用户口令又被称为“密码”。从解锁手机到打开电脑，从登录电子邮件系统到网上银行系统，用户口令日益成为我们生活工作的一部分。近年来，用户口令安全事件频出，无一不牵动着人们敏感的神经。人们对用户口令的使用非常熟悉，但对用户口令所面临的威胁和保护措施知之甚少。
本书凝结了用户口令安全领域近20年来的一些主要研究成果，深入浅出地介绍了各类针对用户口令的攻击方法，阐述了相应的防御对策，并从用户口令的攻击与保护两方面呈现了用户口令安全理论与技术的发展与趋势。
无论是对于希望了解用户口令安全相关知识的技术爱好者，还是对于希望从事数据驱动安全方向研究的专业人士，本书都是一本大有裨益的佳作。

韩伟力，复旦大学教授、博士生导师，复旦大学软件学院副院长，上海市计算机学会信息安全专委会副主任，中国计算机学会上海分部监委会主席。研究方向包括数据安全、访问控制和系统安全。在IEEE S&P、ACM CCs、LJSENIxSecurity、SIGMOD和IEEE TDSC、TIFS等顶尖会议期刊录用发表多篇高质量学术论文。主持包括国家自然科学基金重点和面上项目在内的多项国家和省部级科研项目。曾参与组织多个国际重要学术会议。

第1章 用户口令安全概述
1.1 用户口令及其生命周期
1.2 用户口令的特征
1.2.1 用户口令的组成特征
1.2.2 用户口令的行为特征
1.3 用户口令的记忆
1.4 用户口令面临的威胁
1.4.1 钓鱼攻击
1.4.2 口令猜测攻击
1.4.3 拖库攻击和撞库攻击
1.4.4 社会工程攻击
1.4.5 侧信道攻击
1.4.6 用户口令泄露的危害
1.5 用户口令安全大事记
1.5.1 用户口令泄露事件
1.5.2 世界口令日
第2章 用户口令猜测方法与系统
2.1 口令猜测攻击的分类与方法
2.1.1 暴力破解与口令字典攻击
2.1.2 基于启发式规则的口令猜测
2.1.3 数据驱动的口令猜测概述
2.2 数据驱动的用户口令猜测
2.2.1 基于概率上下文无关文法的方法
2.2.2 基于马尔可夫模型的方法
2.2.3 基于神经网络的方法
2.2.4 基于样本扰动的方法
2.2.5 基于GAN的口令猜测方法
2.2.6 基于表征学习的口令猜测方法
2.2.7 基于chunk的用户口令表达与利用
2.2.8 混合式口令猜测方法
2.3 实际的用户口令猜测系统
2.3.1 基于GPU的hashcat系统
2.3.2 基于CPU的JtR系统
2.3.3 基于专用硬件的猜测系统
第3章 用户口令的保护
3.1 口令保护概述
3.1.1 基于用户习惯的口令保护
3.1.2 基于弱口令识别的口令保护
3.1.3 基于客户端的口令保护
3.2 口令生成策略
3.2.1 NIST口令生成策略新标准
3.2.2 助记口令生成策略
3.2.3 结合最小强度与最小长度的口令生成策略
3.2.4 可读音的口令生成策略
3.2.5 互联网服务提供商使用的口令生成策略
3.2.6 未来的口令生成策略
3.3 口令强度度量方法
3.3.1 面向口令集的强度度量标准
3.3.2 基于蒙特卡洛方法的口令强度评估
3.4 口令强度度量器
3.4.1 基于启发式方法的度量器
3.4.2 自适应和可解释的口令强度度量器
3.4.3 zxcvbn
3.4.4 fuzzyPSM：模糊口令强度度量器
3.4.5 Telepathwords：来自微软的口令强度检测工具
3.4.6 CKL_PSM：基于chtmk的口令强度度量器
3.5 口令管理器
3.5.1 LastPass
3.5.2 KeePass
3.5.3 1Password
3.6 口令的传输与存储保护
3.6.1 口令的安全传输
3.6.2 口令安全存储
3.7 口令泄露检查
3.7.1 Have I Been Pwned
3.7.2 Google Password Checkup
3.7.3 口令泄露检查协议
3.7.4 其他口令泄露检查工具
3.8 单点登录技术
3.9 开放注册
第4章 其他类型的认证系统
4.1 图形口令
4.1.1 基于可选区域点击序列的图形口令
4.1.2 基于识别的图形口令
4.1.3 基于绘制的图形口令
4.2 PIN码
4.2.1 PIN码简介
4.2.2 PIN码发展历程
4.2.3 PIN码安全性分析
4.3 新交互模式下的新型口令
4.3.1 基于Kinect的口令系统
4.3.2 基于EEG的口令系统
4.4 多因子认证方法
4.4.1 硬件令牌
4.4.2 数字证书
4.4.3 生物认证因子
4.4.4 一次性短信验证码
4.4.5 基于推送和二维码的令牌
4.5 快速的在线身份认证服务——FIDO
参考文献
后记

自20世纪60年代以来
，用户口令长期守护着计
算机系统的安全。在互联
网时代，用户往往拥有数
十个账户，包括网上银行
系统、办公自动化系统、
电子邮件系统等，涉及国
民经济和社会生活的方方
面面。在使用前，绝大部
分系统会要求用户设置口
令，并要求用户记住口令
，以便在需要的时候输入
它们，来验证用户的合法
身份。从初次接触计算机
系统到现在，用户口令一
直伴随着我们这代人，已
成为El常工作和生活中的
一部分。用户对口令既熟
悉又陌生，熟悉它们的存
在，但对如何保护它们的
措施知之甚少，导致弱口
令始终是计算机系统的最
大安全隐患之一。
进入21世纪，随着计
算机技术的飞速发展，针
对用户口令的攻防研究变
得非常热门。攻击者在试
图闯入计算机系统时，首
先会尝试系统管理员的口
令。系统管理员则不断地
剖析用户口令的弱点，制
定并实施相应的防御对策
，包括用户口令生成策略
、口令强度度量器等。自
2009年大批用户口令以
明文形式泄露后，研究人
员利用这批数据开展了数
据驱动的口令攻防研究，
成效显著，推动了用户口
令保护方法的演进，也推
动了指纹识别、FIDO等
无口令身份认证技术的发
展和成熟。
本书从用户口令的攻
击和保护两方面，全面而
深入地阐述了针对用户口
令的最新攻击方法（特别
是利用人工智能方法对用
户口令安全性的剖析），
并全面介绍了相应的防御
对策（包括最新的用户口
令生成策略、用户口令强
度度量器、用户口令泄露
检测工具等）。本书也对
与用户口令紧密相关的单
点登陆、PIN码、FID0等
技术进行了较为深入的介
绍。
本书适合希望了解用
户口令相关知识的技术爱
好者。此外，本书也适合
希望从事数据驱动安全方
向研究的专业人士，从中
可以掌握用户口令安全攻
防技术的最新发展与趋势
。
柴洪峰
复旦大学教授
中国工程院院士