一种弱口令的筛选方法与流程

本发明涉及信息安全技术领域，更具体地，涉及一种针对应用系统弱口令字典的筛选方法，用于简单高效的筛选判断弱口令，该方法适用于大型企业应用系统弱口令校验筛选。

背景技术：

在现有账户口令中检出弱口令期间，通常的做法是根据口令校验需要为配套的校验工具提供大量的弱口令字典，校验的弱口令条数达到几十万甚至数百万条。目前口令字典生成工具比较常见，也提供了比较全面的口令字典生成功能，从数字字母符号的规律生成到穷举，从自定义词根的录入，从符合拼音日期电话身份证等各方面列举口令字典，也包括了将口令字典的词根重新组合，生成更高级的口令字典。总体上讲，现有的口令字典生成有以下方法：

1、对自定义词根进行录入、定义词根的应用场景，然后根据应用场景归类。其中自定义词根通常包括常用地名、常用系统名、常用部门、常用单词拼音等。

2、生成规律性的数字、字母和键盘顺序组合。以数字为例，既可以按不同位数直接穷举的方式将区间内的所有数字一一列举，又可以按不同位数的顺序规律(如顺序12345、倒序4321、重复111等)进行组合，形成数字、字母或键盘词根。

3、对词根进行组合，生成高级字典。字典文件的生成方式可以是两组以上的词根组合，其中组合方式采用并集、交集和对称差等方式。

但是，即使口令字典工具功能强大，在实际操作和运行时仍然有以下几方面问题：

1、生成的弱口令字典虽多，但仍然无法保证全覆盖，对于虽然复杂但是由于特定原因(使用场景、行业、领域缩写等)可能多次被使用的口令无法正常检出；

2、通常采用穷举等手段生成的口令字典，本身数量级就能达到成百上千万条，如果再通过高级组合功能与其他类型词根组合，数量会以次方级增长，校验时间过长，不适合用于巨量口令验证；

3、除了采用爆破的方式验证加密口令外，无其他方法去判断加密口令不在弱口令字典中而被常用的疑似弱口令。

4、如此数量的弱口令不可能通过手动逐一录入，因此需要通过口令字典工具进行生成，但即使如此，生成的口令数量虽然庞大也难免会出现遗漏，如此大量的口令字典也大大增加了口令检验的时间，因此需要通过新的筛选方法提高弱口令检测的准确率和效率，达到所需检出的弱口令全面、精确的目的。

技术实现要素：

为了提高对应用系统(例如，各企事业单位使用的软件应用系统、服务器应用系统、数据库应用系统、安全认证系统等)内现有账户口令中弱口令检出的准确率和效率，本发明提供了一种弱口令的筛选方法。本发明的目的还包括在大量的加密口令列表中找出相同的加密口令，并显示确认为弱口令，明确其序号位置及数量。本发明主要用于应用系统弱口令校验工具。

为了达到上述目的，本发明提供的技术方案如下：

一种弱口令的筛选方法，包括：

(1)提供给校验工具弱口令字典，需通过口令生成工具；

(2)使弱口令字典的加密应与待校验的应用系统加密口令文件采用的加密方式保持完全的一致；

(3)进行加密口令的比对校验,其中未匹配弱口令字典但重复出现的加密口令同样判定为疑似弱口令；

(4)显示口令比对校验的结果。

进一步地，所述弱口令字典由专门的弱口令字典生成工具制作，且充分考虑各种弱口令的组合方式，所述弱口令包括基础性弱口令字典。

进一步地，根据需要校验的应用系统不同，专门配置有针对性的弱口令字典文件并存档供后期调用。

进一步地，所述步骤(2)中，提供包括MD5、SHA1、BASE64、加盐在内的多种加密方式一种或多种进行口令加密。

进一步地，对于有加盐配置的加密口令，也同样对弱口令字典进行加盐配置，并提供盐值的编码方式进行选择。

进一步地，在所述步骤(3)的加密口令校验过程中，除对加密后的弱口令字典与应用系统加密口令进行比对校验外，通过对加密后的弱口令的相同性进行校验，根据加密弱口令字符串确定疑似弱口令。

进一步地，所述根据加密弱口令字符串确定疑似弱口令包括：如加密弱口令字符串完全相同的数量超过2个，即判定为疑似弱口令；否则，如弱口令字典中无相应的弱口令，则显示应用系统加密口令列表中该口令的位置、数量等信息，并标记为疑似弱口令。

进一步地，所述疑似弱口令是在无法检出口令是否为弱口令的基础上进行判断的，即提供的弱口令字典中如有该弱口令，则做相应的对比翻译成明文即可。

进一步地，所述步骤(4)中，无需等比对校验结束后再显示，及时通知用户修改口令，达到口令强化的效果。

进一步地，每次口令校验结束后将口令校验结果归档，方便后期对口令校验记录的查询，以及对用户弱口令更改强化的验证。

本发明的有益效果是：

(1)传统方式通过对弱口令字典与应用系统加密口令相同的加密方式(如MD5,base64等)进行加密后再与应用系统口令密文进行比对，可以反向破解出具体的弱口令明文，而本发明的方法在传统单一弱口令字典加密的方式上(如单独MD5或base64加密)，增加了混合加密的方式，可以对按不同加密顺序多种加密方式的口令进行校验，例如MD5+base64+SHA-1加密方式等，可以将这些加密方式进行随机组合。此外，即使目前没有列举出的加密方式，无论单一还是混合，都可以通过相同项判断认定多次重复的加密口令为弱口令。

