一種弱口令的快速比對查找方法與流程
2023-10-27 18:43:12
本發明涉及信息安全技術領域,更具體地,涉及一種針對應用系統弱口令快速比對查找的方法,其用於高效校驗檢出系統中的弱口令,普遍適用於各類型企業應用系統弱口令校驗。
背景技術:
現有的應用系統(例如,軟體應用系統、伺服器應用系統、資料庫應用系統、安全認證系統等)通常利用帳號和口令的方式進行安全認證等安全管理。各企業應用系統的帳號口令存在著分布範圍廣、用戶量龐大的特點,系統中保存的弱口令數據可能達到百萬條記錄級別。另外在應用系統用戶中有些用戶的帳號也特別重要,如公司或部門領導、運維人員等。然而,在實際使用中,弱口令的廣泛存在和使用弱化了企業應用系統的安全水準,給信息安全造成了嚴重危害。因此,弱口令核查和比對技術方案常常是被安全管理技術領域中所期望的。雖然現有的一些相關的方法也能夠進行弱口令核查和比對,但是其實現和運用方式都有很大的差別且存在諸多問題。具體來講,存在以下幾方面問題:
1、大部分無弱口令加密配置,只是簡單的對非加密口令進行比對校驗,即使有弱口令加密,也只是針對某種特定加密方式,不能選擇配置;
2、通常都具有多線程並行處理的設置,能夠提升口令的比對速度;
3、沒有在比對校驗的算法上進行優化,只適合小量的比對校驗,無法適應大數據量的比對要求,比對時間過長,且結果輸出太慢。
這些問題都造成了弱口令檢測的效率,降低了人機互動體驗。
技術實現要素:
為了提高帳號加密口令比對校驗的效率,進而提高應用系統的穩定性和高效率,本發明提供了一種弱口令的快速比對查找方法,包括:
(1)導入多個弱口令字典文件;
(2)從應用系統導入待校驗加密口令文件;
(3)進行弱口令字典加密,其中按照待校驗加密口令文件的加密方式和加密順序進行單一或者混合加密;
(4)通過多線程與二分查找法相結合的方式對弱口令與待校驗加密口令進行離線比對校驗,以大幅度縮短離線比對校驗的時間。
進一步地,所述步驟(4)之後還包括步驟:
(5)基於弱口令比對校驗的結果進行人機互動。
進一步地,所述步驟(1)包括:從弱口令字典生成工具導入弱口令字典文件。
進一步地,所述步驟(2)包括:直接從應用系統的伺服器提取待校驗加密口令文件。
進一步地,所述步驟(3)包括:將調取的弱口令字典逐一進行加密,其中加密方式與所對應的應用系統帳戶口令加密方式保持一致。
進一步地,所述加密方式包括MD5、SHA1、BASE64和加鹽配置,也包括上述方式以不同順序混合加密。
進一步地,所述步驟(4)包括:
(41)對加密後的弱口令字典排序;
(42)與待校驗加密口令文件進行逐一離線比對。
(43)採用多線程和先進算法大幅縮短離線比對校驗時間。
進一步地,在所述步驟(42)中,比對校驗的順序可以從頭開始,也可設置中間順序、字符長度從任意位置開始。
進一步地,所述步驟(5)包括:進行弱口令結果的輸出和查詢,統計弱口令校驗結果並顯示記錄,其中所述的弱口令結果輸出和查詢是在所述步驟(4)的比對校驗過程中顯示已查出的弱口令記錄,並在該加密口令文件校驗完成後存檔,以供在後期需要的時候進行查看調閱以往的校驗記錄。
進一步地,所述步驟(43)中,利用多線程技術對待檢驗加密口令進行並行比對校驗,各線程均採用二分查找法進行離線比對校驗。
本發明的有益效果是:
(1)本發明通過多線程處理與二分查找法相結合的方式,充分發揮硬體設備的性能(超大數據量的校驗比對可以通過雲計算處理),大幅縮短加密口令比對校驗的時間,提升大數據量口令校驗的效率。各線程均採用二分查找法進行比對,二分查找算法(即本發明中所稱的「先進算法」)提升單個弱口令的比對速度,使每個線程的校驗效率大幅提升。
(2)本發明為企業等應用和服務對象的信息安全督導和運行維護人員以及企業級的應用伺服器提供了一種高效穩定的弱口令快速比對方法。其通過對任一系統帳號加密口令進行比對校驗,可以快速高效地實現弱口令的檢出,使得系統龐大的帳戶口令與同樣龐大的弱口令字典之間的比對校驗在時間上存在實現的可能性。
