CN113366809B - 弱哈希凭证的确定 - Google Patents
弱哈希凭证的确定 Download PDFInfo
- Publication number
- CN113366809B CN113366809B CN201980090573.9A CN201980090573A CN113366809B CN 113366809 B CN113366809 B CN 113366809B CN 201980090573 A CN201980090573 A CN 201980090573A CN 113366809 B CN113366809 B CN 113366809B
- Authority
- CN
- China
- Prior art keywords
- hash
- credential
- processor
- credentials
- common
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
Abstract
根据示例,装置可以包括处理器和其上存储机器可读指令的非暂态计算机可读介质,机器可读指令可以使处理器访问与用户或设备相关联的哈希凭证,访问多个常用凭证的哈希版本,确定哈希凭证是否与多个常用凭证中的常用凭证的哈希版本匹配,以及基于确定哈希凭证与常用凭证的哈希版本匹配,执行报告操作或阻止操作中的至少一项操作。
Description
背景技术
凭证(诸如,用户名和密码)通常被用以限制对服务和/或设备的访问,以防止不期望的访问。用户通常能够创建他们自己的凭证,并且在某些实例中,用户创建的凭证可能是不安全的。例如,用户可以创建用户易于记住的凭证,这些凭证可能是其他人可能相对容易猜到的名称或短语。为了提高凭证的安全性,指导通常被强制以帮助用户创建安全凭证。例如,指导可以指示密码必须具有最小长度并且必须使用特定字符。然而,即使当用户遵循该指导,用户可能经常创建可能通过使用常用的凭证暴力攻击而被标识的密码。
附图说明
本公开的特征以示例方式被说明,并且不限于以下(多个)附图,其中相似数字表示相似的元素,其中:
图1描述了根据本公开的实施例,可以确定与用户或设备相关联的凭证是否是弱的装置的框图;
图2描绘了根据本公开的实施例,其中图1中所描绘的装置可以被实现以确定与用户或设备相关联的凭证是否是弱的网络环境的框图;
图3描绘了根据本公开的实施例,用于确定凭证是否与常用凭证的字典中的条目匹配的方法的流程图;
图4描绘了根据本公开的实施例,用于维护和更新哈希凭证的日志的方法的流程图;以及
图5描绘了根据本公开的实施例,计算机可读介质的框图,该计算机可读介质可以具有存储在其上的机器可读指令,机器可读指令在由处理器执行时,使处理器确定哈希凭证是否与常用凭证的哈希版本匹配。
具体实施方式
为了简化和说明的目的,主要通过参考本公开的实施例和示例来描述本公开的原理。在以下描述中,许多具体细节被阐述的,以提供对实施例和示例的理解。然而,对于本领域的普通技术人员,实施例和示例可以在没有这些具体细节的限制情况下实施是明显的。在一些实例中,公知的方法和/或结构没有被详细描述,以免不必要地模糊对实施例和示例的描述。此外,实施例和示例可以以各种组合一起使用。
贯穿本公开,术语“一”和“一个”旨在表示特定元素中的至少一个元素。本文所使用的术语“包括”意味着包括但不限于,术语“其中包括”指包括但不限于。术语“基于”意味着至少部分基于。
与用户和设备相关联的凭证(诸如,用户名、标识符、密码等)可以被用以限制那些输入正确凭证的用户和设备对服务和/或设备的访问。弱凭证的使用(例如,可能已经被知道的或正在被普遍使用的凭证)可能导致凭证通过使用常用凭证的暴力尝试而被标识。如此,弱凭证的使用可能使恶意行为者通过标识凭证,以获得对服务和/或设备的意外访问。
本文所公开的装置和方法基于确定凭证是否与常用凭证匹配来用于确定凭证(例如,哈希凭证)是否是弱的。根据示例,哈希函数可以被应用于凭证以创建哈希凭证,使得凭证可在从设备和/或远程服务器向设备传达时凭证可以保持秘密。
处理器可以访问可能与用户或设备相关联的哈希凭证。凭证可以是密码、用户名、标识符等。处理器还可以访问多个常用凭证的哈希版本,该哈希版本可以包括常用凭证的字典中所包括的凭证。即,例如,处理器可以访问常用凭证,并且可以使用用于创建哈希凭证的相同哈希函数来创建常用函数的哈希版本。处理器还可以将哈希凭证与常用函数的哈希版本进行比较,以确定是否存在任何匹配。基于确定哈希凭证与常用凭证的哈希版本匹配,处理器可以执行报告操作或阻止操作中的至少一项操作。
在一些示例中,哈希凭证可以被存储在与处理器相同的装置中。在这些示例中,哈希凭证可以不被传达到装置之外以用于与将要被做出的哈希版本比较。在其他示例中,哈希凭证可以被存储在与装置分离的设备中。在这些示例中,处理器可以从设备获得哈希凭证。在另一其他示例中,处理器可以将用以创建哈希凭证的哈希函数发送到外部服务器,其中外部服务器可以创建常用凭证的哈希版本。外部服务器还可以确定哈希凭证是否与常用凭证的哈希版本中的任意哈希版本匹配,并且可以通知处理器哈希凭证是否与常用凭证的哈希版本中的任意哈希版本匹配。
在一些示例中,外部服务器可以创建常用凭证的哈希版本,并且将常用凭证的哈希版本发送到处理器。在这些示例中,处理器可以确定哈希凭证是否与常用凭证的哈希版本中的任意哈希版本匹配。
与由许多用户使用的凭证相关联的技术问题可能是,通过使用已知凭证的暴力尝试,凭证可以被相对容易地标识,并且凭证可能被用以绕过设备上的安全措施。即使当凭证遵循被设计以确保凭证可靠的指导时,这也可能发生。通过本文所公开的装置和方法的实现,可以确定哈希凭证是否与常用版本的哈希版本匹配。此外,基于确定哈希凭证与常用凭证的哈希版本匹配,报告操作或阻止操作中的至少一项操作可以被执行。如此,例如弱凭证可以被标识,并且对服务、应用、设备、网络等的访问可以被防止或阻止。对上面所讨论的技术问题的技术方案可以因此是本公开的特征,该特征可以提高设备和网络的安全。
首先参考图1和图2。图1示出了根据本公开的实施例的、可以确定与用户或设备相关联的凭证是否是弱的装置100的框图。图2示出了根据本公开的实施例的、图1中所描绘的装置100可以在其中被实现以确定与用户或设备相关联的凭证是否是弱的网络环境200的框图。应当理解,图1中所描绘的装置100和/或图2中所描述的网络环境200可以包括附加的特征,并且在不脱离装置100和/或网络环境200的范围的情况下,本文所描述的一些特征可以被移除和/或修改。
