报告题目】口令文件泄露检测技术

【报 告 人 】 汪定   北京大学 信息科学与技术学院 

【报告时间】2018.03.13   9:00 - 11:00(周二)

【报告地点】科技楼502-2


【报告摘要】

    近一两年来,大批的知名网站(如Yahoo, Dropbox, Weebly, 163,德勤)发生了用户口令文件泄露事件。更为严重的是,这些泄露往往发生了多年后才被网站发现,才提醒用户更新口令,然而为时已晚。比如,Yahoo在2013年泄露了30亿用户口令和各类个人身份信息,在2017年10月才发现,因此事件导致Verizon对Yahoo的收购价格降低了10亿美金。 
 
    Honeywords 技术是检测口令文件泄露的一种十分有前景的技术,由图灵奖得主 Rivest 和 Juels在ACM CCS’13 上首次提出。本研究发现,他们给出的4个主要 honeywords 生成方法均存在严重安全缺陷,且此类启发式方法无法简单修补;进一步提出一个honeywords 攻击理论体系,成功解决“给定攻击能力,攻击者如何进行最优攻击”这一公开问题;反过来,攻击者的最优攻击方法可被用来设计最优 honeywords 生成方法,成功摆脱启发式设计。本研究将使honeywords生成方法的设计和评估从艺术走向科学,为及时检测口令文件泄露提供理论和方法支撑。



【报告人简介】
     汪定,北京大学“博雅”博士后,导师为黄如院士,研究方向为口令安全。近年来以第一作者在ACM CCS、NDSS和IEEE TDSC、IEEE TIFS等国际重要刊物发表长文30余篇,其中3篇入选“ESI高被引论文”,累计被引用1000余次。担任ISC、SEC、TrustCom、ICPADS、ProvSec、CANS等10余个国际知名会议的TPC member; 受邀作为客座主编,在CCF推荐期刊WCMC和SCN各主办一期身份认证方面专刊。研究成果被福布斯、每日邮报、ACM通讯等200多个国际媒体报道,入选Elsevier“中国计算机科研成果大赏”,引起美国身份认证标准NIST SP800-63-3的修订。被评为北京大学 “学术精英”、北京大学“学生年度人物?2016”,先后获得北京大学优秀博士学位论文奖、CCF优秀博士学位论文奖、教育部自然科学一等奖(排名第二)。