2009年以来，口令安全理论体系逐渐完善，形成了以markov、PCFG为代表的概率攻击理论模型，以Zipf原理为基础的口令分布理论模型，以α-guesswork为代表的口令分布强度评价理论模型，使口令安全研究摆脱了传统的依赖简单统计方法和启发式“奇思妙想”，进入了以严密理论体系为支撑的科学轨道。当前 ，广泛采用的口令脆弱行为挖掘方法既有实证分析，也有用户调查实证分析的数据既有来自于黑客泄露，也有来自于企业合作；用户调查既有小规模的传统调查，也有基于外包服务的新型大规模网络调查。

对于当前主流的攻击算法做如下描述。

漫步攻击是指攻击者A不关心具体的攻击对象是谁，其唯一目标是在允许的猜测次数下，猜测出越多的口令越好。这意味着，最优的攻击者会首先猜测排名r=1的口令，接着猜测排名r=2的口令，依次类推。

定向口令猜测攻击的目标是尽可能以最快速度猜测出所给定用户在给定服务（如网站、个人电脑）的口令。因此，攻击者会利用与攻击对象相关的个人信息，以增强猜测的针对性。用户的个人信息有很多种，比如人口学相关信息（姓名、生日、年龄、职业、学历、性别等），用户在该网站的过期口令（旧口令），用户在其他网站（泄露）的口令。当前定向口令猜测研究尚在起步阶段，主要集中在如何利用人口学相关信息方面。

口令脆弱性评估的主要目的是分析某个给定明文口令的抗猜测和抗暴力破解的能力，而基于规则的口令脆弱性评价方法中影响最大的基于规则的方法当属NISTPSM。当前在主流网站上应用的口令强度评价方法绝大多数为基于规则的方法，沿用了它的思想：口令强度依据长度和所包含的字符类型而定。典型的代表就是腾讯网站：１）当口令长度len＜６或len≤８且仅由数字组成时，只进行警告，不输出强度值；２）当口令长度len≥６，且仅由一种字符组成时，评价为“弱”；３）当口令长度len≥８，包含２类字符为 “中”，包含３类或４类字符为“强”。这类方法的最大优点是简单，比如腾讯涉及PSM的代码只有12行；缺陷也是非常明显的：评价结果不准确，容易误判。

本项目将针对大量的真实的用户口令字符串从多个角度进行了详细分析和规律挖掘。由于这些数据来源于中国网站，用户群体基本都是中国人，因此，其统计结果具有明显的中国特色。在进行大量分析的基础上，总结有助于口令脆弱性评价的规则，为口令脆弱性评估提供更高效的评估方法并增加可信度。从而进一步提高web服务的安全性，更好的保障用户的隐私不被泄露以及账号有较高的安全度。

2. 研究的基本内容与方案

研究内容：以部分网站真实口令数据为研究对象，分析并总结网络用户设置口令的特点和规则，重点研究Web口令的长度、字符类型及组合特征；并以此为基础研究其在口令脆弱性评估等各个方面的应用；确定合适的口令脆弱性评估参数；提出相应的口令脆弱性评估算法。

研究目标：研究Web口令脆弱性评估方法，为用户设置口令和系统验证口令提供指导。根据大量真实数据总结的规则和现有算法的缺点提出一种新的口令安全性评估算法，以求达到评估参数更全面、评估结果更具有参考价值和实用性，进一步帮助用户基于一定规则设置更安全，更不容易被破解的口令；

研究路线：查阅现有web口令脆弱性评估方法，找出其短板；根据大量真实明文web口令总结规律并推测真实的口令设置规则；根据研究结果设定评估参数；采用模糊综合评价法和层次分析法确定评估模型及参数权重；用测试集进行验证。具体工作如下：

（1）对真实口令库的数据挖掘