装置100可以是服务器、网络中的节点(诸如,数据中心)、个人计算机、膝上型计算机、平板计算机、智能手机、网络网关、网络路由器、物联网设备(IoT)等。如图2所示,装置100可以是网络环境200的部分,其中装置100可以经由网络212与设备210通信。设备210可以是个人计算机、膝上型计算机、平板计算机、智能手机、网络网关、网络路由器或服务器。网络212可以是局域网、直接连接、广域网、互联网等。在网络212是局域网的实例中,网络212可以是无线保真网络、BluetoothTM连接等。
用户220可以与设备210交互。例如,用户220可以将凭证222输入到设备210中,凭证222可以是用户名、用户密码、设备名称、设备密码、应用密码等。用户220可以将凭证222输入到设备210中以用于各种目的,诸如,访问设备210的运行、访问在设备210上运行的应用、将设备210连接到网络212等。凭证222可以因此与用户220相关联,例如当凭证222是用户名(标识符)或用户密码时。用户220可以输入用户凭证222,以访问设备210、访问应用、访问网站等。凭证222还可以或备选地与设备210相关联,例如,当凭证222是设备名称(标识符)或设备密码时,该凭证可以存储在设备210中。在这种情况中,用户220可以不将凭证222输入到设备210中。例如,在设备被允许连接到网络212之前,设备210凭证可以被用以验证设备210。
还如图2所示,设备210可以包括设备处理器214,该处理器可以将哈希(或等同地,哈希函数或哈希变换函数)例如加密哈希,应用于凭证222,并且可以将哈希凭证230存储在设备210的数据存储装置216中。例如,设备处理器214可以将加密哈希函数应用于凭证222,以使在没有凭证222的知识的情况下,难以或不可能从哈希凭证230中标识凭证222。在一些示例中,在凭证222被哈希之前,混淆值(例如,可以被用作对凭证222的附加输入的值或其他数据)可以被添加到凭证222,以使更加难以从哈希凭证230中标识凭证222。例如,混淆值可以是随机值,或者可以包括多个随机值。
根据示例,装置100可以确定凭证222是否与常用凭证匹配(例如,弱凭证),并且可能因此相对容易地被标识。常用凭证可以被定义为将被已知的或已经由许多人使用的凭证,并且因此通过使用常用凭证的标识凭证的暴力尝试被标识。在一些示例中,装置100可以与设备210分离,并且因此装置100可以远程地确定凭证222是否与常用凭证匹配。在其他示例中,用户220可以将凭证222输入到装置100中,并且装置100可以确定被输入到装置100中的凭证222是否与常用凭证匹配。
如图1和图2所示,装置100可以包括处理器102和计算机可读介质110。处理器102可以是基于半导体的微处理器、中央处理单元(CPU)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)和/或其他硬件设备。尽管装置100被描述为具有单个处理器102,但是应当理解,在不脱离装置100的范围的情况下,装置100可以包括附加的处理器和/或内核。在此,对单个处理器以及对单个机器可读介质110的参考可以被理解为附加地或备选地从属于多个处理器102和多个计算机可读介质110。
例如,计算机可读介质110可以是随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储设备、光盘等。计算机可读介质110(它也可以被称为机器可读存储介质)可以是非暂态计算机可读存储介质,其中术语“非暂态”不涵盖暂态传播信号。在任何方面,计算机可读介质110可以具有存储在其上的机器可读指令112-118。
处理器102可以提取、解码、并且执行指令112,以访问与用户220或设备210相关联的哈希凭证230。如本文所讨论的,哈希凭证230可以是用户名、用户密码、设备名称、设备密码等的哈希版本。在哈希凭证230被存储在装置100的示例中,处理器102可以从本地数据存储装置(未示出)访问哈希凭证。在这些示例中,处理器102可以本地分析哈希凭证230,并且因此在没有网络212上传送哈希凭证230的情况下,哈希凭证230可以被分析。
在哈希凭证230被存储在设备210的数据存储装置216中的其他示例中,处理器102可以从设备210访问哈希凭证230。例如,处理器102可以从设备210请求哈希凭证230,并且设备210可以经由网络212将哈希凭证230传达到装置100。在任何方面,处理器102可以自动地(例如,没有来自用户、操作者、管理员等的输入的情况下)访问哈希凭证230。此外,处理器102可以周期性地从设备访问哈希凭证230,例如根据预先定义的时间表。该预先定义的时间表可以是由用户限定的。此外,处理器102可以周期性地从多个设备访问哈希凭证230。
处理器102可以提取、解码、并且执行指令114,以访问多个常用凭证的哈希版本。多个常用凭证可以是常用凭证的集合,例如字典(dictionary)或其他列表。常用凭证的集合可以包括可能已经由多个源生成的凭证的字典。例如,凭证的字典可以包括已知使用最频繁的凭证的公开地或私有地可用列表。在特定示例中,凭证的字典可以是术语的公用字典。处理器102可以从公开源(诸如,互联网)或私有源(诸如,本地数据装置、服务器等)访问常用凭证。
根据示例,处理器102可以将用以生成哈希凭证230的相同哈希函数应用于多个常用凭证。即,例如,处理器102可以访问用以生成哈希凭证230的哈希函数,并且可以将该哈希函数应用于常用凭证,以生成常用凭证的哈希版本。在一些示例中,处理器102可以生成已访问常用凭证中的每个常用凭证的哈希版本,并且将哈希凭证230与已生成哈希版本的每个哈希版本进行比较,直到确定哈希凭证230与哈希版本中的一个哈希版本匹配或不匹配。在其他示例中,处理器102可以迭代地生成常用凭证的哈希版本,并且将哈希凭证230与已生成哈希版本进行比较,直到匹配被标识、或在没有匹配被标识的情况下哈希凭证230已经与常用凭证的所有哈希版本进行了比较。即,利用用以生成哈希凭证230的相同哈希函数的已经被哈希的常用凭证将与哈希凭证230相同。
在哈希函数被应用于凭证222之前混淆值被添加到凭证222的示例中,处理器102可以将混淆值添加到常用凭证,并且将哈希函数应用于具有已添加混淆值的常用凭证。
在其他示例中,处理器102可以将用以对凭证222进行哈希的哈希函数发送到外部服务器(未示出),例如云服务器、远程服务器等。在这些示例中,外部服务器可以访问多个常用凭证,并且可以使用哈希函数生成常用凭证的哈希版本。处理器102还可以将添加到凭证222以生成哈希凭证230的混淆值发送到外部服务器,并且外部服务器可以生成具有已添加混淆值的常用凭证的哈希版本。在任何方面,外部服务器可以将哈希版本发送到处理器102。作为结果,外部服务器(代替处理器102)可以生成常用凭证的哈希版本,这可能是计算密集的。
