無論是登入電腦系統、使用電子郵件，進入各種社群網站，第一步都需要輸入帳號和通行碼（通常稱為「帳號」與「密碼」），倘若身份認證資料外流，就可能被盜用。國立臺灣師範大學資訊工程學系助理教授官振傑展開對「抵擋線上密碼猜測攻擊的有效驗證機制」的研究，成功改善通行碼風險問題，這項研究成果，不僅提供了新型身份認證機制，也為資訊安全提供了新的思路。

在現代資訊系統中，使用者名稱和通行碼是最常用來識別使用者身份的機制，儘管社會大眾都了解帳號和通行碼必須保護好，但帳戶被盜用的事件仍頻傳，主因是通行碼在設定時若不夠周到，很容易被猜中，這與帳號和通行碼洩漏同樣會導致身份被盜用，形成所謂的「通行碼猜測攻擊」。 

為了防止通行碼被猜測，官振傑說，常見的身份認證方式是限制同一時段內同一帳戶最多只能嘗試輸入通行碼三次，若三次皆未能成功認證，就無法繼續嘗試，並需間隔一段時間才能再次嘗試登入，卻治標不治本；又或是要求通行碼必須具有一定的長度和複雜度，雖然不易被猜中，但也增加了使用者記住通行碼的難度，增加使用者的不便。 

基於這些問題，官振傑也展開研究，希望提供一種既簡單又有效的方法，來防止惡意者對通行碼的猜測攻擊，避免帳號遭盜用。他從使用者輸入帳號和通行碼的行為模式出發，探討如何區分合法使用者和攻擊者，研究假設使用者本人知道自己的通行碼，而攻擊者對通行碼毫無預先知識，只能進行猜測，透過機率與統計，建立了使用者和攻擊者行為的數學模型，並運用資訊理論的原理來檢測輸入的通行碼是來自使用者還是攻擊者。

例如，假設在輸入通行碼時，有以下兩種情況： 

A： admin, wellcome, welcome  
B： abc123, password, welcome

官振傑說明，兩者都是輸入三次通行碼才成功，但大多數人會認為A是合法使用者，而B則像是攻擊者。理由是A在第一次輸入了另一個帳號的通行碼，第二次多打了一個字母，第三次才正確；而B則更像是在猜測通行碼，這種觀察也促使研究團隊建立理論基礎來支持這種判斷。

圖1：研究團隊計算不同密碼字串的熵（ㄕㄤ）值
 

根據研究圖表，官振傑分析，紅色線是攻擊者輸入的密碼字串的熵值，而其他顏色的三條線代表使用者輸入的密碼字串的熵值。由此圖可以看出，即使使用者每次數入密碼平均有二個字打錯，其輸入的密碼字串的熵值仍低於攻擊者隨機猜測的熵值。這個差距在鍵入 2 至 4 次密碼才成功時特別顯著，這也間接證實，常用的身分認證機制採用 3 次密碼輸入都不正確後，就停止使用者再輸入密碼的合理性。 

研究團隊使用不確定性（uncertainty）來進行推論，最終設計了一個簡單且有效的方式，來估計輸入的通行碼是否為「隨機猜測」，方法是計算輸入字串中使用了多少個不同的字母，像是A使用了12個不同的字母，而B使用了18個不同的字母，因此可以判斷A是使用者，B則可能是攻擊者。

官振傑說，這項新身份認證機制在理論上具有價值，在實務上也非常實用，因為它僅對現有方案進行了輕微修改，並且不需要知道使用者原來的通行碼，可以很容易地整合到現有的身份認證系統中，不僅改善了通行碼的問題，使得使用者可以選擇容易記住的通行碼，同時也能防止通行碼被猜測攻擊。 

值得注意的是，此項研究並未否定強通行碼的價值，強通行碼不容易被猜中，有其不可取代的意義，這項研究的主要貢獻是在現有密碼系統中，不管所選用通行碼的強弱，都可以加上另外一層的保護，當有疑慮發生時，可以啟動第二階段的認證的程序，以確保系統的安全性。

談及未來進階研究，官振傑表示，除了將該研究與產業界接，增加應用性；另一方面，研究可繼續著眼於攻擊者在多次猜測失敗後，對通行碼的剩餘不確定性進行估計，並在不確定性降低到某個程度時通知使用者更改通行碼，避免帳戶被盜用。(採訪撰文 | 由本校公共事務中心提供)。

原文出處：
Guan, A., & Chen, C. M. (2022). A novel verification scheme to resist online password guessing attacks. IEEE Transactions on Dependable and Secure Computing, 19(6), 4285-4293.https://ieeexplore.ieee.org/document/9773951