CN113094696A - 口令破解的效果评估方法、装置、电子设备及存储介质 - Google Patents
口令破解的效果评估方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113094696A CN113094696A CN202110640169.3A CN202110640169A CN113094696A CN 113094696 A CN113094696 A CN 113094696A CN 202110640169 A CN202110640169 A CN 202110640169A CN 113094696 A CN113094696 A CN 113094696A
- Authority
- CN
- China
- Prior art keywords
- password
- cracking
- target
- index
- basic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种口令破解的效果评估方法、装置、电子设备及存储介质,方法包括:获取口令破解程序本次对各目标口令进行破解时产生的口令破解数据;根据各所述目标口令的口令破解数据,分别计算得到各所述目标口令的基础指标的指标值;根据各所述目标口令的基础指标的指标值,计算所述口令破解程序对各所述目标口令的破解效果评价值;基于各所述目标口令对应的破解效果评价值,确定本次口令破解的效果。这样,就综合了口令破解程序对于各目标口令的破解效果,实现了从不同方面对口令破解程序的破解效果的评估,使得评估结果更为合理、可信,从而为安全策略的开发以及口令安全性的测试提供了合理可靠的参考信息。
Description
技术领域
本申请涉及口令破解技术领域,具体而言,涉及一种口令破解的效果评估方法、装置、电子设备及存储介质。
背景技术
随着通信技术以及移动互联网技术的持续、高速发展,涉及到的业务范围越来越广泛,网络在人们的工作、生活中扮演了必不可少的角色。网络虽然给人们带来便捷,但其存在的安全问题也日渐凸显,使人们遭受着重大的信息暴漏的风险。
目前,最为常用的安全防范措施就是设定口令,对访问者进行身份的识别与认证,破解口令是黑客们获取信息的重要途径之一。口令破解是一把双刃剑,它既是破解口令的工具,也是口令安全性的测试工具,因此对于口令破解的研究与效果评估也尤为重要,可以辅助构建更为精准到位的安全防御体系,有效保护网络中的信息安全。
发明内容
本申请实施例的目的在于提供一种口令破解的效果评估方法、装置、电子设备及存储介质,用以实现对于口令破解效果的合理评估。
本申请实施例提供了一种口令破解的效果评估方法,包括:获取口令破解程序本次对各目标口令进行破解时产生的口令破解数据;根据各所述目标口令的口令破解数据,分别计算得到各所述目标口令的基础指标的指标值;根据各所述目标口令的基础指标的指标值,计算所述口令破解程序对各所述目标口令的破解效果评价值;基于各所述目标口令对应的破解效果评价值,确定本次口令破解的效果。
在上述实现过程中,通过对口令破解程序对各目标口令进行破解时产生的口令破解数据进行处理,得到各所述目标口令的基础指标的指标值,进而据此计算出口令破解程序对各目标口令的破解效果评价值,最后基于各目标口令对应的破解效果评价值,确定本次口令破解的效果。这样,就综合了口令破解程序对于各目标口令的破解效果,实现了从不同方面对口令破解程序的破解效果的评估,使得评估结果更为合理、可信,从而为安全策略的开发以及口令安全性的测试提供了合理可靠的参考信息。
进一步地,所述目标口令包括以下至少之一:系统口令;数据库口令;Web口令。
在上述实现过程中,通过针对具有口令、数据库口令和Web口令几个方面进行评估,可有效结合实际破解场景,实现对于口令破解程序的可靠分析。
进一步地,所述根据各所述目标口令的基础指标的指标值,计算所述口令破解程序对各所述目标口令的破解效果评价值,包括:根据各所述目标口令的基础指标中,对应同一上级指标的各基础指标的指标值,计算得到各所述目标口令的各上级指标的指标值;根据各所述目标口令的各上级指标的指标值,计算所述口令破解程序对各所述目标口令的破解效果评价值。
在上述实现过程中,通过构建各基础指标值的上级指标,从而使得对于各目标口令的破解效果的评估层次化更为丰富合理,使得最终计算得到的各目标口令的破解效果评价值是从不同维度上进行计算得到的,能合理地反映出对于各目标口令的实际破解效果。
进一步地,各所述目标口令的上级指标包括:各所述目标口令的口令破解速度、口令破解准确率和口令破解复杂度中的至少一种。
在上述实现过程中,从口令破解速度、口令破解准确率和口令破解复杂度中的至少一种维度进行目标口令的破解效果的计算,使得对于各目标口令的实际破解效果能够更符合实际应用所需的评价标准,从而使得计算得到的破解效果评价值能合理地反映出对于各目标口令的实际破解效果。
进一步地,在任一目标口令的上级指标包括该目标口令的口令破解速度时,该目标口令的基础指标包括:该目标口令的口令破解耗费时长和口令正确破解数量;对应的,所述根据各所述目标口令的基础指标中,对应同一上级指标的各基础指标的指标值,计算得到各所述目标口令的各上级指标的指标值,包括:根据目标口令的口令破解耗费时长和口令正确破解数量,确定该目标口令的口令破解速度的值。