处理器102可以提取、解码、并且执行指令116,以确定哈希凭证230是否与多个常用凭证的常用凭证的哈希版本匹配。处理器102可以通过将哈希凭证230与常用凭证的哈希版本进行比较,做出该确定。当与哈希版本中的一个哈希版本匹配时,处理器102可以确定哈希版本230与常用凭证的哈希版本匹配。备选地,当没有与哈希版本中的任意哈希版本匹配时,处理器102可以确定哈希版本230与常用凭证的哈希版本不匹配。根据示例,处理器102可以在哈希凭证230与常用凭证的哈希版本之间执行字符串比较。作为结果,处理器可以不执行暴力尝试,以确定哈希凭证230是否与哈希版本中的任意哈希版本匹配。
处理器102可以提取、解码、并且执行指令116,以基于确定哈希凭证230与常用凭证的哈希版本匹配,执行报告或阻止操作中的至少一个操作。例如,处理器102可以输出警报,例如用于用户220接收的听觉和/或视觉指示,其中警报包括凭证222可能与已知公共凭证匹配的指示。作为另一示例,处理器102可以禁止用户220访问设备210、应用、服务、设备210可以通过它提供访问的网络等。通过示例的方式,处理器102可以使设备210阻止或禁止用户访问。
作为进一步示例,处理器102可以使设备210关闭设备210。例如,处理器102可以对设备210具有特权,以使设备210关闭。作为又一示例,处理器102可以将设备210与网络隔离,使得用户220可以继续在本地使用设备210,但是设备210不可以经由网络发送或接收数据。
根据示例,处理器102可以执行阻止操作,直到处理器102确定凭证22已经被改变为包括与已访问常用凭证中的任意常用凭证不匹配的值和/或符号的排列。此外,或备选地,用户、管理员等可以基于确定哈希凭证230与常用凭证的哈希版本匹配来限定所执行的报告和/或阻止操作。用户、管理员等还可以限定例如多个常用凭证何时被更新,以在与哈希凭证230的比较中包括新标识的常用凭证。
与机器指令112-118相反,装置100可以包括可以执行类似于指令112-118的功能的硬件逻辑块。在其他示例中,装置100可以包括指令和硬件逻辑块的组合,以实现或执行与指令112-118相对应的功能。在这些示例中的任意示例中,处理器102可以实现硬件逻辑块和/或执行指令112-118。如本文所讨论的,装置100还可以包括附加的指令和/或硬件逻辑块,使得处理器102可以执行操作附加于或代替关于图1所讨论的那些操作。
装置100的处理器102可以操作的各种方式将相对于图3和4中分别描绘的方法300和方法400被详细讨论。特别地,图3描绘了根据本公开的实施例,用于确定凭证222是否与常用凭证的字典中的条目匹配的方法的流程图。此外,图4描绘了根据本公开的实施例,用于维护和更新哈希凭证的日志的方法400的流程图。应当理解图3和图4中所描绘的方法300和方法400可以包括附加的操作,并且在不脱离方法300和方法400的范围的情况下本文所描绘的操作中的一些操作可以被移除或修改。方法300和方法400的描述是针对说明的目的、参考图1至2中所描绘的特征所做出的。
在框302处,处理器可以访问与用户220或设备210相关联的哈希凭证。处理器102可以以如上所讨论的任何方式访问哈希凭证230。
在框304处,处理器102可以确定哈希凭证230是否与多个哈希条目的哈希条目匹配,其中与多个哈希条目对应的多个条目被包括在常用凭证的字典中。如本文所讨论的,处理器102可以确定或访问用以生成哈希凭证230的哈希函数或哈希值(在本文中也被称为散列函数或散列值)。还如本文所公开的,哈希函数或哈希值可以被应用于常用凭证的字典中的条目,以生成与包括在常用凭证的字典中的多个条目对应的哈希条目。处理器102还可以在哈希函数或哈希值被应用于凭证222之前,确定或访问添加到凭证222的混淆值,并且在哈希条目被生成之前,混淆值可以被添加到字典中的条目。还如本文所讨论的,处理器102可以生成哈希条目或者从外部服务器接收哈希条目。
在处理器102生成哈希条目的示例中,处理器102可以将哈希函数应用于字典中的多个条目。在外部服务器生成哈希条目的示例中,处理器102可以将用以生成哈希凭证230的哈希函数发送到外部服务器(本文中也被称为远程服务器)。远程服务器可以将哈希函数应用于多个条目,以生成多个哈希条目。此外,处理器102可以从远程服务器接收多个哈希条目。
此外,在哈希函数被应用于凭证222之前、混淆值被添加到凭证222的示例中,处理器102或远程服务器也可以将混淆值添加到条目,以生成具有混淆值的哈希条目。
在任何方面,在框304处,处理器可以将哈希凭证230与哈希条目进行比较,以确定哈希凭证230是否与哈希条目中的任意哈希条目匹配。
在框306处,基于确定哈希凭证230与多个哈希条目的哈希条目匹配,处理器102可以输出警报、禁止用户220访问设备210、应用、服务或网络、关闭设备或将设备210与网络212隔离。处理器102可以以本文所讨论的任何方式执行框306处所描述的动作中的任意动作。
根据示例,处理器102可以确定处理器102是否将确定哈希凭证230是否与多个哈希条目的哈希条目匹配。在处理器102确定处理器102将不做出该确定的实例中,处理器可以确定外部服务器将做出该确定。此外,基于确定处理器将做出该确定,处理器102可以执行方法300。然而,基于确定处理器102将不做出该确定(例如,外部服务器将做出该确定),处理器102可以将已访问哈希凭证发送到外部服务器。处理器还可以或备选地将用以生成哈希凭证的哈希函数连同混淆值(如果被使用)一起发送到外部服务器。外部服务器可以使用哈希函数和混淆值(如果被接收),以生成哈希条目并且可以确定哈希凭证是否与哈希条目中的任意哈希条目匹配。外部服务器还可以将哈希凭证与哈希条目中的任意哈希条目是否匹配的确定返回到处理器102。
处理器102可以基于装置100和外部服务器相应的安全等级确定处理器102或外部服务器中的哪一个将确定哈希凭证是否与哈希条目匹配。在一些示例中,处理器102可以基于装置100或外部服务器中的哪一个具有更高的安全等级来选择处理器102或外部服务器。在其他示例中,处理器102可以基于在网络上是否存在对哈希凭证230的通信的限制(例如,针对安全目的)来做出选择。在其他示例中,处理器102可以基于在装置100上是否存在对凭证222的标识的限制来做出选择。在进一步的示例中,用户、管理员等可以限定处理器102或外部服务器是否将确定哈希凭证是否与哈希条目匹配。
