC NGHIÊN CỨU LIÊN QUAN ĐẾN ĐỘ 
MẠNH MẬT KHẨU 
A. Các tấn công lên mật khẩu 
Các mối đe  ... c, một từ không 
phổ biến u và một ngày d, có 3! thứ tự có thể 
thử: cud, ucd, v.v 
D|S|-1 mô hình hóa một kẻ tấn công không 
biết về độ dài của chuỗi mẫu. Giả sử rằng trƣớc 
khi thử các chuỗi có độ dài |S|, kẻ tấn công sẽ 
cố gắng thử các chuỗi mẫu có độ dài ngắn hơn 
trƣớc với giá trị tối thiểu là D lần đoán đối với 
mỗi mẫu, và sẽ mất tổng cộng ∑ | | 
 | | | | lần đoán. Ví dụ, nếu 
một mật khẩu bao gồm token mật khẩu t phổ 
biến thứ 20 với một chữ số d ở cuối –một chuỗi 
gồm 2 mẫu – và kẻ tấn công biết D = 10000 mật 
khẩu phổ biến nhất và td không ở trong danh 
sách 10000 này, D1 biểu thị một kẻ tấn công thử 
10000 lần đoán trong danh sách này trƣớc khi 
thử đoán hai mẫu. 
zxcvbn đƣợc đánh giá là xem xét thành 
phần của mật khẩu kỹ lƣỡng hơn tất cả các công 
cụ kiểm tra khác trong các thử nghiệm của [3], 
dẫn đến việc đánh giá thực tế hơn về độ phức 
tạp của mật khẩu cho trƣớc. Tuy nhiên, có quá 
nhiều mẫu khác nhau ngƣời dùng có thể sử 
dụng để tạo mật khẩu mà zxcvbn không thể 
nhận biết hết đƣợc, ví dụ nhƣ các từ đã bị bỏ đi 
chữ cái đầu, các từ không có nguyên âm, các từ 
đánh vần sai, n-gram, mã zip của các khu vực, 
các tổ hợp bàn phím cách xa nhau ví dụ nhƣ 
qzwxec, v.v [13]. Nhóm phát triển bộ công cụ 
này cũng đã đƣa ra khuyến nghị rằng việc bổ 
sung các mẫu ví dụ nhƣ các bộ từ điển và cụm 
từ thông dụng trong các ngôn ngữ khác ngoài 
tiếng Anh, các mẫu tổ hợp bàn phím theo các sơ 
đồ bàn phím khác, v.v.. trong bƣớc so khớp 
chính là một cách hiệu quả để cải thiện tính hiệu 
quả cho bộ công cụ này. 
IV. ĐỀ XUẤT PHƢƠNG PHÁP ĐÁNH GIÁ 
ĐỘ MẠNH MẬT KHẨU 
Phần này sẽ trình bày đề xuất phƣơng pháp 
đánh giá độ mạnh mật khẩu đƣợc phát triển dựa 
trên ƣớc lƣợng entropy theo thuật toán zxcvbn 
đã đƣợc phân tích ở trên. 
Mã nguồn chƣơng trình zxcvbn đã đƣợc 
phát triển thêm một số nội dung để biến nó trở 
Nghiên cứu Khoa học và Công nghệ trong lĩnh vực An toàn thông tin 
 Số 2.CS (08) 2018 65 
thành một công cụ đánh giá độ mạnh mật khẩu 
sử dụng đƣợc trong các hệ thống xác thực ngƣời 
dùng dựa trên mật khẩu có sử dụng tiếng Việt. 
Các nội dung đã đƣợc phát triển thêm bao gồm: 
tính toán ngƣỡng an toàn theo entropy của mật 
khẩu và tích hợp mô-đun đánh giá độ mạnh mật 
khẩu theo thang điểm; và tích hợp từ điển tiếng 
Việt vào dữ liệu bƣớc so khớp. 
Các mục tiếp theo đây sẽ lần lƣợt phân tích 
chi tiết các nội dung đã đƣợc bổ sung vào mã 
nguồn chƣơng trình zxcvbn trên. 