在上述实现过程中,通过利用口令破解耗费时长和口令正确破解数量实现对于口令破解速度的确定,从而相较于直接将口令破解耗费时长作为口令破解速度的方式,结合了口令正确破解数量,从而更合理地反映了真实的口令破解速度,从而使得计算得到的口令破解程序对各目标口令的破解效果评价值更为合理可靠。
进一步地,在任一目标口令的上级指标包括该目标口令的口令破解准确率时,该目标口令的基础指标包括:该目标口令的口令全集数量和口令正确破解数量;对应的,所述根据各所述目标口令的基础指标中,对应同一上级指标的各基础指标的指标值,计算得到各所述目标口令的各上级指标的指标值,包括:根据目标口令的口令全集数量和口令正确破解数量,确定该目标口令的口令破解准确率的值。
在上述实现过程中,通过利用口令全集数量和口令正确破解数量,从而合理地求得了口令破解准确率的值,使得计算得到的口令破解程序对各目标口令的破解效果评价值更为合理可靠。
进一步地,在任一目标口令的上级指标包括该目标口令的口令破解复杂度时,该目标口令的基础指标包括:该目标口令的原始口令复杂度等级和口令加密等级;对应的,所述根据各所述目标口令的基础指标中,对应同一上级指标的各基础指标的指标值,计算得到各所述目标口令的各上级指标的指标值,包括:根据目标口令的原始口令复杂度等级和口令加密等级,确定该目标口令的口令破解复杂度的值。
在上述实现过程中,通过利用原始口令复杂度等级和口令加密等级,从而合理地求得了口令破解复杂度的值,使得计算得到的口令破解程序对各目标口令的破解效果评价值更为合理可靠。
本申请实施例还提供了一种口令破解的效果评估装置,包括:获取模块、计算模块和评估模块;所述获取模块,用于获取口令破解程序本次对各目标口令进行破解时产生的口令破解数据;所述计算模块,用于根据各所述目标口令的口令破解数据,分别计算得到各所述目标口令的基础指标的指标值,并根据各所述目标口令的基础指标的指标值,计算所述口令破解程序对各所述目标口令的破解效果评价值;所述评估模块,用于基于各所述目标口令对应的破解效果评价值,确定本次口令破解的效果。
本申请实施例还提供了一种电子设备,包括:处理器、存储器及通信总线;所述通信总线用于实现处理器和存储器之间的连接通信;所述处理器用于执行存储器中存储的一个或者多个程序,以实现上述任一种的口令破解的效果评估方法。
本申请实施例中还提供了一种可读存储介质,所述可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述任一种的口令破解的效果评估方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种评估体系的示意图;
图2为本申请实施例提供的一种口令破解的效果评估方法的流程示意图;
图3为本申请实施例提供的一种具体的口令破解评估体系的示意图;
图4为本申请实施例提供的一种口令破解的效果评估装置的结构示意图;
图5为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一:
为了实现对于口令破解效果的合理评估,在本申请实施例中提供了一种口令破解的效果评估方法。
为了实现对于口令破解的效果评估,本申请实施例中提供了一种评估体系,可参见图1所示,其包括数据源层,指标层以及原子功能层。通过数据源层的数据,实现对于指标层的各指标的确定,进而基于指标层实现原子功能层的效果评价,最终基于原子功能层的效果评价实现对于整个口令破解过程的整体效果评估。
在图1所示的评估体系的基础上,可以参见图2所示,图2为本申请实施例中提供的口令破解的效果评估方法的流程示意图,包括:
S201:获取口令破解程序本次对各目标口令进行破解时产生的口令破解数据。
需要说明的是,本申请实施例中执行本口令破解的效果评估方法的执行主体可以是口令破解的靶机,也可以是可获取到相关口令破解数据第三方设备。
在本申请实施例中,口令破解数据是指口令破解程序对目标口令进行破解时产生的数据,其可以包括破解过程中所产生的过程数据,也可以包括破解后的结果数据。
还需要说明的是,在本申请实施例中,获取的口令破解数据应当为数据源层中所规定的数据。
在本申请实施例中,所需获取的口令破解数据(即数据源层中所规定的数据)可以由工程师预先根据实际评价需要进行设定。不同口令破解数据可以用于实现不同的基础指标的指标值计算。
需要理解的是,在本申请实施例中,原子功能层内规定了评价口令破解程序的破解效果所需分析的各目标口令。在本申请实施例中,目标口令可以只有一种,但也可以有多种。理论上,设定的目标口令越多,那么对于口令破解程序的口令破解效果评估也就越全面和合理。
在本申请实施例中,目标口令可以包括系统口令、数据库口令和Web(网页)口令中的至少一种。示例性的,为了更全面的实现对于口令破解程序的口令破解效果评估,可以设置目标口令包括系统口令、数据库口令和Web口令,从而从系统、数据库和Web三个不同方面对口令破解程序的口令破解效果进行评估。
S202:根据各目标口令的口令破解数据,分别计算得到各目标口令的基础指标的指标值。
在本申请实施例中,指标层中会规定各目标口令对应的指标。在本申请实施例中,直接根据数据源层中所规定的数据得到的指标称之为基础指标。