现在转向图4,在框402处,处理器102可以从多个设备210自动地访问哈希凭证230。处理器102可以经由网络212与多个设备210通信,并且可以从设备210自动地请求和接收哈希凭证230。此外,处理器102可以以周期性的方式(例如,在预设时间、在当前时间间隔等)从设备210自动请求哈希凭证230。
在框404处,处理器102可以确定哈希凭证230中的哪个哈希凭证与多个哈希条目的哈希条目匹配。即,处理器102可以将哈希凭证中的每个哈希凭证与对应于常用凭证的字典中的条目的多个哈希条目进行比较,并且确定哈希凭证230中的哪个(如果有)哈希凭与哈希条目匹配。
在框406处,处理器102可以维护与哈希条目匹配的哈希凭证230从其被访问的设备210的日志。例如,处理器102可以维护设备210的列表以及从设备210接收的哈希凭证230或多个哈希凭证230是否与哈希条目匹配。
在框408处,处理器102可以确定与哈希条目匹配的哈希凭证230从其被访问的设备210中的哪些设备已经被改变为与多个哈希条目的哈希条目不匹配。例如,处理器102可以将针对哈希凭证230的另一请求发送到设备210的每个设备,并且从设备210接收哈希凭证230。在其他示例中,处理器102可以将针对哈希凭证230的请求发送到与哈希条目匹配的、被访问的哈希凭证230的设备210,并且处理器102可以从这些设备210接收哈希凭证230。在任何方面,处理器102可以已接收的哈希凭证230是否已经从之前已接收的哈希凭证230被改变。针对已经被改变的那些哈希凭证230,处理器102可以确定那些哈希凭证是否与对应于常用凭证的所访问的字典中的条目的哈希条目匹配。
在框410处,处理器102可以利用设备210的指示更新日志,其中哈希凭证230已经被改变为具有与多个条目的哈希条目不匹配的值。当附加的哈希凭证230从设备210被接收时,处理器102可以继续更新日志。
根据示例,基于日志,处理器102可以在哈希凭证230被确定为与哈希条目匹配的用户220和/或设备210上执行报告或阻止操作中的至少一个操作。处理器102还可以或备选地将已更新后日志提供给管理员,使得管理员可以标识哪些用户220和/或设备210具有可以与常用凭证的字典的哈希条目匹配的相关联的凭证222。换而言之,处理器102可以向管理员提供可能具有弱凭证的用户220和/或设备210的列表,例如,可以使用常用凭证通过暴力附加来标识的凭证。
方法300和400中所阐述的部分或全部操作可以被包括为在任何所需的计算机可访问介质中实用程序、程序或子程序。此外,方法300和400可以被实现为以活动和非活动的各种形式存在的计算机程序。例如,它们可以作为机器可读指令存在,包括源代码、目标代码、可执行代码或其他格式。上述任何项中的任意项可以被实现在非暂态计算机可读存储介质上。
非暂态计算机可读存储介质的示例包括,计算机系统RAM、ROM、EPROM、EEPROM以及磁盘或光盘或磁带。因此,应当理解,能够执行上述功能的任何电子设备都可以执行那些上面所列出的功能。
现在转向图5,示出了根据本公开的实施例,计算机可读介质500的框图,该计算机可读介质可以具有存储在其上的机器可读指令,机器可读指令在由处理器执行时,使处理器确定哈希凭证是否与常用凭证的哈希版本匹配。应当理解,图5中描述的计算机可读介质500可以包括附加指令,并且在不脱离本文所公开的计算机可读介质500的范围的情况下,本文所描述的一些指令可以被移除和/或修改。计算机可读介质500可以是非暂态计算机可读介质。术语“非暂态”不涵盖暂态传播信号。
计算机可读介质500可以具有在其上存储机器可读指令502-506,处理器(诸如,图1和图2中所描绘的处理器102)可以执行该指令。计算机可读介质500可以是包含或存储可执行指令的电子、磁、光或其他物理存储设备。计算机可读介质500可以是例如随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储设备、光盘等。
处理器可以提取、解码并且执行指令502,以确定哈希凭证230的强度是否将在本地或在远程计算设备处被分析。如本文所讨论的,处理器可以基于与在本地或在远程计算设备处做出该确定有关的安全考虑做出该确定。处理器可以提取、解码并且执行指令504,基于确定哈希凭证将在本地被分析,访问多个常用凭证的哈希版本,确定哈希凭证230是否与常用凭证的哈希版本匹配,并且基于确定哈希凭证230与常用凭证的哈希版本匹配,执行报告或阻止操作中的至少一个操作。然而,基于确定哈希凭证230与常用凭证的哈希版本不匹配,处理器可以输出哈希凭证230与常用凭证中的任意常用凭证不匹配指示,或者可以不输出任何指示。
处理器可以提取、解码并且执行指令506,以基于确定哈希凭证230将在远程计算设备处被分析,将用以生成哈希凭证230的哈希函数发送到远程计算设备。远程计算设备可以使用哈希函数,以生成常用凭证的哈希版本,并且将哈希凭证230与哈希版本进行比较,以确定哈希凭证230是否与哈希版本的任意哈希版本匹配。远程计算设备可以将哈希凭证230是否与哈希版本的任意哈希版本匹配的确定传达到处理器102。
根据示例,执行报告或阻止操作中的至少一个操作,计算机可读介质中的指令可以进一步使处理器输出警报、禁止用户访问设备、应用、或网络、关闭设备;或将设备与网络隔离。此外,或备选地指令可以进一步使处理器自动地并且周期地访问哈希凭证,例如以周期性地确定哈希凭证230是否已被改变,以及哈希凭证230是否与常用凭证的哈希版本中的任意哈希版本匹配。此外或备选地,指令可以进一步使处理器访问多个常用凭证,并将用以生成哈希凭证230的哈希函数应用于常用凭证,以生成常用凭证的哈希版本。
虽然在整个本公开内容中进行了具体描述,但本公开的代表性的示例在广泛的应用范围上具有实用,并且上述讨论不旨在并且不应当被解释为限制性的,而是被提供为公开的方面的说明性的讨论。
本文中已经描述和图示的是本公开的示例和它的一些变型。本文所使用的术语、描述和附图仅通过说明的方式阐述,并且不意味着限制。在本公开的精神和范围内的许多变型是可能的,本公开的精神和范围旨在由以下权利要求和他们的等同物限定,其中除非另有说明,所有术语被以他们的最广泛合理的意义表示。
Claims (16)
1.一种装置,包括:
处理器;以及
非暂态计算机可读介质,其上存储有机器可读指令,所述机器可读指令使所述处理器:
从用户的设备接收与所述用户相关联的哈希凭证,其中所述设备通过使用哈希函数来生成所述哈希凭证;
