一种基于用户信息检测的口令安全性评估方法及系统技术方案

本发明专利技术公开了一种基于用户信息检测的口令安全性评估方法及系统。本方法为：获取待测试口令以及使用该待测试口令的用户身份信息；将所述用户身份信息中的文字信息转换为字母，根据所述用户身份信息中的数字和转换后的字母生成身份信息字典表，然后将该身份信息字典表与弱口令字典表合并成用于测试的测试字典集；检测该待测试口令中是否包含有与所述测试字典集中的字符串匹配的字符串，标记该待测试口令匹配结果并统计该待测试口令的字符组合种类数目；根据该待测试口令的标记结果和字符组合种类数目判定该待测口令的安全性。本发明专利技术提高了用户密码的安全性。

A password security assessment method and system based on user information detection

The invention discloses a password security evaluation method and system based on user information detection. The method is: to acquire the test and use of the password to the user identity information test password; the user identity information in the text information into the letter, according to the user identity information in the digital and converted letter generated identity information dictionary, then the identity information dictionary table and weak password dictionary the table into the dictionary for testing the test set; the detection to test whether the password contains string string concentration and the test dictionary matching, mark the number of characters to be tested, the combination types and the password password test statistics; the security of the password to be tested according to the decision to test password the number of characters and types of combination marker. The invention improves the security of the user's password.