A. Tính toán ngưỡng an toàn theo entropy của 
mật khẩu và tích hợp mô-đun đánh giá độ mạnh 
mật khẩu theo thang điểm 
Zxcvbn cung cấp giá trị ƣớc lƣợng entropy 
của một mật khẩu đầu vào. Tuy nhiên, với một 
ngƣời dùng thông thƣờng, giá trị entropy này 
cũng không thể giúp họ đánh giá đƣợc mật khẩu 
mà họ lựa chọn đã đủ an toàn hay chƣa. Để cụ 
thể hơn, cần phải có một mô-đun đánh giá mức 
độ mạnh yếu của mật khẩu theo thang điểm. 
Căn cứ đánh giá độ mạnh của một mật khẩu 
theo giá trị entropy đƣợc dựa vào là RFC 4086 
– ―Các yêu cầu về tính ngẫu nhiên đối với bảo 
mật‖ [14] năm 2004. Tài liệu này đã trình bày 
một số mô hình tấn công lên các giá trị bí mật 
(mật khẩu, khóa mật mã) và entropy cần thiết 
đối với từng mô hình. Kết quả là để chống lại 
các tấn công trực tuyến, một mật khẩu có 29 bit 
entropy đƣợc đánh giá là đủ an toàn. Tuy nhiên, 
đây là giá trị cần thiết tại năm 2004. Theo định 
luật Moore, mỗi năm giá trị này chỉ cần thêm 
2/3 bit, có nghĩa là đến năm 2019, giá trị 
entropy tối thiểu để mật khẩu đƣợc đánh giá là 
đủ an toàn trƣớc các tấn công trực tuyến phải là: 
 . 
Vì nên các ngƣỡng đánh giá độ 
mạnh của mật khẩu dựa trên số lần đoán cần 
thiết để tìm ra một mật khẩu đƣợc thiết lập nhƣ 
sau: 
 Rất yếu (0 điểm) đối với các mật khẩu có 
thể bị bẻ khóa với chƣa đến 103 lần đoán; 
 Yếu (1 điểm) nếu số lần đoán cần thiết 
nằm trong khoảng 103-106; 
 Trung bình (2 điểm) nếu cần từ 106-109 
lần đoán; 
 Khá mạnh (3 điểm) nếu cần từ 109-
1012lần và; 
 Đủ mạnh (4 điểm) đối với các mật khẩu 
cần trên 1012 lần đoán. 
B. Bổ sung tiếng việt vào dữ liệu so khớp từ điển 
Một trong những điểm yếu của zxcvbn là ở 
chỗ bộ từ điển của nó chỉ bao gồm các từ tiếng 
Anh, do đó, nó không thể nhận ra các từ hoặc 
cụm từ phổ biến trong các ngôn ngữ khác. Ở 
đây, một từ điển tiếng Việt đã qua xử lý đã đƣợc 
bổ sung vào dữ liệu so khớp từ điển của chƣơng 
trình này. 
Đặt giả thiết rằng các hệ thống thƣờng chỉ 
cho phép ngƣời dùng thiết lập mật khẩu không 
dấu hoặc nếu có cho phép thì cũng rất ít ngƣời 
dùng sử dụng tiếng Việt có dấu cho mật khẩu 
của mình, do đó, kẻ tấn công khi muốn bẻ khóa 
một mật khẩu sẽ thử đoán bằng một từ điển bao 
gồm các từ không dấu trƣớc và các mật khẩu là 
các từ có dấu đƣợc xem là khó đoán hơn hay 
mạnh hơn. Một danh sách các từ tiếng việt đƣợc 
lấy từ dự án Từ điển tiếng Việt miễn phí (The 
Free Vietnamese Dictionary Project [15]) sau đó 
đƣợc chuyển đổi thành định dạng các từ tiếng 
Việt không dấu và viết thƣờng rồi đƣa vào dữ 
liệu từ điển so khớp của chƣơng trình. 
Hình 2 mô tả định dạng các từ trong từ điển 
tiếng Việt nguyên gốc đƣợc lấy từ [15] (bên 
trái) và sau khi đƣợc chuyển đổi thành định 
dạng phù hợp để sử dụng trong cơ sở dữ liệu so 
khớp của chƣơng trình (bên phải). 