确定由所述设备使用以生成已接收的所述哈希凭证的所述哈希函数;
将已确定的所述哈希函数发送到远程服务器,其中所述远程服务器将已确定的所述哈希函数应用于多个常用凭证,以生成所述常用凭证的多个哈希版本,并且将所述多个常用凭证返回到所述装置;
从所述远程服务器接收已生成的所述多个常用凭证的、已生成的所述多个哈希版本;
确定所述哈希凭证是否与所述多个常用凭证中的常用凭证的哈希版本匹配;以及
基于确定所述哈希凭证与常用凭证的哈希版本匹配,执行报告操作或阻止操作中的至少一项操作。
2.根据权利要求1所述的装置,其中所述多个常用凭证被包括在常用凭证的字典中。
3.根据权利要求1所述的装置,其中为了执行所述报告操作或阻止操作中的至少一项操作,所述指令还使所述处理器:
输出警报;
禁止对所述设备、应用、或网络的用户访问;
关闭所述设备;或
将所述设备与所述网络隔离。
4.根据权利要求1所述的装置,其中所述用户设备是个人计算机、膝上型计算机、平板计算机或智能电话。
5.根据权利要求1所述的装置,其中所述指令还使所述处理器自动地并且周期性地访问所述哈希凭证。
6.根据权利要求1所述的装置,其中所述装置是个人计算机、膝上型计算机、平板计算机、智能电话、网络网关、网络路由器或服务器。
7.根据权利要求1所述的装置,其中所述哈希凭证包括用户名、用户密码、设备名称、或设备密码。
8.根据权利要求1所述的装置,其中混淆值被用于所述哈希凭证的哈希运算中,并且其中所述指令还使所述处理器将所述混淆值发送到所述远程服务器,其中所述远程服务器将所述混淆值添加到所述常用凭证,并且将所述哈希函数应用于具有已添加的所述混淆值的所述常用凭证,以生成所述常用凭证的所述哈希版本。
9.一种方法,包括:
由处理器从用户的设备接收与所述用户相关联的哈希凭证,其中所述设备通过使用哈希函数来生成所述哈希凭证;
由所述处理器确定,由所述设备使用以生成已接收的所述哈希凭证的所述哈希函数;
由所述处理器将已确定的所述哈希函数发送到远程服务器,其中所述远程服务器将已确定的所述哈希函数应用于对应于常用凭证的多个条目,以生成所述常用凭证的多个哈希条目,并且将多个常用凭证返回到所述处理器;
由所述处理器从所述远程服务器接收所述常用凭证的、已生成的所述多个哈希条目;
由所述处理器确定所述哈希凭证是否与已接收的所述多个哈希条目中的哈希条目匹配,其中与所述多个哈希条目相对应的多个条目被包括在常用凭证的字典中;以及
基于确定所述哈希凭证与已接收的所述多个哈希条目中的哈希条目匹配,由所述处理器:
输出警报;
禁止用户访问所述设备、应用、或网络;
关闭所述设备;或
将所述设备与所述网络隔离。
10.根据权利要求9所述的方法,其中所述哈希凭证是具有被添加到所述凭证的混淆值的所述凭证的哈希版本,所述方法还包括:
确定所述混淆值;以及
将已确定的所述混淆值发送到所述远程服务器,其中所述远程服务器将已确定的所述混淆值添加到所述多个条目中,以生成具有混淆值的条目,并且以生成具有所述混淆值的、所述常用凭证的所述多个条目。
11.根据权利要求9所述的方法,还包括:
从多个设备自动地访问哈希凭证;
确定所述哈希凭证中的哪个哈希凭证与所述多个哈希条目中的哈希条目匹配;
维护与所述哈希条目匹配的哈希凭证从其被访问的所述设备的日志;
确定与所述哈希条目匹配的所述哈希凭证从其被访问的所述设备中的哪些设备已经被改变为具有与所述多个哈希条目中的哈希条目不匹配的值;以及
利用所述设备的指示更新所述日志,其中所述哈希凭证已经被改变为具有与所述多个哈希条目中的哈希条目不匹配的值。
12.根据权利要求9所述的方法,还包括:
确定所述处理器是否将确定所述哈希凭证是否与所述多个哈希条目中的哈希条目匹配;以及
基于确定所述处理器将确定所述哈希凭证与所述多个哈希条目中的哈希条目匹配,确定所述哈希凭证与所述多个哈希条目中的哈希条目匹配。
13.根据权利要求9所述的方法,还包括:
基于确定所述处理器将不确定所述哈希凭证是否与所述多个哈希条目中的哈希条目匹配,将已访问的所述哈希凭证发送到远程服务器,以用于所述远程服务器确定所述哈希凭证是否与所述多个哈希条目中的哈希条目匹配。
14.一种计算机可读介质,其上存储有机器可读指令,所述机器可读指令在由处理器执行时,使所述处理器:
从用户的设备接收与所述用户相关联的哈希凭证,其中所述设备通过使用哈希函数来生成哈希凭证;
确定用于生成已接收的所述哈希凭证的哈希函数;
将已确定的所述哈希函数发送到远程服务器,其中所述远程服务器将已确定的所述哈希函数应用于多个常用凭证,以生成所述常用凭证的多个哈希版本,并且将所述多个常用凭证返回到所述处理器;
从所述远程服务器接收已生成的所述多个常用凭证的、已生成的所述多个哈希版本;
确定所述哈希凭证是否与所述多个常用凭证中的常用凭证的哈希版本匹配;以及
基于确定所述哈希凭证与常用凭证的哈希版本匹配,执行报告操作或阻止操作中的至少一项操作。
15.根据权利要求14所述计算机可读介质,其中为了执行所述报告操作或阻止操作中的至少一项操作,所述指令还使所述处理器:
输出警报;
禁止对所述设备、应用、或网络的用户访问;
关闭所述设备;或
将所述设备与所述网络隔离。
16.根据权利要求14所述计算机可读介质,其中所述指令还使所述处理器自动地并且周期性地访问所述哈希凭证。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/259,520 | 2019-01-28 | ||
| US16/259,520 US11509647B2 (en) | 2019-01-28 | 2019-01-28 | Determination of weak hashed credentials |
| PCT/US2019/067649 WO2020159644A1 (en) | 2019-01-28 | 2019-12-19 | Determination of weak hashed credentials |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113366809A CN113366809A (zh) | 2021-09-07 |
| CN113366809B true CN113366809B (zh) | 2023-05-19 |
Family
ID=69182722
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980090573.9A Active CN113366809B (zh) | 2019-01-28 | 2019-12-19 | 弱哈希凭证的确定 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11509647B2 (zh) |