(3)本發明能夠及時查出應用系統中存在的弱口令,由運行維護人員督促用戶進行及時的更改修正,在最短的時間內杜絕弱口令在系統中的存在,避免因弱口令造成的系統數據流失而給企業帶來的經濟損失,更避免因系統弱口令被網絡伺服器披露而造成惡劣的社會影響。
(4)本發明能夠極大地提高弱口令比對校驗的效率:與傳統的口令校驗方式不同,本發明是先對用於校驗的弱口令字典進行加密(根據需要校驗的不同應用系統加密方式進行選擇),部分應用系統口令存在加鹽配置,加密後的弱口令字典也同樣增加加鹽配置後進行校驗,再與該系統的口令清單比對。這樣,一方面能夠大幅提高弱口令校驗檢出的效率,另一方面能夠讓大數據量庫(幾十萬至上千萬條待比對記錄)之間的校驗比對從時間上變得可行,以往2天完成的校驗比對時間只需20秒即可完成(受限與硬體設備的計算能力)。
(5)本發明能夠在加密弱口令比對校驗的過程中,通過應用伺服器多線程設置,對m條(可設置)待校驗口令並行比對校驗,在每個線程的待校驗口令比對同時針對已排序的加密弱口令字典文件採用二分查找法,成倍數地大幅度縮短單線程比對校驗的時間,以此達到提升校驗檢出效率的目的。
(6)本發明的快速比對查找方法具有良好的穩定性,能夠適應長時間大量(千萬條記錄級)加密口令的檢驗比對。
附圖說明
圖1示出了根據本發明的弱口令的快速比對查找方法的流程圖。
圖2示出了根據本發明的一個優選實施例的弱口令快速比對查找方法的流程圖。
具體實施方式
如圖1所示,本發明提供了一種弱口令的快速比對查找方法,包括:
(1)導入多個弱口令字典文件;
(2)從應用系統導入待校驗加密口令文件;
(3)進行弱口令字典加密,其中按照待校驗加密口令文件的加密方式和加密順序進行單一或者混合加密;
(4)通過多線程與二分查找法相結合的方式對弱口令與待校驗加密口令進行離線比對校驗,以大幅度縮短離線比對校驗的時間。
優選地,所述步驟(4)之後還包括步驟:
(5)基於弱口令比對校驗的結果進行人機互動。
優選地,所述步驟(1)包括:從弱口令字典生成工具導入弱口令字典文件。
優選地,所述步驟(2)包括:直接從應用系統的伺服器提取待校驗加密口令文件。
在上述步驟(1)和(2)中,根據本發明的優選實施例,還可以按照如下方法獲得弱口令字典:①弱口令字典由專門的弱口令字典生成工具製作,充分考慮各種弱口令的組合方式,通過列舉和窮舉的方式生成弱口令字典文件;②生成的基礎弱口令字典還可以進行組合生成高級字典;③弱口令字典可以根據需要校驗的應用系統不同,專門配置有針對性的弱口令字典文件並存檔供後期調用;④應用系統加密口令文件由各運維人員直接從應用系統伺服器提取。這些數據文件獲取後,由安全督查及運維人員導入校驗軟體即可進行比對。
優選地,所述步驟(3)包括:將調取的弱口令字典逐一進行加密,其中加密方式與所對應的應用系統帳戶口令加密方式保持一致。
優選地,所述加密方式包括MD5、SHA1、BASE64和加鹽配置,也包括上述方式以不同順序混合加密。
優選地,所述步驟(4)包括:
(41)對加密後的弱口令字典排序:加密後的弱口令字典按照一定規律進行排序,確定的排序方法為「數字排序(1-9)>字母小寫排序(a-z)>字母大寫排序(A-Z)」,排序方法從第一位開始比較,如首位相同則比較第二位,如第二位相同則比較第三位,以此類推,直到可以區分前後順序為止,形成完整的順序列表。
(42)與待校驗加密口令文件進行逐一離線比對:前述通過離線的方式將加密後的弱口令字典與待校驗加密口令文件中的待校驗加密口令進行逐一比對校驗。由於弱口令字典文件所含弱口令及待校驗的加密口令數量都能達到幾十萬甚至上百萬條,如採用傳統撞庫的方式進行逐一校驗比對,所耗費的時間將難以估量,因此以往的進行加密口令校對的方法通常以減少弱口令字典的數量(減少到幾萬條甚至1萬條以下),以此來換取因此之間的數據對撞會耗費大量的時間。
(43)採用多線程和先進算法大幅縮短離線比對校驗時間。
根據本發明的優選實施例,步驟(41)中對加密後的弱口令字典進行排序正是為採用二分查找法加速比對所做的鋪墊。優選地,一方面採用多線程技術,同時設置m(m為大於1的正整數)條並行線程的方式。實際上,只要不超過系統的運算負荷,可以同時設置上千條甚至更多條線程同時進行比對;另一方面採用二分查找法的先進算法,將已排序的弱口令密文集合採用二分查找法來提高弱口令檢測效率,可以將時間複雜度從O(n)提高到O(logN),大大提升巨量加密口令比對巨量用戶的校驗效率。
綜上所述,例如當前所需要校驗的弱口令字典為10000條,對應需校驗的弱口令文件也為10000條,平均每條記錄的校驗時間為0.001秒(即1ms),那麼採用單線程逐一校驗的時間就為0.001×10000×10000=100000秒,約為27.8個小時;如果採用多線程結合二分查找法的方式,假設所設置的並發線程為10個,理論上所消耗最多時間的計算方法為0.001×10000×log2(10000)/10≈13.28秒。雖然計算結果為理論數值,需要考慮實際硬體的運算能力,但可見採用多線程與二分查找法相結合的方式能切實有效的提升弱口令比對校驗速度,將使得超大規模弱口令的比對校驗存在實施操作的可能性。
優選地,在所述步驟(42)中,比對校驗的順序可以從頭開始,也可設置中間順序、字符長度從任意位置開始。
優選地,所述步驟(5)包括:進行弱口令結果的輸出和查詢,統計弱口令校驗結果並顯示記錄。
其中,所述的弱口令結果輸出和查詢是在所述步驟(4)的比對校驗過程中顯示已查出的弱口令記錄,並在該加密口令文件校驗完成後存檔,以供在後期需要的時候進行查看調閱以往的校驗記錄。無需等校驗比對結束後再顯示,及時通知用戶修改口令,達到口令強化的效果。
其中,所述統計弱口令校驗結果並顯示記錄包括:每次口令校驗結束後將口令校驗結果歸檔,方便後期對口令校驗記錄的查詢,以及對用戶弱口令更改強化的驗證。每次口令校驗結束後將口令校驗結果歸檔,方便後期對口令校驗記錄的查詢,以及對用戶弱口令更改強化的驗證。
優選地,所述步驟(42)中,利用多線程技術對待檢驗加密口令進行並行比對校驗,各線程均採用二分查找法進行離線比對校驗。
如圖2所示,列舉了根據本發明的一個優選實施例提出的弱口令快速比對方法的實際流程。首先設置好的多線程同時進行應用系統加密口令的校驗,每個應用系統加密口令分別用二分查找法與加密排序後的弱口令字典列表進行比對。比對時,先從弱口令字典列表的中間位置開始比對,如比對結果在列表排序的上半部分,則定位與上半部分列表的中間位置弱口令進行比對,再確認該應用系統加密口令所需比對的排序區域,然後再與中間位置加密弱口令進行比對,依次類推,循環比對。如該應用系統加密口令最終與弱口令字典中的某個弱口令完全一樣,則將該應用系統加密口令輸出為弱口令結果;如比對弱口令字典列表結束後未搜索出相同項,則此應用系統加密口令即可直接通過,不是弱口令。
根據一個優選的實施例,本發明採用如下配置的測試平臺運行上述方法:I5四核處理器/4G內存/1T、7200轉硬碟。通過搭建實際應用平臺進行測試,採用二分查找法並設置10線程並行處理,共處理10萬條弱口令記錄與10萬條加密口令進行比對校驗,實際消耗的時間為:517秒,約為8.6分鐘。
以上對於本發明的較佳實施例所作的敘述是為闡明的目的,而無意限定本發明精確地為所揭露的形式,基於以上的教導或從本發明的實施例學習而作修改或變化是可能的,實施例是為解說本發明的原理以及讓所屬領域的技術人員以各種實施例利用本發明在實際應用上而選擇及敘述,本發明的技術思想企圖由權利要求及其均等來決定。