【技术实现步骤摘要】
一种基于用户信息检测的口令安全性评估方法及系统
本专利技术属于互联网
，具体而言，涉及一种口令安全性评估方法和一种口令安全性评估系统。
技术介绍
在网络发展越来越发达的今天，用户的个人信息可以轻易的被第三方获取到，不再是隐私信息，这将严重威胁用户的账号安全。口令是进入用户帐号的“钥匙”，如果他人拿到了“钥匙”，用户帐号的安全则荡然无存，账号中的可能涉及的钱财、数据和隐私则完全暴露给他人。一些用户为了让口令更方便记忆，使用自己的生日、手机号、邮箱账号、名字拼音等个人相关信息设置口令，极容易被攻击者使用用户信息组成的字典表破解。现有常见的评估用户口令强度的方法主要包括：通过常用弱口令字典，判断是否使用简单口令；或者判断用户是否使用了数字、字母、标点符号的组合口令。或者根据用户的相关的数字信息，例如QQ号、手机号，判断是否使用个人信息做口令。现有的弱口令检测技术只能基于弱口令字典，口令的组成方式和部分用户的纯数字信息进行检测。有些用户为了方便记忆在口令中使用多种个人信息来组合成口令，例如名字拼音组合、身份证的末尾数字、微信号、部分QQ号、出生日期数字组合等多种信息组合而成的口令。这种由多种个人信息组合而成的口令，无法防止攻击者利用用户个人信息的字典进行爆破攻击，然而现有的弱口令检测技术不能认定该种口令为弱口令。
技术实现思路
针对上述问题，本专利技术提出了一种基于用户信息的口令安全性评估方法和系统，以解决现有技术无法检测出用户利用自己身份信息，并通过对信息的裁剪和转换构造弱口令的问题。为此目的，本专利技术提出了一种口令强度的检测方法，具体技术方案是：一种口令安全性的评估方法，包括以下步骤：1)获取等待测试的口令；2)获取使用该待测试口令的用户信息集合，所述用户信息集合中包含所述用户的身份信息，包括身份证号码、QQ号、微信号、邮箱账号、姓名、性别、出生日期、英文名等相关信息。3)将获取的身份信息的文字信息转换为字母和数字，并根据身份信息中的数字和转换后的字母生成身份信息字典表，之后将身份信息字典表和从网络上收集的弱口令字典表合并成用于测试的测试字典集。4)检测该待测试口令中是否包含有与所述测试字典集中的字符串匹配的字符串，如有匹配的字符串，则使用标记字符串标记该待测试口令中的匹配字符串。5)根据标记结果确定待测口令中的身份信息和弱口令在待测口令中所占的比重来评估该待测口令的强度和安全性，根据公式计算出口令的安全度。一种口令安全性的评估系统，包括：待测口令获取模块，用以在系统中获取待测用户所要检测的口令。获取用户身份信息模块，用于获取包括身份证号码、QQ号、微信id、邮箱账号、姓名、性别、出生日期、英文名、账号名等相关信息。用户信息处理模块，用于将获取的身份信息的文字信息转换为字母，并根据用户身份信息中的数字和转换后的字母生成身份信息字典表,最后与弱口令字典集合并形成最后的测试字典集。口令检测模块，用于检测待测口令是否包含测试字典集的字符串，同时使用标记字符串定位出字符串在口令中的位置和长度。口令强度评估模块，用于根据身份信息和弱口令在待测口令中所占的比重来判定该待测口令的强度和安全性。与现有技术相比，本专利技术的积极效果为：由于本专利技术增加了用户信息作为弱口令检测的主要特征，弥补了现有检测方式缺乏对用户基于个人信息而构造的口令的检测和评估功能。现如今，使用社会工程学对用户的定点攻击日益成为一种普遍的攻击手段，以用户信息构造的弱口令极易被黑客破解。本专利技术可以通过网站收集和用户个人提供的个人信息对口令评估，通过公式计算得到口令的强度，低强度和中强度的口令系统会提示用户修改口令。进而提高了用户密码的安全性，大大减少了黑客使用社会工程学对用户信息的窃取的可能性。附图说明图1是实施例中系统建立和部署总括示意图。图2是实施例中系统获取待测用户的身份信息流程示意图。图3是实施例中系统转换用户身份信息示意图。图4是实施例中系统检测口令流程示意图。具体实施方式为了使本
的人员更好的理解本专利技术实施例中的技术方案，并使得本专利技术的目的、特征和优点能够更加明显易懂，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。本专利技术的主要目的为根据用户的身份信息，通过将身份信息转换，分解组合，模拟所有可能会使用的口令组合方式，判断用户所设置的口令是否包含用户的身份信息，同时结合现有的弱口令字典集，检测身份信息和弱口令在这个口令中的占比，从而确定待测口令是否为弱口令，以及该口令的安全强度大小。在本专利技术中，设计了一种准确而方便的口令安全性评估系统，能够准确的评估用户设置口令的安全强度，所述系统包括如下：本专利技术系统分为5个模块，分别是待测口令获取模块，获取用户身份信息模块，用户信息处理模块，口令检测模块，口令强度评估模块。如图1所示，系统建立和部署总括示意图，包括：在步骤100处，接收待测口令，接收的待测口令可以是用户在网页，APP应用，桌面客户端等应用上使用的登录口令，支付口令或者在应用中进行相关隐私操作(隐私操作包含且不限于查看，修改隐私数据)验证口令等。待测口令不仅限于上述的口令，可以是任何需要测试的口令。在步骤200处，获取用户的身份信息集合。为了更清楚地解释该步骤，参考图2来描述该步骤的一种可选的具体实施。如图2所示，根据本专利技术设计的一个实施例的获取所述待测口令的用户的身份信息集合步骤的流程图。在步骤201处，系统提供用户身份信息的个人信息输入入口，待测口令的用户可以在个人信息输入入口输入自己的相关信息。此处需要系统提示用户，在系统评估口令强度时需要收集用户的个人信息，以保证评估的准确度，同时说明系统在评估口令结束后会将个人信息清除，保证用户信息的安全。在步骤202处，因为网站网页，桌面程序，手机APP在为用户提供服务时，会收集用户的个人信息，口令评估系统可以从网站网页，桌面客户端，APP存储的用户信息中导入数据，比如邮箱、用户昵称、qq号、微信名、生日、手机号等信息。在步骤203处，系统将用户的个人信息传输到用户信息处理模块。在步骤300处，系统的用户信息处理模块将存储的个人信息转换成意义相同的字母和数字字符串。可以通过图3来描述该步骤的具体实施样例。如图3所示，系统将用户不同的信息根据信息的种类转换成不同的字母和数字组合。在步骤301处，将用户的中文个人信息使用字母和数字替换。在本例中的一个实施例中文信息转换系统，输入昵称(Tom小明)，转换系统可以将昵称转换为Tom、TomXiaoMing、XiaoMing、TomXM、XM。转换系统的实现方法为：1)将汉字转换为拼音字母，或者英语单词格式(小明->xiaoming；微信名：天才_小明->genius/talent_xiaoming)，对中文做分词处理，取出分词结果中的主语，名词，尝试使用词典将其翻译成英语单词，若不能翻译成英语单词，则使用拼音转换工具转换为拼音。2)截取用户信息的拼音/英语单词首字母，截取方式可以为所有字的首字母；或者部分字的首字母，其余的不变(genius/talentxiaoming->GTXM,GTxiaoM,GTXming……)。在步骤302处，将用户的数字和字母个人信息按照一定的规则进行裁本文档来自技高网...

【技术保护点】
一种基于用户信息检测的口令安全性评估方法，其步骤包括：获取待测试口令以及使用该待测试口令的用户身份信息；将所述用户身份信息中的文字信息转换为字母，根据所述用户身份信息中的数字和转换后的字母生成身份信息字典表，然后将该身份信息字典表与弱口令字典表合并成用于测试的测试字典集；检测该待测试口令中是否包含有与所述测试字典集中的字符串匹配的字符串，标记该待测试口令匹配结果并统计该待测试口令的字符组合种类数目；根据该待测试口令的标记结果和字符组合种类数目判定该待测口令的安全性。

【技术特征摘要】
1.一种基于用户信息检测的口令安全性评估方法，其步骤包括：获取待测试口令以及使用该待测试口令的用户身份信息；将所述用户身份信息中的文字信息转换为字母，根据所述用户身份信息中的数字和转换后的字母生成身份信息字典表，然后将该身份信息字典表与弱口令字典表合并成用于测试的测试字典集；检测该待测试口令中是否包含有与所述测试字典集中的字符串匹配的字符串，标记该待测试口令匹配结果并统计该待测试口令的字符组合种类数目；根据该待测试口令的标记结果和字符组合种类数目判定该待测口令的安全性。2.如权利要求1所述的方法，其特征在于，利用公式判定该待测口令的安全性评估值Eval；其中，n表示该待测口令中未匹配的字符总数，t是字符组合种类数目，N为该待测试口令中的字符总数。3.如权利要求1或2所述的方法，其特征在于，统计该待测试口令的字符组合种类数目的方法为：如果匹配字符串为所述用户身份信息中的一个人信息，则字符组合种类数目加1，如果匹配字符串为所述弱口令字典表中的一弱口令，则字符组合种类数目加1。4.如权利要求1所述的方法，其特征在于，检测该待测试口令中是否包含有与所述测试字典集中的字符串匹配的字符串的方法为：设置一个动态窗口，用于从该待测试口令的头部开始滑到尾部；如果该动态窗口覆盖的字符串匹配了所述测试字典集中的一字符串，则将该动态窗口大小增加1，然后利用增大后的动态窗口继续匹配；如果继续匹配成功，则进一步扩大该动态窗口直到不匹配，将当前匹配结果作为匹配字符串并将该动态窗口大小重置为初始值，然后从当前不匹配的位置开始滑动该动态窗口查找后续的匹配字符串。5.如权利要求1所述的方法，其特征在于，维护一与该待测试口令相同长度的标记字符串，用来记录该待测试口令的匹配结果。6.如权利要求1所述的方法，其特征在于，根据匹配字符串的长度生成标记字符串，...

【专利技术属性】
技术研发人员：刘奇旭，苏俊玮，周环，张金莉，刘潮歌，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11