| EP (1) | EP3918764A1 (zh) |
| CN (1) | CN113366809B (zh) |
| WO (1) | WO2020159644A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11736481B2 (en) * | 2019-04-05 | 2023-08-22 | Adp, Inc. | Friction-less identity proofing during employee self-service registration |
| US11888870B2 (en) | 2021-10-04 | 2024-01-30 | Microsoft Technology Licensing, Llc | Multitenant sharing anomaly cyberattack campaign detection |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107733656A (zh) * | 2017-10-23 | 2018-02-23 | 北京深思数盾科技股份有限公司 | 一种密码认证方法及装置 |
| CN108429725A (zh) * | 2017-02-15 | 2018-08-21 | 财团法人资讯工业策进会 | 验证服务器、验证方法及其电脑存储介质 |
Family Cites Families (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7509495B2 (en) * | 2003-07-10 | 2009-03-24 | Cinnober Financial Technology, Ab | Authentication protocol |
| US7721329B2 (en) * | 2003-11-18 | 2010-05-18 | Aol Inc. | Method and apparatus for trust-based, fine-grained rate limiting of network requests |
| US7581245B2 (en) * | 2004-03-05 | 2009-08-25 | Sap Ag | Technique for evaluating computer system passwords |
| US7669058B2 (en) * | 2004-08-10 | 2010-02-23 | International Business Machines Corporation | Secure remote password validation |
| US7681234B2 (en) * | 2005-06-30 | 2010-03-16 | Microsoft Corporation | Preventing phishing attacks |
| JP4258551B2 (ja) * | 2007-01-25 | 2009-04-30 | 日本電気株式会社 | 認証システム、認証方法、及び認証プログラム |
| US20110087888A1 (en) * | 2009-10-13 | 2011-04-14 | Google Inc. | Authentication using a weak hash of user credentials |
| US9015489B2 (en) * | 2010-04-07 | 2015-04-21 | Microsoft Technology Licensing, Llc | Securing passwords against dictionary attacks |
| US8640212B2 (en) * | 2010-05-27 | 2014-01-28 | Red Hat, Inc. | Securing passwords with CAPTCHA based hash when used over the web |
| US8365288B2 (en) * | 2010-06-21 | 2013-01-29 | Samsung Sds Co., Ltd. | Anti-malware device, server, and method of matching malware patterns |
| ES2377787B1 (es) * | 2010-07-20 | 2013-02-13 | Telefónica, S.A. | Método y sistema de firma electrónica garantizada. |
| US20120324557A1 (en) * | 2011-06-17 | 2012-12-20 | Raytheon Bbn Technologies Corp | System and method for remote integrity verification |
| US9294281B2 (en) * | 2012-02-10 | 2016-03-22 | Microsoft Technology Licensing, Llc | Utilization of a protected module to prevent offline dictionary attacks |
| US9887989B2 (en) * | 2012-06-23 | 2018-02-06 | Pomian & Corella, Llc | Protecting passwords and biometrics against back-end security breaches |
| US9300643B1 (en) * | 2012-06-27 | 2016-03-29 | Amazon Technologies, Inc. | Unique credentials verification |
| US9935951B2 (en) * | 2012-07-18 | 2018-04-03 | TapLink, Inc. | Remote blind hashing |