(2)改善了原有通过口令字典工具生成弱口令字典提供给校验工具使用的单一方式。在口令字典工具无法覆盖所有弱口令的前提下，通过判断不同账号多次使用相同口令即为弱口令的特点，校验出弱口令字典中遗漏的应用系统弱口令，可以与弱口令字典形成互补，保障系统的弱口令校验最大限度的减少漏检的情况。

(3)当检验文件中出现多个重复口令时，本发明的筛选方法能扩大口令字典文件的容量，以便确认所校验的加密弱口令其明文未加密口令，也可向该重复加密口令用户直接询问。

(4)通过本发明的方法可以在校验过程中适当减少弱口令字典文件的容量，减少数据之间的对撞，提升比对校验的效率。

(5)通过实际在弱口令校验工具中的使用，本发明的方法能够准确判断相同加密口令的位置、内容和数量，并显示其具体信息及其在列表中的序号。

附图说明

图1示出了根据本发明的弱口令的筛选方法的流程图。

图2示出了根据本发明的一个实施例的采用哈希表对加密口令进行循环判定的弱口令筛选方法的流程示意图。

具体实施方式

本发明中，对于弱口令的定义不能简单的定义为由简单的数字、字母、符号组成的口令即为弱口令。应当指出，容易被别人猜测到或被破解工具破解的口令等也应被包括在本发明中所称的弱口令中。这其中就包括了未知而在同一领域、行业或系统中重复出现的口令，通过口令在校验过程中发现的相同口令，无论口令是否加密，均可以被定义为本发明中所称的弱口令，以便于为弱口令字典生成工具提供有效的补充。

本发明中，弱口令校验工具主要是用于校验各类应用系统的加密或非加密口令。该工具既采用了传统方式利用弱口令字典进行明文和加密口令的校验，又采用了本发明中判断不同用户多次采用相同口令的校验方式定义其为弱口令。

实现这种加密密文相同项检出功能的方法有几种，根据工具开发的需要，根据本发明的一个优选实施例，采用哈希表的方式进行处理。这是因为，在实际应用中，通常需要检验的加密口令表数量庞大，从最少的几万条到几百万条，要在大数据量的列表中找出相同项，哈希表是一种高效的处理方式。哈希表(散列表)是一种非常高效的查找数据结构，在原理上也与其他的查找不尽相同，它回避了关键字之间反复比较的繁琐，而是直接一步到位查找结果。虽然这也带来了记录之间没有任何关联的弊端，但对于相同项的查找、定位和统计没有影响。哈希表对于那些查找性能要求高，记录之间关系无要求的数据有非常好的适用性。

为了提高哈希表的相同项匹配效率，本发明采用哈希表循环判定法。首先先记录字符串中第1个字符；然后从第2个字符开始，判定其和其前面的字符是否相同，不相同的话，则统计进去；最后相同的话则继续遍历，直到字符串末尾。我们利用表格的排序功能，很容易就能找到表中的相同项及其数量。

当查找到加密口令中相同的口令，会在工具中显示出相同口令的数量及对应的序号和账号，并形成记录进行保存。

如图1所示，本发明提供了一种弱口令的筛选方法，包括：

(1)提供给校验工具弱口令字典，需通过口令生成工具：①弱口令字典由专门的弱口令字典生成工具制作，充分考虑各种弱口令的组合方式，通过列举和穷举的方式生成弱口令字典文件；②生成的基础弱口令字典还可以进行组合生成高级字典；③弱口令字典可以根据需要校验的应用系统不同，专门配置有针对性的弱口令字典文件并存档供后期调用；④应用系统加密口令文件由各运维人员直接从应用系统服务器提取。这些数据文件获取后，由安全督查及运维人员导入校验软件即可进行比对；

(2)使弱口令字典的加密应与待校验的应用系统加密口令文件采用的加密方式保持完全的一致，提供MD5、SHA1、BASE64等多种加密方式，对于有加盐配置的加密口令，也同样对弱口令字典进行加盐配置，并提供盐值的编码方式进行选择，区分私有盐、16进制盐，只有字典加密方式完全一致，才能准确进行校验；

(3)通过本发明方法在加密口令校验过程中，除对加密后的弱口令字典与应用系统加密口令进行比对校验外，通过本发明对加密后的弱口令的相同性进行校验，如加密弱口令字符串完全相同的数量超过2个，即判定为疑似弱口令，疑似弱口令是在无法检出口令是否为弱口令的基础上进行判断的，即提供的弱口令字典中如有该弱口令，则做相应的对比翻译成明文即可，如弱口令字典中无相应的弱口令，则显示应用系统加密口令列表中该口令的位置、数量等信息，并标记为疑似弱口令。

(4)口令比对校验的结果(含疑似弱口令)及时在校验结果中显示，无需等比对校验结束后再显示，及时通知用户修改口令，达到口令强化的效果。每次口令校验结束后将口令校验结果归档，方便后期对口令校验记录的查询，以及对用户弱口令更改强化的验证。如图2所示的实施例，采用哈希表对加密口令进行循环判定，当发现其中完全相同的加密口令字符串时，由于是不同用户采用了相同的密码，其加密方法在同一应用系统内完全相同，因此将其判断为弱口令，然后提取其位置序号、对应账号(如果有)等信息进行显示，也可显示重复口令加密后的内容，统计出整个列表中有多少用户使用了重复口令，可以是多组重复口令同时判定显示。

以上对于本发明的较佳实施例所作的叙述是为阐明的目的，而无意限定本发明精确地为所揭露的形式，基于以上的教导或从本发明的实施例学习而作修改或变化是可能的，实施例是为解说本发明的原理以及让所属领域的技术人员以各种实施例利用本发明在实际应用上而选择及叙述，本发明的技术思想企图由权利要求及其均等来决定。