需要注意的是,在本申请实施例中,不同目标口令对应的基础指标可以是相同的,也可以是不同的。例如,对于系统口令,基础指标可以包括口令破解耗费时长和口令正确破解数量,而对于数据库口令,其对应的基础指标也可以包括口令破解耗费时长和口令正确破解数量。
但需要注意的是,对于不同目标口令下的基础指标,在计算指标值时需要采用各基础指标所对应的目标口令的口令破解数据进行计算。
比如,对于系统口令的口令破解耗费时长和口令正确破解数量,需要采用系统口令的口令破解数据(即口令破解程序对系统口令进行破解时,产生的与系统口令的破解相关的数据)计算得到;而对于数据库口令的口令破解耗费时长和口令正确破解数量,需要采用数据库口令的口令破解数据(即口令破解程序对数据库口令进行破解时,产生的与数据库口令的破解相关的数据)计算得到。
需要说明的是,在本申请实施例中,各目标口令的基础指标可以由工程师根据实际评估需要进行设定,在本申请实施例中不做限制。
S203:根据各目标口令的基础指标的指标值,计算口令破解程序对各目标口令的破解效果评价值。
在本申请实施例中,指标层内的指标可以包括基础指标和各基础指标的上级指标。从而在计算口令破解程序对各目标口令的破解效果评价值时,可以根据各目标口令的基础指标中,对应同一上级指标的各基础指标的指标值,先计算得到各目标口令的各上级指标的指标值,进而根据各目标口令的各上级指标的指标值,计算得到口令破解程序对各目标口令的破解效果评价值。
可选的,在本申请实施例中,各目标口令的上级指标可以包括:各目标口令的口令破解速度、口令破解准确率和口令破解复杂度中的至少一种,但不作为限制。
示例性的,比如对于系统口令而言,其上级指标可以包括系统口令的口令破解速度、系统口令的口令破解准确率和系统口令的口令破解复杂度;对于数据库口令而言,其上级指标可以包括数据库口令的口令破解速度、数据库口令的口令破解准确率和数据库口令的口令破解复杂度;对于Web口令而言,其上级指标可以包括Web口令的口令破解速度、Web口令的口令破解准确率和Web口令的口令破解复杂度。
应理解,各目标口令的上级指标可以相同。比如上例中对于系统口令、数据库口令和Web口令而言,三者都具有口令破解速度、口令破解准确率和口令破解复杂度这三种。
但是,各目标口令的上级指标也可以不同。比如对于系统口令而言,其上级指标可以是系统口令的口令破解速度和系统口令的口令破解准确率;对于数据库口令而言,其上级指标可以是数据库口令的口令破解速度和数据库口令的口令破解复杂度;对于Web口令而言,其上级指标可以是Web口令的口令破解准确率和Web口令的口令破解复杂度。
在本申请实施例中,各上级指标的选取可以由工程师根据实际评价需要进行设定。
在本申请实施例中,各目标口令的基础指标可以包括:口令破解耗费时长、口令正确破解数量、口令全集数量、口令正确破解数量、原始口令复杂度等级和口令加密等级等指标中的一种或多种,但不作为限制。具体采用哪些基础指标,可以由工程师根据实际需要进行设定。
可选的,在本申请实施例中,当某一目标口令具有的上级指标包括口令破解速度时,该目标口令的基础指标可以包括对于该目标口令的口令破解耗费时长和口令正确破解数量,从而可以根据该目标口令的口令破解耗费时长和口令正确破解数量,确定出该目标口令的口令破解速度的值。
比如,可以计算该目标口令的口令破解耗时与口令破解正确个数的比值,从而以该比值作为该目标口令的口令破解速度的值。
可选的,在本申请实施例中,当某一目标口令具有的上级指标包括口令破解准确率时,该目标口令的基础指标可以包括对于该目标口令的口令全集数量和口令正确破解数量,从而可以根据该目标口令的口令全集数量和口令正确破解数量,确定出该目标口令的口令破解准确率的值。
比如,可以计算该目标口令的口令正确破解数量与口令全集数量的比值,从而以该比值作为该目标口令的口令破解准确率的值。应理解,对于某一类目标口令,其口令数量往往不止一个。而所谓目标口令的口令全集数量是指,该类目标口令的全部口令数量,比如对于系统口令而言,假设靶标系统(即靶机的系统)内系统口令共有n(n为正整数)个,那么系统口令的口令全集数量即为n。而口令正确破解数量是指本次口令破解过程中,对于正确破解的系统口令的数量,比如正确破解了m(m为小于等于n的正整数),那么系统口令的口令正确破解数量即为m,此时可以计算得到系统口令的口令破解准确率的值伪m/n。
在本申请实施例中为了保证数据的准确性,可以获取靶标系统进行口令破解前该目标口令的原始口令集合,以及本次口令破解结束后靶标系统上报的对于该目标口令被破解的口令集合,从而取两个口令集合之间的并集作为该目标口令的口令全集数量,取两个口令集合之间的交集作为该目标口令的口令正确破解数量。
可选的,在本申请实施例中,当某一目标口令具有的上级指标包括口令破解复杂度时,该目标口令的基础指标可以包括对于目标口令的原始口令复杂度等级和口令加密等级,从而可以根据目标口令的原始口令复杂度等级和口令加密等级,确定出该目标口令的口令破解准确率的值。
比如,可以计算该目标口令的原始口令复杂度等级和口令加密等级之和,从而取两者之和作为该目标口令的口令破解准确率的值。此外,为了便于进行不同上级口令之间的运算,可以对原始口令复杂度等级和口令加密等级之和进行归一化处理,得到归一化后的口令破解准确率的值。例如,假设原始口令复杂度等级被分为1至H(H为大于1的正整数)级,口令加密等级被分为1至G(G为大于1的正整数)级,且数字越大,等级越高。那么可以取原始口令复杂度等级和口令加密等级的等级数量作为分母,实现归一化处理。即,假设目标口令的原始口令复杂度等级为h,口令加密等级为g,则该目标口令的口令破解准确率的值为(h+g)/(H+G)。