| US9087187B1 (en) * | 2012-10-08 | 2015-07-21 | Amazon Technologies, Inc. | Unique credentials verification |
| US9305150B2 (en) * | 2012-12-10 | 2016-04-05 | Lookout, Inc. | Method and system for managing user login behavior on an electronic device for enhanced security |
| CN103973651B (zh) * | 2013-02-01 | 2018-02-27 | 腾讯科技(深圳)有限公司 | 基于加盐密码库的账户密码标识设置、查询方法及装置 |
| EP2793157A1 (en) * | 2013-04-19 | 2014-10-22 | Thomson Licensing | Apparatus and method for managing passwords |
| US9282093B2 (en) * | 2013-04-30 | 2016-03-08 | Microsoft Technology Licensing, Llc | Synchronizing credential hashes between directory services |
| US9059989B2 (en) * | 2013-07-18 | 2015-06-16 | Vmware, Inc. | Hash synchronization for preventing unauthorized server access using stolen passwords |
| US9589143B2 (en) * | 2014-04-17 | 2017-03-07 | Xerox Corporation | Semi-trusted Data-as-a-Service platform |
| CN105184146A (zh) * | 2015-06-05 | 2015-12-23 | 北京北信源软件股份有限公司 | 一种检测操作系统弱密码的方法和系统 |
| CN104933352B (zh) * | 2015-06-10 | 2018-01-12 | 北京北信源软件股份有限公司 | 一种弱口令检测方法及装置 |
| US9967236B1 (en) * | 2015-07-31 | 2018-05-08 | Palo Alto Networks, Inc. | Credentials enforcement using a firewall |
| US10051001B1 (en) * | 2015-07-31 | 2018-08-14 | Palo Alto Networks, Inc. | Efficient and secure user credential store for credentials enforcement using a firewall |
| US9860237B2 (en) * | 2015-10-08 | 2018-01-02 | International Business Machines Corporation | Password-based authentication in server systems |
| US10063571B2 (en) * | 2016-01-04 | 2018-08-28 | Microsoft Technology Licensing, Llc | Systems and methods for the detection of advanced attackers using client side honeytokens |
| US10320848B2 (en) * | 2016-01-15 | 2019-06-11 | Microsoft Technology Licensing, Llc | Smart lockout |
| US9565020B1 (en) * | 2016-02-02 | 2017-02-07 | International Business Machines Corporation | System and method for generating a server-assisted strong password from a weak secret |
| US10873458B2 (en) * | 2016-04-28 | 2020-12-22 | Arnold G. Reinhold | System and method for securely storing and utilizing password validation data |
| CN107451467A (zh) * | 2016-05-30 | 2017-12-08 | 中国移动通信集团辽宁有限公司 | 一种弱口令核查方法和装置 |
| US10129298B2 (en) * | 2016-06-30 | 2018-11-13 | Microsoft Technology Licensing, Llc | Detecting attacks using compromised credentials via internal network monitoring |
| ES2729950T3 (es) * | 2016-09-29 | 2019-11-07 | Univ Picardie | Protocolo de autenticación que usa una contraseña de un solo uso |
| US10587732B2 (en) * | 2017-04-13 | 2020-03-10 | International Business Machines Corporation | Secure client-server communication |
| WO2019010101A1 (en) * | 2017-07-01 | 2019-01-10 | Shape Security, Inc. | SECURE DETECTION AND MANAGEMENT OF COMPROMISED IDENTITY SUPPORTERS |
| US10846432B2 (en) * | 2018-09-11 | 2020-11-24 | OneLogin, Inc. | Secure data leak detection |