Hình 2. Định dạng dữ liệu tiếng Việt trước và sau 
khi được xử lý 
Journal of Science and Technology on Information Security 
66 Số 2.CS (08) 2018 
V. MỘT SỐ KẾT QUẢ THỬ NGHIỆM 
PHƢƠNG PHÁP ĐÁNH GIÁ 
ĐỘ MẠNH MẬT KHẨU ĐƢỢC ĐỀ XUẤT 
Để đánh giá hoạt động của phƣơng pháp 
đƣợc đề xuất, một số danh sách mật khẩu dƣới 
đây đã đƣợc lựa chọn để thử nghiệm đánh giá 
độ mạnh mật khẩu. 
Danh sách top 10.000 mật khẩu từ nghiên 
cứu của Mark Burnett đƣợc công bố trên trang 
web xato.net [16]: Danh sách 10.000 mật khẩu 
phổ biến này đƣợc xếp hạng theo số lƣợng 
ngƣời dùng sử dụng cùng một mật khẩu và đã 
đƣợc chuyển đổi thành tất cả các chữ cái viết 
thƣờng [17]. 
Danh sách mật khẩu người dùng của diễn 
đàn phpBB.com [18]. Năm 2009, diễn đàn này 
đã bị xâm nhập do một ứng dụng bên thứ ba và 
một cơ sở dữ liệu chứa mật khẩu băm đã bị rò 
rỉ. Do nền tảng kỹ thuật của ngƣời dùng đăng ký 
trên trang web này, mật khẩu có xu hƣớng phức 
tạp hơn một chút so với các từ điển khác. Thành 
phần mật khẩu: 41,24% chỉ bao gồm chữ cái 
viết thƣờng, 35,7% chỉ bao gồm chữ cái viết 
thƣờng và chữ số, 11,24% chỉ bao gồm chữ số, 
4,82% có sử dụng cả chữ cái viết hoa và viết 
thƣờng và chữ số, 2,68% sử dụng chữ cái hỗn 
hợp và phần còn lại đƣợc tạo thành từ các tổ 
hợp ký tự khác nhau [2]. 
Danh sách mật khẩu người dùng của trang 
web MySpace.com. Trang web này đã bị hack 
vào ngày 11 tháng 6 năm 2013 bởi công cụ 
LeakedSource, một công cụ tìm kiếm có khả 
năng tìm kiếm, tổng hợp dữ liệu từ hàng trăm 
nguồn khác nhau. Danh sách đầy đủ bao gồm 
tổng cộng 427.484.128 mật khẩu của gồm 
360.000.000 ngƣời dùng [19], một danh sách 
thu nhỏ bao gồm 37.126 mật khẩu đƣợc cung 
cấp trong [20] đã đƣợc sử dụng để thử nghiệm 
công cụ này. 
Danh sách mật khẩu người dùng của diễn 
đàn vnzoom.com. Diễn đàn chia sẻ công nghệ 
này đã bị tấn công vào ngày 31/5/2012 và để bị 
rò rỉ ra một cơ sở dữ liệu bao gồm mật khẩu của 
sáu triệu ngƣời dùng trên diễn đàn này. Danh 
sách sáu triệu mật khẩu này [21] đã đƣợc đƣa 
vào để thử nghiệm nhằm mục đích đánh giá dữ 
liệu từ điển tiếng Việt đã đƣợc đƣa tích hợp 
thêm vào dữ liệu so khớp của bộ công cụ đánh 
giá. 
Kết quả thử nghiệm đánh giá các danh sách 
mật khẩu trên đƣợc thể hiện trong Bảng 3. 
BẢNG 3. KẾT QUẢ THỬ NGHIỆM CÔNG CỤ 
ĐÁNH GIÁ ĐỘ MẠNH MẬT KHẨU 
Điểm xato phpBB MySpace vnzoom 
0 78 148 41 220 
1 8932 26145 4835 96895 
2 990 81948 18340 1117424 
3 0 52588 10456 2359467 
4 0 23559 3454 2470234 
Tổng 
số 
10000 184388 37126 6044240 
Điểm 
TB 
1.09 2.40 2.34 3.19 
Bảng trên cho thấy, trong các danh sách mật 
khẩu dựa trên tiếng Anh, xato.net cung cấp danh 
sách 10.000 mật khẩu phổ biến, thƣờng có mặt 
trong các từ điển đối chiếu của các công cụ 
đánh giá độ mạnh, do đó, điểm đánh giá độ 
mạnh đạt thấp nhất, chỉ khoảng hơn 1 điểm và 
không có mật khẩu nào đạt đƣợc điểm 3 hoặc 4. 
Trong khi đó, mật khẩu thực sự đƣợc ngƣời 
dùng sử dụng (phpBB.com và MySpace.com) 
có độ mạnh trung bình cao hơn, nằm trong 
khoảng giữa 2 và 3 điểm, và có cả mật khẩu đủ 
an toàn (4 điểm). 
Hình 3. Biểu đồ phân bố độ mạnh mật khẩu của các 
danh sách mật khẩu dựa trên tiếng Anh 
Hình 3 và 4 minh họa cụ thể hơn sự phân bố 
mật khẩu dựa trên ngôn ngữ tiếng Anh của ba 
danh sách đầu tiên (xato.net, phpBB.com, 
MySpace.com) theo thang điểm độ mạnh. 
Nghiên cứu Khoa học và Công nghệ trong lĩnh vực An toàn thông tin 
 Số 2.CS (08) 2018 67 
Hình 4. Biểu đồ phân bố độ mạnh mật khẩu của từng 
danh sách mật khẩu dựa trên tiếng Anh 
Những danh sách mật khẩu ở các trang web 
trên chỉ chứa ngôn ngữ tiếng Anh. Để đánh giá 
tác động của từ điển tiếng Việt đối với bộ công 
cụ đƣợc đề xuất, chúng tôi đã thực hiện đánh 
giá mật khẩu của vnzoom.com trong hai trƣờng 
hợp: từ điển chỉ bao gồm tiếng Anh và từ điển 
bao gồm cả tiếng Anh và tiếng Việt. Kết quả 
thử nghiệm hai trƣờng hợp này lần lƣợt đƣợc 
minh họa trong hình 5(a) và 5(b). Kết quả này 
cho thấy rằng khi có thêm từ điển tiếng Việt vào 
dữ liệu so khớp, số lƣợng mật khẩu đƣợc đánh 
giá là đủ mạnh giảm hơn 10% (từ 51,479% 
xuống còn 40,869%). Điều này chứng tỏ rằng 
việc đánh giá độ mạnh mật khẩu phụ thuộc 
nhiều vào ngôn ngữ mà ngƣời sử dụng lựa chọn 
để thiết lập mật khẩu, và việc bổ sung từ điển 
tiếng Việt đã giúp đánh giá độ mạnh mật khẩu 
của ngƣời dùng sử dụng ngôn ngữ tiếng Việt 
một cách chính xác hơn. 
Hình 5. Biểu đồ phân bố độ mạnh mật khẩu của 
vnzoom.com 
Hình 6 minh họa kết quả tích hợp mô-đun 
đánh giá độ mạnh mật khẩu vào phần mềm. 
Hình 6. Tích hợp mô-đun đánh giá mật khẩu 
Các kết quả đánh giá độ mạnh mật khẩu có 
thể giúp các nhà quản trị hệ thống đƣa ra chính 
sách tạo mật khẩu phù hợp, ví dụ nhƣ chỉ cho 
phép các mật khẩu có độ mạnh đạt một giá trị 
tối thiểu nhất định. Mô-đun đánh giá độ mạnh 
mật khẩu đƣợc trình bày trong bài báo này cũng 
đã đƣợc thử nghiệm cài đặt vào một số hệ thống 
và cho thấy đƣợc tính hiệu quả. 
VI. KẾT LUẬN 
Bài báo này đã phân tích và đề xuất phƣơng 
pháp đánh giá độ mạnh mật khẩu dựa trên 
entropy và thử nghiệm đánh giá hoạt động của 
phƣơng pháp đánh giá độ mạnh mật khẩu này. 
Kết quả thử nghiệm sử dụng phƣơng pháp đƣợc 
đề xuất để đánh giá độ an toàn mật khẩu của 
ngƣời dùng một số hệ thống trên thực tế cho 
thấy rằng ngay cả các hệ thống mà ngƣời dùng 
có trình độ công nghệ thông tin thì cũng chƣa 
đến một nửa số ngƣời dùng lựa chọn đƣợc một 
mật khẩu đủ an toàn. Vì vậy, vấn đề về độ an 
toàn của mật khẩu cần phải đặt ra ngay cả đối 
với những ngƣời dùng am hiểu về công nghệ. 
Ngoài ra, kết quả thử nghiệm cài đặt mô-
đun đánh giá độ mạnh mật khẩu trong một số hệ 
thống cũng cho thấy khả năng công cụ này có 
thể đƣợc triển khai một cách đơn giản và hiệu 
quả trong các hệ thống xác thực ngƣời dùng dựa 
trên mật khẩu. 
Journal of Science and Technology on Information Security 
68 Số 2.CS (08) 2018 
TÀI LIỆU THAM KHẢO 
[1]. https://en.wikipedia.org/wiki/Password 
[2]. Xavier De Carne De Carnavalet, Mohammad 
Mannan (2015) ―A Large-Scale Evaluation of 
High-Impact Password Strength Meters‖. 
[3]. https://en.wikipedia.org/wiki/Password_strength 
[4]. NIST Special Publication 800-63: Electronic 
Authentication Guideline, 2004. 
[5]. Nouf Mohammed D. Aljaffan, ―Password 
Security and Usability: From Password 
Checkers To a New Framework For User 
Authentication‖, 2017. 
[6]. A. Narayanan and V. Shmatikov, ―Fast 
dictionary attacks on passwords using time-
space tradeoff‖, 2005. 
[7]. M. Weir, S. Aggarwal, B. de Medeiros, and B. 
Glodek, ―Password cracking using probabilistic 
context-free grammars‖, 2009. 
[8]. W. Melicher, B. Ur, S. M. Segreti, S. 
Komanduri, L. Bauer, N. Christin, and L. F. 
Cranor, ―Fast, lean and accurate: Modeling 
password guessability using neural networks‖, 
2016. 
[9]. C. Castelluccia, A. Chaabane, M. Durmuth, and 
D. Perito, ―When privacy meets security: 
Leveraging personal information for password 
cracking‖, 2013. 
[10]. Y. Li, H. Wang, and K. Sun, ―A study of 
personal information in human-chosen 
passwords and its security implications‖, 2016. 
[11]. Daniel Lowe Wheeler (2016), ―zxcvbn: Low-
Budget Password Strength Estimation‖. 
[12]. S. Ji, S. Yang, T. Wang, C. Liu, W.H. Lee, and 
R. Beyah, ―PARS: A uniform and open-source 
password analysis and research system‖, 2015. 
[13]. https://blogs.dropbox.com/tech/2012/04/zxcvbn 
-realistic-password-strength-estimation/ 
[14]. https://tools.ietf.org/html/rfc4086 
[15]. https://www.informatik.unileipzig.de/~duc/Dict 
[16]. https://github.com/danielmiessler/SecLists/blob/ 
master/Passwords/xato-net-10-million-passwords-
100000.txt 
[17]. https://xato.net/10-000-top-passwords 6d63807 
16fe0 
[18]. https://raw.githubusercontent.com/danielmiessl 
er/SecLists/master/Passwords/Leaked-Databases/ 
phpbb.txt 
[19]. https://leakedsource.ru/blog/myspace 
[20]. https://raw.githubusercontent.com/danielmiess 
ler/SecLists/master/Passwords/Leaked-
Databases/myspace.txt 
[21].  
/6tr-user-vn-zoom.rar 
SƠ LƢỢC VỀ TÁC GIẢ 
CN. Hoàng Thu Phương 
Đơn vị công tác: Viện KH-CN mật 
mã, Ban Cơ yếu Chính phủ. 
Email: thuphuonghoang306@gmail.com 
Quá trình đào tạo: Nhận bằng kỹ sƣ 
tại Đại học Thƣợng Hải 2012. 
Hƣớng nghiên cứu hiện nay: Bảo 
mật trên thiết bị di động 
ThS. Trần Sỹ Nam 
Đơn vị công tác: Viện KH-CN mật 
mã, Ban Cơ yếu Chính phủ. 
Email: transynam1989@gmail.com 
Quá trình đào tạo: Nhận bằng kỹ sƣ 
chuyên ngành An toàn thông tin và 
Hệ thống mạng tại Học viện FSO, Nga và nhận bằng 
thạc sĩ chuyên ngành Kỹ thuật mật mã tại Học viện 
Kỹ thuật mật mã 2018 
Hƣớng nghiên cứu hiện nay: Bảo mật mạng, dữ liệu 
lƣu trữ 

File đính kèm:

  • pdfdanh_gia_do_manh_mat_khau_su_dung_ngon_ngu_tieng_viet_dua_tr.pdf