应理解,以上仅为本申请实施例中所示例的几种可以实现相关上级指标的计算的方式,但不代表本申请实施例中仅可采用上述示例方式实现相关上级指标的计算。
例如,对于口令破解速度,也可以仅根据口令破解耗费时长来确定,比如取预设的标准时长与口令破解耗费时长之差与该标准时长的比值作为口令破解速度的值。即口令破解速度的值等于(标准时长-口令破解耗费时长)/标准时长。
又例如,对于口令破解复杂度,还可以同时根据目标口令的原始口令复杂度等级、口令加密等级和口令认证等级来确定。比如取原始口令复杂度等级、口令加密等级和口令认证等级之和作为口令破解复杂度的值。
需要注意的是,在实际应用过程中,不同基础指标对于同一上级指标的影响程度往往是不同的。因此为了得到更为合理的上级指标,在本申请实施例中,可以预先为各基础指标分配相应的权重值,从而在采用各基础指标计算上级指标时,可以调用各基础指标的权重值,通过加权求和等方式实现对于上级指标的计算。
类似的,在实际应用过程中,目标口令的不同上级指标,对于该目标口令的破解效果的影响程度往往也是不同的。为此,在本申请实施例中,还可以预先为各基础指标分配相应的权重值,从而在计算目标口令的破解效果评价值时,可以调用各上级指标的权重值,通过加权求和等方式实现对于目标口令的破解效果评价值的计算。
应理解,上述通过利用基础指标计算上级指标,进而利用上级指标计算得到目标口令的破解效果评价值的方式,仅是本申请实施例中所能采取的一种可行实施方式。事实上,在实际应用过程中,也可以直接为各基础指标分配合理的权重值,然后直接通过对基础指标的加权求和等方式实现对于目标口令的破解效果评价值的计算。
S204:基于各目标口令对应的破解效果评价值,确定本次口令破解的效果。
应理解,在不同评价场景中,对于不同目标口令的破解效果的评价偏好是不同的。比如,对于主要应用于数据库场景中的口令破解程序,其对于数据库口令的评价偏好会大于对于系统口令的评价偏好,并大于对于Web口令的评价偏好。为此,在本申请实施例中,可以预先针对不同目标口令配置好相应的权重值,从而通过对各目标口令对应的破解效果评价值进行过加权求和等方式,计算得到本次口令破解的整体效果评价值。
进而基于本次口令破解的整体效果评价值,通过与预设的标准评价值相比对等方式实现对于本次口令破解的效果的评估。
需要说明的是,在本申请实施例中,可以采用已有的各类权重值生成方法(例如专家打分法等方法)来实现对于各基础指标、上级指标(如果有)以及各目标口令的权重值分配。
还需要说明的是,本申请实施例中可以采用各种已知或未知的评估方法实现对于口令破解的效果的评估,并不限于上述先计算得到本次口令破解的整体效果评价值,然后将整体效果评价值与预设的标准评价值相比对的方式实现效果评估。例如,还可以将各目标口令对应的破解效果评价值形成一个N维向量(N等于目标口令的数量),然后通过构建正负理想解向量,并计算该N维向量与正负理想解向量之间的欧氏距离的方式,来实现对于本次口令破解的效果的评估。
本申请实施例所提供的口令破解的效果评估方法,通过对口令破解程序对各目标口令进行破解时产生的口令破解数据进行处理,得到各目标口令的基础指标的指标值,进而据此计算出口令破解程序对各目标口令的破解效果评价值,最后基于各目标口令对应的破解效果评价值,确定本次口令破解的效果。这样,就综合了口令破解程序对于各目标口令的破解效果,实现了从不同方面对口令破解程序的破解效果的评估,使得评估结果更为合理、可信,从而为安全策略的开发以及口令安全性的测试提供了合理可靠的参考信息。
实施例二:
本实施例在实施例一的基础上,以一种具体的口令破解评估体系以及使用该口令破解评估体系进行口令破解的效果评估的过程为例,为本申请做进一步示例说明。
本实施例中口令破解评估体系可以参见图3所示。
在针对口令破解程序的一次口令破解过程进行口令破解效果的评估时,首先按照图3所示的数据源层中所规定的数据,获取靶标的系统口令破解开始时间,靶标的系统口令破解结束时间,靶标的系统原始口令集合,破解结束时靶标的系统口令破解结果(破解成功的系统口令集合),系统口令是否加密的信息,靶标的数据库口令破解开始时间,靶标的数据库口令破解结束时间,靶标的数据库原始口令集合,破解结束时靶标的数据库口令破解结果(破解成功的数据库口令集合),数据库口令是否加密的信息,靶标的Web管理页面口令破解开始时间,靶标的Web管理页面口令破解结束时间,靶标的Web管理页面原始口令集合,破解结束时靶标的Web管理口令破解结果(破解成功的Web口令集合),Web管理页面口令是否加密的信息,靶标Web管理页面是否存在口令与验证码双重认证。
按照以下方法,确定靶标的系统口令破解耗费时长、系统口令正确破解数量、系统口令全集数量、系统原始口令复杂度等级和系统口令加密等级:
将靶标的系统口令破解结束时间减去系统口令破解开始时间,得到系统口令破解耗费时长。
计算靶标的系统原始口令集合和破解成功的系统口令集合的交集,得到系统口令正确破解数量。
计算靶标的系统原始口令集合和破解成功的系统口令集合的并集,得到系统口令全集数量。
根据靶标的系统原始口令集合,按照预设的原始口令复杂度等级算法确定系统原始口令复杂度等级。
在本实施例中,原始口令复杂度等级算法可以是:定义复杂度为5个等级,1级为密码不为空,2级为满足1级要求且长度不少于6,3级为满足1-2级要求且字母、数字、特殊字符的混合,4级为满足1-3及要求且不存在相同的字母、数字、特殊字符,5级为满足1-4级要求且不存在连续的字母、数字。将系统原始口令集合中的各原始口令按照上述定义进行等级匹配,得到各原始口令的复杂度等级。根据各原始口令的复杂度等级,取对应有最多原始口令的复杂度等级为系统原始口令复杂度等级。
应理解,以上原始口令复杂度等级算法仅是本申请实施例中所示例出的一种可采用的算法,不作为限制。
根据靶标的系统口令是否加密的信息确定系统口令加密等级。
示例性的,可以定义加密等级为2个等级,0级为没有加密,1级为有加密。在系统原始口令集合中多数原始口令加密时,确定系统口令加密等级为1;在系统原始口令集合中多数原始口令未加密时,确定系统口令加密等级为0。
应理解,以上确定系统口令加密等级的方式仅是本申请实施例中所示例出的一种可采用的方式,不作为限制。
按照以下方法,确定靶标的数据库口令破解耗费时长、数据库口令正确破解数量、数据库口令全集数量、数据库原始口令复杂度等级和数据库口令加密等级:
将靶标的数据库口令破解结束时间减去数据库口令破解开始时间,得到数据库口令破解耗费时长。
计算靶标的数据库原始口令集合和破解成功的数据库口令集合的交集,得到数据库口令正确破解数量。
计算靶标的数据库原始口令集合和破解成功的数据库口令集合的并集,得到数据库口令全集数量。
根据靶标的数据库原始口令集合,按照预设的原始口令复杂度等级算法确定数据库原始口令复杂度等级。
根据靶标的数据库口令是否加密的信息确定数据库口令加密等级。
按照以下方法,确定靶标的Web口令破解耗费时长、Web口令正确破解数量、Web口令全集数量、Web原始口令复杂度等级、Web口令加密等级和Web口令认证等级:
将靶标的Web管理页面口令破解结束时间减去Web管理页面口令破解开始时间,得到Web口令破解耗费时长。
计算靶标的Web管理页面原始口令集合和破解成功的Web口令集合的交集,得到Web口令正确破解数量。
计算靶标的Web管理页面原始口令集合和破解成功的Web口令集合的并集,得到Web口令全集数量。
根据靶标的Web管理页面原始口令集合,按照预设的原始口令复杂度等级算法确定Web原始口令复杂度等级。
根据靶标的Web管理页面口令是否加密的信息确定Web口令加密等级。
根据靶标Web管理页面是否存在口令与验证码双重认证,确定Web口令认证等级。
示例性的,定义认证等级可以设为2个等级,为没有双重认证时确定为0,没有双重认证时确定为1。
然后,按照以下方法,确定靶标的系统口令破解速度、系统口令破解准确率、系统口令破解复杂度、数据库口令破解速度、数据库口令破解准确率、数据库口令破解复杂度、Web口令破解速度、Web口令破解准确率、Web口令破解复杂度:
系统口令破解速度=系统口令破解耗费时长/系统口令正确破解数量;
系统口令破解准确率=系统口令正确破解数量/系统口令全集数量;
系统口令破解复杂度=系统原始口令复杂度等级+系统口令加密等级。
数据库口令破解速度=数据库口令破解耗费时长/数据库口令正确破解数量;
数据库口令破解准确率=数据库口令正确破解数量/数据库口令全集数量;
数据库口令破解复杂度=数据库原始口令复杂度等级+数据库口令加密等级。
Web口令破解速度=Web口令破解耗费时长/Web口令正确破解数量;
Web口令破解准确率=Web口令正确破解数量/Web口令全集数量;
Web口令破解复杂度=Web原始口令复杂度等级+Web口令加密等级+Web口令认证等级。
然后,调用预设的系统口令破解速度的权重w11、系统口令破解准确率的权重w12、系统口令破解复杂度的权重w13,通过加权求和的方式计算该口令破解程序的系统口令破解能力(对系统口令的破解效果评价值);调用预设的数据库口令破解速度的权重w21、数据库口令破解准确率的权重w22和数据库口令破解复杂度的权重w23,通过加权求和的方式计算该口令破解程序的数据库口令破解能力(对数据库口令的破解效果评价值);调用预设的Web口令破解速度的权重w31、Web口令破解准确率的权重w32和Web口令破解复杂度的权重w33,通过加权求和的方式计算该口令破解程序的Web口令破解能力(对Web口令的破解效果评价值)。
接着,调用预设的系统口令破解能力的权重W1、数据库口令破解能力的权重W2和Web口令破解能力的权重W3,通过加权求和的方式计算得到该口令破解程序最终的评估值。
本实施例的上述方案,整个评估过程从系统、数据库和Web三个不同维度对口令破解程序的口令破解效果进行了综合分析,评估结果合理、可信,为安全策略的开发以及口令安全性的测试提供了合理可靠的参考信息。
实施例三:
基于同一发明构思,本申请实施例中还提供了一种口令破解的效果评估装置100。请参阅图4所示,图4示出了采用图2所示的方法的口令破解的效果评估装置,应理解,装置100具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。装置100包括至少一个能以软件或固件的形式存储于存储器中或固化在装置100的操作系统中的软件功能模块。具体地:
参见图4所示,装置100包括:获取模块101、计算模块102和评估模块103。其中:
所述获取模块101,用于获取口令破解程序本次对各目标口令进行破解时产生的口令破解数据;
所述计算模块102,用于根据各所述目标口令的口令破解数据,分别计算得到各所述目标口令的基础指标的指标值,并根据各所述目标口令的基础指标的指标值,计算所述口令破解程序对各所述目标口令的破解效果评价值;
所述评估模块103,用于基于各所述目标口令对应的破解效果评价值,确定本次口令破解的效果。
在本申请实施例中,所述目标口令包括以下至少之一:系统口令;数据库口令;Web口令。
在本申请实施例中,所述计算模块102具体用于,根据各所述目标口令的基础指标中,对应同一上级指标的各基础指标的指标值,计算得到各所述目标口令的各上级指标的指标值;根据各所述目标口令的各上级指标的指标值,计算所述口令破解程序对各所述目标口令的破解效果评价值。
在本申请实施例中,各所述目标口令的上级指标包括:各所述目标口令的口令破解速度、口令破解准确率和口令破解复杂度中的至少一种。
在本申请实施例中,在任一目标口令的上级指标包括该目标口令的口令破解速度时,该目标口令的基础指标包括:该目标口令的口令破解耗费时长和口令正确破解数量;所述计算模块102具体用于,根据目标口令的口令破解耗费时长和口令正确破解数量,确定该目标口令的口令破解速度的值。
在本申请实施例中,在任一目标口令的上级指标包括该目标口令的口令破解准确率时,该目标口令的基础指标包括:该目标口令的口令全集数量和口令正确破解数量;所述计算模块102具体用于,根据目标口令的口令全集数量和口令正确破解数量,确定该目标口令的口令破解准确率的值。
在本申请实施例中,在任一目标口令的上级指标包括该目标口令的口令破解复杂度时,该目标口令的基础指标包括:该目标口令的原始口令复杂度等级和口令加密等级;所述计算模块102具体用于,根据目标口令的原始口令复杂度等级和口令加密等级,确定该目标口令的口令破解复杂度的值。
需要理解的是,出于描述简洁的考量,部分实施例一中描述过的内容在本实施例中不再赘述。
还需要理解的是,装置100的功能可以利用一个或多个具有处理功能的芯片或单片机实现。
实施例四:
本实施例提供了一种电子设备,参见图5所示,其包括处理器501、存储器502以及通信总线503。其中:
通信总线503用于实现处理器501和存储器502之间的连接通信。
处理器501用于执行存储器502中存储的一个或多个程序,以实现上述实施例一中的口令破解的效果评估方法。
可以理解,图5所示的结构仅为示意,电子设备还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。例如,电子设备还可以具有输入/输出模块等。
本实施例还提供了一种可读存储介质,如软盘、光盘、硬盘、闪存、U盘、SD(SecureDigital Memory Card,安全数码卡)卡、MMC(Multimedia Card,多媒体卡)卡等,在该可读存储介质中存储有实现上述各个步骤的一个或者多个程序,这一个或者多个程序可被一个或者多个处理器执行,以实现上述实施例一中的口令破解的效果评估方法。在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
在本文中,多个是指两个或两个以上。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种口令破解的效果评估方法,其特征在于,包括:
获取口令破解程序本次对各目标口令进行破解时产生的口令破解数据;
根据各所述目标口令的口令破解数据,分别计算得到各所述目标口令的基础指标的指标值;
根据各所述目标口令的基础指标的指标值,计算所述口令破解程序对各所述目标口令的破解效果评价值;
基于各所述目标口令对应的破解效果评价值,确定本次口令破解的效果。
2.如权利要求1所述的口令破解的效果评估方法,其特征在于,所述目标口令包括以下至少之一:
系统口令;
数据库口令;
Web口令。
3.如权利要求1或2所述的口令破解的效果评估方法,其特征在于,所述根据各所述目标口令的基础指标的指标值,计算所述口令破解程序对各所述目标口令的破解效果评价值,包括:
根据各所述目标口令的基础指标中,对应同一上级指标的各基础指标的指标值,计算得到各所述目标口令的各上级指标的指标值;
根据各所述目标口令的各上级指标的指标值,计算所述口令破解程序对各所述目标口令的破解效果评价值。
4.如权利要求3所述的口令破解的效果评估方法,其特征在于,
各所述目标口令的上级指标包括:各所述目标口令的口令破解速度、口令破解准确率和口令破解复杂度中的至少一种。
5.如权利要求4所述的口令破解的效果评估方法,其特征在于,在任一目标口令的上级指标包括该目标口令的口令破解速度时,该目标口令的基础指标包括:该目标口令的口令破解耗费时长和口令正确破解数量;
对应的,所述根据各所述目标口令的基础指标中,对应同一上级指标的各基础指标的指标值,计算得到各所述目标口令的各上级指标的指标值,包括:
根据该目标口令的口令破解耗费时长和口令正确破解数量,确定该目标口令的口令破解速度的值。
6.如权利要求4所述的口令破解的效果评估方法,其特征在于,在任一目标口令的上级指标包括该目标口令的口令破解准确率时,该目标口令的基础指标包括:该目标口令的口令全集数量和口令正确破解数量;
对应的,所述根据各所述目标口令的基础指标中,对应同一上级指标的各基础指标的指标值,计算得到各所述目标口令的各上级指标的指标值,包括:
根据该目标口令的口令全集数量和口令正确破解数量,确定该目标口令的口令破解准确率的值。
7.如权利要求4所述的口令破解的效果评估方法,其特征在于,在任一目标口令的上级指标包括该目标口令的口令破解复杂度时,该目标口令的基础指标包括:该目标口令的原始口令复杂度等级和口令加密等级;
对应的,所述根据各所述目标口令的基础指标中,对应同一上级指标的各基础指标的指标值,计算得到各所述目标口令的各上级指标的指标值,包括:
根据该目标口令的原始口令复杂度等级和口令加密等级,确定该目标口令的口令破解复杂度的值。
8.一种口令破解的效果评估装置,其特征在于,包括:获取模块、计算模块和评估模块;
所述获取模块,用于获取口令破解程序本次对各目标口令进行破解时产生的口令破解数据;
所述计算模块,用于根据各所述目标口令的口令破解数据,分别计算得到各所述目标口令的基础指标的指标值,并根据各所述目标口令的基础指标的指标值,计算所述口令破解程序对各所述目标口令的破解效果评价值;
所述评估模块,用于基于各所述目标口令对应的破解效果评价值,确定本次口令破解的效果。
9.一种电子设备,其特征在于,包括:处理器、存储器及通信总线;
所述通信总线用于实现处理器和存储器之间的连接通信;
所述处理器用于执行存储器中存储的一个或者多个程序,以实现如权利要求1至7任一项所述的口令破解的效果评估方法。
10.一种可读存储介质,其特征在于,所述可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1至7任一项所述的口令破解的效果评估方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110640169.3A CN113094696A (zh) | 2021-06-09 | 2021-06-09 | 口令破解的效果评估方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110640169.3A CN113094696A (zh) | 2021-06-09 | 2021-06-09 | 口令破解的效果评估方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113094696A true CN113094696A (zh) | 2021-07-09 |
Family
ID=76664481
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110640169.3A Pending CN113094696A (zh) | 2021-06-09 | 2021-06-09 | 口令破解的效果评估方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113094696A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114499951A (zh) * | 2021-12-23 | 2022-05-13 | 奇安盘古(上海)信息技术有限公司 | 身份认证信息的破解方法、装置和电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102137115A (zh) * | 2011-04-22 | 2011-07-27 | 南京邮电大学 | 通信网恶意代码攻击效果评估方法 |
| CN105989279A (zh) * | 2015-02-13 | 2016-10-05 | 上海通用识别技术研究所 | 基于多层级GPU集群的Domino专用口令破解系统 |
| CN109831294A (zh) * | 2019-01-02 | 2019-05-31 | 北京邮电大学 | Spn型分组密码抗故障攻击能力评估方法及装置 |
| US20200159909A1 (en) * | 2015-12-17 | 2020-05-21 | Massachusetts Institute Of Technology | Systems and methods evaluating password complexity and strength |
| CN111786796A (zh) * | 2020-07-02 | 2020-10-16 | 南开大学 | 基于口令重用、字符跳变与分隔的口令强度评估方法 |
-
2021
- 2021-06-09 CN CN202110640169.3A patent/CN113094696A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102137115A (zh) * | 2011-04-22 | 2011-07-27 | 南京邮电大学 | 通信网恶意代码攻击效果评估方法 |
| CN105989279A (zh) * | 2015-02-13 | 2016-10-05 | 上海通用识别技术研究所 | 基于多层级GPU集群的Domino专用口令破解系统 |
| US20200159909A1 (en) * | 2015-12-17 | 2020-05-21 | Massachusetts Institute Of Technology | Systems and methods evaluating password complexity and strength |
| CN109831294A (zh) * | 2019-01-02 | 2019-05-31 | 北京邮电大学 | Spn型分组密码抗故障攻击能力评估方法及装置 |
| CN111786796A (zh) * | 2020-07-02 | 2020-10-16 | 南开大学 | 基于口令重用、字符跳变与分隔的口令强度评估方法 |
Non-Patent Citations (2)
| Title |
|---|
| 任子震: "基于生成对抗网络的口令猜测攻击算法", 《中国优秀博硕士学位论文全文数据库(硕士) 信息科技辑(月刊)》 * |
| 颜锐荣: "口令强度评估方法与软件工具", 《中国优秀硕士学位论文全文数据库 信息科技辑(月刊)》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114499951A (zh) * | 2021-12-23 | 2022-05-13 | 奇安盘古(上海)信息技术有限公司 | 身份认证信息的破解方法、装置和电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11468192B2 (en) | Runtime control of automation accuracy using adjustable thresholds | |
| US10977389B2 (en) | Anonymity assessment system | |
| CN111401570B (zh) | 针对隐私树模型的解释方法和装置 | |
| US20180196875A1 (en) | Determining repeat website users via browser uniqueness tracking | |
| US20210049281A1 (en) | Reducing risk of smart contracts in a blockchain | |
| CN104081407A (zh) | 云计算环境中的服务器和客户端的远程信任证明和地理位置 | |
| CN109902493B (zh) | 脚本的下发方法及服务器 | |
| CN111324370B (zh) | 用于对待上线小程序进行风险处理的方法及装置 | |
| CN111931047B (zh) | 基于人工智能的黑产账号检测方法及相关装置 | |
| CN111400695B (zh) | 一种设备指纹生成方法、装置、设备和介质 | |
| CN114915475A (zh) | 攻击路径的确定方法、装置、设备及存储介质 | |
| EP4453763A1 (en) | Application identity account compromise detection | |
| CN116011640A (zh) | 基于用户行为数据的风险预测方法及装置 | |
| CN110543756B (zh) | 设备识别方法、装置、存储介质及电子设备 | |
| CN111338958A (zh) | 一种测试用例的参数生成方法、装置及终端设备 | |
| CN113094696A (zh) | 口令破解的效果评估方法、装置、电子设备及存储介质 | |
| US20220382665A1 (en) | Model-based biased random system test through rest api | |
| CN111221690B (zh) | 针对集成电路设计的模型确定方法、装置及终端 | |
| AU2021104080A4 (en) | Protection method and system for data permission | |
| CN109669829A (zh) | 一种基于bmc的诊断调试方法、装置及服务器 | |
| CN116340127A (zh) | 一种接口测试方法、装置 | |
| CN113542238A (zh) | 一种基于零信任的风险判定方法及系统 | |
| CN113076381A (zh) | 基于远程通信和人工智能的信息处理方法及信息处理系统 | |
| CN113094717B (zh) | 效果评估方法、装置、电子设备及可读存储介质 | |
| CN116383883B (zh) | 一种基于大数据的数据管理权限处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210709 |
|
| RJ01 | Rejection of invention patent application after publication |