-
2019
- 2019-01-28 US US16/259,520 patent/US11509647B2/en active Active
- 2019-12-19 EP EP19839593.1A patent/EP3918764A1/en active Pending
- 2019-12-19 CN CN201980090573.9A patent/CN113366809B/zh active Active
- 2019-12-19 WO PCT/US2019/067649 patent/WO2020159644A1/en unknown
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108429725A (zh) * | 2017-02-15 | 2018-08-21 | 财团法人资讯工业策进会 | 验证服务器、验证方法及其电脑存储介质 |
| CN107733656A (zh) * | 2017-10-23 | 2018-02-23 | 北京深思数盾科技股份有限公司 | 一种密码认证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11509647B2 (en) | 2022-11-22 |
| CN113366809A (zh) | 2021-09-07 |
| WO2020159644A1 (en) | 2020-08-06 |
| US20200244640A1 (en) | 2020-07-30 |
| EP3918764A1 (en) | 2021-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9584547B2 (en) | Statistical security for anonymous mesh-up oriented online services | |
| US9867051B2 (en) | System and method of verifying integrity of software | |
| US10911438B2 (en) | Secure detection and management of compromised credentials using a salt and a set model | |
| US7950056B1 (en) | Behavior based processing of a new version or variant of a previously characterized program | |
| US20240048985A1 (en) | Secure password sharing for wireless networks | |
| US20180234426A1 (en) | Authorization server, authorization method and non-transitory computer readable medium thereof | |
| US10693656B2 (en) | Method and device for scanning for data processing devices | |
| US20150281239A1 (en) | Provision of access privileges to a user | |
| CN110519753B (zh) | 访问方法、装置、终端和可读存储介质 | |
| CN107920081B (zh) | 登录认证方法及装置 | |
| US10084786B2 (en) | Identifying user equipment using tuple of browser type and elapsed hash time for challenge data set | |
| US9135428B2 (en) | Cross system secure logon | |
| CN107851159B (zh) | 控制配置数据储存器 | |
| CN113366809B (zh) | 弱哈希凭证的确定 | |
| CN111247521B (zh) | 将多用户设备远程锁定为用户集合 | |
| US9313199B2 (en) | Secure BIOS access and password rotation | |
| US11736474B1 (en) | Automatic account protection for compromised credentials | |
| US10826887B2 (en) | Password maintenance in computer networks | |
| US9967248B1 (en) | System for authenticating and processing service requests | |
| WO2017185683A1 (zh) | 基于生物识别信息的认证方法和认证系统、电子设备 | |
| US20200110859A1 (en) | Controlling access to computer resources by user authentication based on unique authentication patterns | |
| CN108141462B (zh) | 数据库查询的方法和系统 | |
| US20190190702A1 (en) | Data extraction system, data extraction method, registration apparatus, and program | |
| US10389719B2 (en) | Parameter based data access on a security information sharing platform | |
| US11716391B2 (en) | Encryption of proxy session activity data using user-provided encryption keys |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |