Đánh giá độ mạnh mật khẩu sử dụng ngôn ngữ tiếng Việt dựa trên ước lượng entropy

còn của các ký tự còn lại là 6). Vì cố gắng thử các chuỗi mẫu có độ dài ngắn hơn 
 , nên j chỉ nhận giá trị duy trƣớc với giá trị tối thiểu là D lần đoán đối với 
 | | 
nhất là 1. Với , mỗi mẫu, và sẽ mất tổng cộng ∑ 
 Do đó, số lần đoán | | | | lần đoán. Ví dụ, nếu 
trung bình của mẫu này là: một mật khẩu bao gồm token mật khẩu t phổ 
 ∑ ∑ 
 biến thứ 20 với một chữ số d ở cuối –một chuỗi 
 . Công thức (1) gồm 2 mẫu – và kẻ tấn công biết D = 10000 mật 
cũng sẽ đƣợc áp dụng để tính điểm cộng nếu khẩu phổ biến nhất và td không ở trong danh 
 1 
trong mẫu có sử dụng các phím đƣợc kết hợp sách 10000 này, D biểu thị một kẻ tấn công thử 
với phím Shift, khi đó L và U trở thành số 10000 lần đoán trong danh sách này trƣớc khi 
lƣợng các phím có kết hợp và không kết hợp với thử đoán hai mẫu. 
phím Shift. zxcvbn đƣợc đánh giá là xem xét thành 
 Các đối tượng so khớp lặp lại đƣợc phân phần của mật khẩu kỹ lƣỡng hơn tất cả các công 
tích thành một cơ sở đƣợc lặp lại n lần, trong đó cụ kiểm tra khác trong các thử nghiệm của [3], 
các bƣớc so khớp – ƣớc lƣợng – tìm kiếm đệ dẫn đến việc đánh giá thực tế hơn về độ phức 
quy trƣớc đó đƣợc thực hiện lại với một số lần tạp của mật khẩu cho trƣớc. Tuy nhiên, có quá 
đoán cơ sở g. Do đó, số lần đoán mẫu lặp lại nhiều mẫu khác nhau ngƣời dùng có thể sử 
đƣợc ƣớc lƣợng là . dụng để tạo mật khẩu mà zxcvbn không thể 
 Các mẫu chuỗi đƣợc tính điểm theo công nhận biết hết đƣợc, ví dụ nhƣ các từ đã bị bỏ đi 
thức | |, trong đó s là số ký tự bắt đầu chữ cái đầu, các từ không có nguyên âm, các từ 
có thể, n là độ dài của chuỗi và d là độ lệch (ví đánh vần sai, n-gram, mã zip của các khu vực, 
 các tổ hợp bàn phím cách xa nhau ví dụ nhƣ 
dụ: d 2 trong mẫu ―9753‖). 
 qzwxec, v.v [13]. Nhóm phát triển bộ công cụ 
 Đối với mẫu ngày tháng, công thức tính số này cũng đã đƣa ra khuyến nghị rằng việc bổ 
lần đoán là | |. sung các mẫu ví dụ nhƣ các bộ từ điển và cụm 
 Cuối cùng, các so khớp bruteforce có độ dài từ thông dụng trong các ngôn ngữ khác ngoài 
l đƣợc gán một hằng số C = 10 lần đoán cho tiếng Anh, các mẫu tổ hợp bàn phím theo các sơ 
mỗi ký tự, mang lại giá trị ƣớc lƣợng tổng là . đồ bàn phím khác, v.v.. trong bƣớc so khớp 
D. Bước tìm kiếm chính là một cách hiệu quả để cải thiện tính hiệu 
 Với một mật khẩu chuỗi và một tập hợp các quả cho bộ công cụ này. 
so khớp trùng lặp tƣơng ứng , bƣớc cuối cùng IV. ĐỀ XUẤT PHƢƠNG PHÁP ĐÁNH GIÁ 
là tìm kiếm chuỗi kết hợp S liền kề không trùng ĐỘ MẠNH MẬT KHẨU 
lặp bao gồm hoàn toàn mật khẩu và thỏa mãn 
 Phần này sẽ trình bày đề xuất phƣơng pháp 
biểu thức sau [1]: 
 đánh giá độ mạnh mật khẩu đƣợc phát triển dựa 
 |S | 1
 arg minD | S |! m . guesses trên ƣớc lƣợng entropy theo thuật toán zxcvbn 
 S mS (3) 
 đã đƣợc phân tích ở trên. 
 Trong đó, |S| là độ dài của chuỗi S, D là một 
 Mã nguồn chƣơng trình zxcvbn đã đƣợc 
hằng số. Giả sử rằng chuỗi đƣợc chọn S đƣợc 
 phát triển thêm một số nội dung để biến nó trở 
64 Số 2.CS (08) 2018 
 Nghiên cứu Khoa học và Công nghệ trong lĩnh vực An toàn thông tin 
thành một công cụ đánh giá độ mạnh mật khẩu Đủ mạnh (4 điểm) đối với các mật khẩu 
sử dụng đƣợc trong các hệ thống xác thực ngƣời cần trên 1012 lần đoán. 
dùng dựa trên mật khẩu có sử dụng tiếng Việt. B. Bổ sung tiếng việt vào dữ liệu so khớp từ điển 
Các nội dung đã đƣợc phát triển thêm bao gồm: 
 Một trong những điểm yếu của zxcvbn là ở 
tính toán ngƣỡng an toàn theo entropy của mật 
 chỗ bộ từ điển của nó chỉ bao gồm các từ tiếng 
khẩu và tích hợp mô-đun đánh giá độ mạnh mật 
 Anh, do đó, nó không thể nhận ra các từ hoặc 
khẩu theo thang điểm; và tích hợp từ điển tiếng 
 cụm từ phổ biến trong các ngôn ngữ khác. Ở 
Việt vào dữ liệu bƣớc so khớp. 
 đây, một từ điển tiếng Việt đã qua xử lý đã đƣợc 
 Các mục tiếp theo đây sẽ lần lƣợt phân tích bổ sung vào dữ liệu so khớp từ điển của chƣơng 
chi tiết các nội dung đã đƣợc bổ sung vào mã trình này. 
nguồn chƣơng trình zxcvbn trên. 
 Đặt giả thiết rằng các hệ thống thƣờng chỉ 
A. Tính toán ngưỡng an toàn theo entropy của cho phép ngƣời dùng thiết lập mật khẩu không 
mật khẩu và tích hợp mô-đun đánh giá độ mạnh dấu hoặc nếu có cho phép thì cũng rất ít ngƣời 
mật khẩu theo thang điểm dùng sử dụng tiếng Việt có dấu cho mật khẩu 
 Zxcvbn cung cấp giá trị ƣớc lƣợng entropy của mình, do đó, kẻ tấn công khi muốn bẻ khóa 
của một mật khẩu đầu vào. Tuy nhiên, với một một mật khẩu sẽ thử đoán bằng một từ điển bao 
ngƣời dùng thông thƣờng, giá trị entropy này gồm các từ không dấu trƣớc và các mật khẩu là 
cũng không thể giúp họ đánh giá đƣợc mật khẩu các từ có dấu đƣợc xem là khó đoán hơn hay 
mà họ lựa chọn đã đủ an toàn hay chƣa. Để cụ mạnh hơn. Một danh sách các từ tiếng việt đƣợc 
thể hơn, cần phải có một mô-đun đánh giá mức lấy từ dự án Từ điển tiếng Việt miễn phí (The 
độ mạnh yếu của mật khẩu theo thang điểm. Free Vietnamese Dictionary Project [15]) sau đó 
Căn cứ đánh giá độ mạnh của một mật khẩu đƣợc chuyển đổi thành định dạng các từ tiếng 
theo giá trị entropy đƣợc dựa vào là RFC 4086 Việt không dấu và viết thƣờng rồi đƣa vào dữ 
– ―Các yêu cầu về tính ngẫu nhiên đối với bảo liệu từ điển so khớp của chƣơng trình. 
mật‖ [14] năm 2004. Tài liệu này đã trình bày Hình 2 mô tả định dạng các từ trong từ điển 
một số mô hình tấn công lên các giá trị bí mật tiếng Việt nguyên gốc đƣợc lấy từ [15] (bên 
(mật khẩu, khóa mật mã) và entropy cần thiết trái) và sau khi đƣợc chuyển đổi thành định 
đối với từng mô hình. Kết quả là để chống lại dạng phù hợp để sử dụng trong cơ sở dữ liệu so 
các tấn công trực tuyến, một mật khẩu có 29 bit khớp của chƣơng trình (bên phải). 
entropy đƣợc đánh giá là đủ an toàn. Tuy nhiên, 
đây là giá trị cần thiết tại năm 2004. Theo định 
luật Moore, mỗi năm giá trị này chỉ cần thêm 
2/3 bit, có nghĩa là đến năm 2019, giá trị 
entropy tối thiểu để mật khẩu đƣợc đánh giá là 
đủ an toàn trƣớc các tấn công trực tuyến phải là: 
 . 
 Vì nên các ngƣỡng đánh giá độ 
mạnh của mật khẩu dựa trên số lần đoán cần 
thiết để tìm ra một mật khẩu đƣợc thiết lập nhƣ 
sau: 
 Rất yếu (0 điểm) đối với các mật khẩu có 
 thể bị bẻ khóa với chƣa đến 103 lần đoán; 
 Yếu (1 điểm) nếu số lần đoán cần thiết 
 nằm trong khoảng 103-106; 
 Trung bình (2 điểm) nếu cần từ 106-109 Hình 2. Định dạng dữ liệu tiếng Việt trước và sau 
 lần đoán; khi được xử lý 
 Khá mạnh (3 điểm) nếu cần từ 109-
 1012lần và; 
 Số 2.CS (08) 2018 65 
Journal of Science and Technology on Information Security 
 V. MỘT SỐ KẾT QUẢ THỬ NGHIỆM Kết quả thử nghiệm đánh giá các danh sách 
 PHƢƠNG PHÁP ĐÁNH GIÁ mật khẩu trên đƣợc thể hiện trong Bảng 3. 
 ĐỘ MẠNH MẬT KHẨU ĐƢỢC ĐỀ XUẤT BẢNG 3. KẾT QUẢ THỬ NGHIỆM CÔNG CỤ 
 Để đánh giá hoạt động của phƣơng pháp ĐÁNH GIÁ ĐỘ MẠNH MẬT KHẨU 
đƣợc đề xuất, một số danh sách mật khẩu dƣới Điểm xato phpBB MySpace vnzoom 
đây đã đƣợc lựa chọn để thử nghiệm đánh giá 0 78 148 41 220 
độ mạnh mật khẩu. 
 1 8932 26145 4835 96895 
 Danh sách top 10.000 mật khẩu từ nghiên 
cứu của Mark Burnett đƣợc công bố trên trang 2 990 81948 18340 1117424 
web xato.net [16]: Danh sách 10.000 mật khẩu 3 0 52588 10456 2359467 
phổ biến này đƣợc xếp hạng theo số lƣợng 4 0 23559 3454 2470234 
ngƣời dùng sử dụng cùng một mật khẩu và đã 
 Tổng 
 10000 184388 37126 6044240 
đƣợc chuyển đổi thành tất cả các chữ cái viết số 
thƣờng [17]. 
 Điểm 
 1.09 2.40 2.34 3.19 
 Danh sách mật khẩu người dùng của diễn TB 
đàn phpBB.com [18]. Năm 2009, diễn đàn này 
đã bị xâm nhập do một ứng dụng bên thứ ba và Bảng trên cho thấy, trong các danh sách mật 
một cơ sở dữ liệu chứa mật khẩu băm đã bị rò khẩu dựa trên tiếng Anh, xato.net cung cấp danh 
rỉ. Do nền tảng kỹ thuật của ngƣời dùng đăng ký sách 10.000 mật khẩu phổ biến, thƣờng có mặt 
trên trang web này, mật khẩu có xu hƣớng phức trong các từ điển đối chiếu của các công cụ 
tạp hơn một chút so với các từ điển khác. Thành đánh giá độ mạnh, do đó, điểm đánh giá độ 
phần mật khẩu: 41,24% chỉ bao gồm chữ cái mạnh đạt thấp nhất, chỉ khoảng hơn 1 điểm và 
viết thƣờng, 35,7% chỉ bao gồm chữ cái viết không có mật khẩu nào đạt đƣợc điểm 3 hoặc 4. 
thƣờng và chữ số, 11,24% chỉ bao gồm chữ số, Trong khi đó, mật khẩu thực sự đƣợc ngƣời 
4,82% có sử dụng cả chữ cái viết hoa và viết dùng sử dụng (phpBB.com và MySpace.com) 
thƣờng và chữ số, 2,68% sử dụng chữ cái hỗn có độ mạnh trung bình cao hơn, nằm trong 
hợp và phần còn lại đƣợc tạo thành từ các tổ khoảng giữa 2 và 3 điểm, và có cả mật khẩu đủ 
hợp ký tự khác nhau [2]. an toàn (4 điểm). 
 Danh sách mật khẩu người dùng của trang 
web MySpace.com. Trang web này đã bị hack 
vào ngày 11 tháng 6 năm 2013 bởi công cụ 
LeakedSource, một công cụ tìm kiếm có khả 
năng tìm kiếm, tổng hợp dữ liệu từ hàng trăm 
nguồn khác nhau. Danh sách đầy đủ bao gồm 
tổng cộng 427.484.128 mật khẩu của gồm 
360.000.000 ngƣời dùng [19], một danh sách 
thu nhỏ bao gồm 37.126 mật khẩu đƣợc cung 
cấp trong [20] đã đƣợc sử dụng để thử nghiệm 
công cụ này. 
 Danh sách mật khẩu người dùng của diễn 
đàn vnzoom.com. Diễn đàn chia sẻ công nghệ 
này đã bị tấn công vào ngày 31/5/2012 và để bị 
 Hình 3. Biểu đồ phân bố độ mạnh mật khẩu của các 
rò rỉ ra một cơ sở dữ liệu bao gồm mật khẩu của danh sách mật khẩu dựa trên tiếng Anh 
sáu triệu ngƣời dùng trên diễn đàn này. Danh 
sách sáu triệu mật khẩu này [21] đã đƣợc đƣa Hình 3 và 4 minh họa cụ thể hơn sự phân bố 
vào để thử nghiệm nhằm mục đích đánh giá dữ mật khẩu dựa trên ngôn ngữ tiếng Anh của ba 
liệu từ điển tiếng Việt đã đƣợc đƣa tích hợp danh sách đầu tiên (xato.net, phpBB.com, 
thêm vào dữ liệu so khớp của bộ công cụ đánh MySpace.com) theo thang điểm độ mạnh. 
giá. 
66 Số 2.CS (08) 2018 
 Nghiên cứu Khoa học và Công nghệ trong lĩnh vực An toàn thông tin 
 Hình 6 minh họa kết quả tích hợp mô-đun 
 đánh giá độ mạnh mật khẩu vào phần mềm. 
Hình 4. Biểu đồ phân bố độ mạnh mật khẩu của từng Hình 6. Tích hợp mô-đun đánh giá mật khẩu 
 danh sách mật khẩu dựa trên tiếng Anh 
 Những danh sách mật khẩu ở các trang web Các kết quả đánh giá độ mạnh mật khẩu có 
trên chỉ chứa ngôn ngữ tiếng Anh. Để đánh giá thể giúp các nhà quản trị hệ thống đƣa ra chính 
tác động của từ điển tiếng Việt đối với bộ công sách tạo mật khẩu phù hợp, ví dụ nhƣ chỉ cho 
cụ đƣợc đề xuất, chúng tôi đã thực hiện đánh phép các mật khẩu có độ mạnh đạt một giá trị 
giá mật khẩu của vnzoom.com trong hai trƣờng tối thiểu nhất định. Mô-đun đánh giá độ mạnh 
hợp: từ điển chỉ bao gồm tiếng Anh và từ điển mật khẩu đƣợc trình bày trong bài báo này cũng 
bao gồm cả tiếng Anh và tiếng Việt. Kết quả đã đƣợc thử nghiệm cài đặt vào một số hệ thống 
thử nghiệm hai trƣờng hợp này lần lƣợt đƣợc và cho thấy đƣợc tính hiệu quả. 
minh họa trong hình 5(a) và 5(b). Kết quả này 
cho thấy rằng khi có thêm từ điển tiếng Việt vào VI. KẾT LUẬN 
dữ liệu so khớp, số lƣợng mật khẩu đƣợc đánh Bài báo này đã phân tích và đề xuất phƣơng 
giá là đủ mạnh giảm hơn 10% (từ 51,479% pháp đánh giá độ mạnh mật khẩu dựa trên 
xuống còn 40,869%). Điều này chứng tỏ rằng entropy và thử nghiệm đánh giá hoạt động của 
việc đánh giá độ mạnh mật khẩu phụ thuộc phƣơng pháp đánh giá độ mạnh mật khẩu này. 
nhiều vào ngôn ngữ mà ngƣời sử dụng lựa chọn Kết quả thử nghiệm sử dụng phƣơng pháp đƣợc 
để thiết lập mật khẩu, và việc bổ sung từ điển đề xuất để đánh giá độ an toàn mật khẩu của 
tiếng Việt đã giúp đánh giá độ mạnh mật khẩu ngƣời dùng một số hệ thống trên thực tế cho 
của ngƣời dùng sử dụng ngôn ngữ tiếng Việt thấy rằng ngay cả các hệ thống mà ngƣời dùng 
một cách chính xác hơn. có trình độ công nghệ thông tin thì cũng chƣa 
 đến một nửa số ngƣời dùng lựa chọn đƣợc một 
 mật khẩu đủ an toàn. Vì vậy, vấn đề về độ an 
 toàn của mật khẩu cần phải đặt ra ngay cả đối 
 với những ngƣời dùng am hiểu về công nghệ. 
 Ngoài ra, kết quả thử nghiệm cài đặt mô-
 đun đánh giá độ mạnh mật khẩu trong một số hệ 
 thống cũng cho thấy khả năng công cụ này có 
 thể đƣợc triển khai một cách đơn giản và hiệu 
 Hình 5. Biểu đồ phân bố độ mạnh mật khẩu của quả trong các hệ thống xác thực ngƣời dùng dựa 
 vnzoom.com trên mật khẩu. 
 Số 2.CS (08) 2018 67 
Journal of Science and Technology on Information Security 
 TÀI LIỆU THAM KHẢO SƠ LƢỢC VỀ TÁC GIẢ 
[1]. https://en.wikipedia.org/wiki/Password CN. Hoàng Thu Phương 
[2]. Xavier De Carne De Carnavalet, Mohammad Đơn vị công tác: Viện KH-CN mật 
 Mannan (2015) ―A Large-Scale Evaluation of mã, Ban Cơ yếu Chính phủ. 
 High-Impact Password Strength Meters‖. Email: thuphuonghoang306@gmail.com 
[3]. https://en.wikipedia.org/wiki/Password_strength 
 Quá trình đào tạo: Nhận bằng kỹ sƣ 
[4]. NIST Special Publication 800-63: Electronic tại Đại học Thƣợng Hải 2012. 
 Authentication Guideline, 2004. 
[5]. Nouf Mohammed D. Aljaffan, ―Password Hƣớng nghiên cứu hiện nay: Bảo 
 Security and Usability: From Password mật trên thiết bị di động 
 Checkers To a New Framework For User ThS. Trần Sỹ Nam 
 Authentication‖, 2017. Đơn vị công tác: Viện KH-CN mật 
[6]. A. Narayanan and V. Shmatikov, ―Fast mã, Ban Cơ yếu Chính phủ. 
 dictionary attacks on passwords using time- Email: transynam1989@gmail.com 
 space tradeoff‖, 2005. 
[7]. M. Weir, S. Aggarwal, B. de Medeiros, and B. Quá trình đào tạo: Nhận bằng kỹ sƣ 
 Glodek, ―Password cracking using probabilistic chuyên ngành An toàn thông tin và 
 context-free grammars‖, 2009. Hệ thống mạng tại Học viện FSO, Nga và nhận bằng 
[8]. W. Melicher, B. Ur, S. M. Segreti, S. thạc sĩ chuyên ngành Kỹ thuật mật mã tại Học viện 
 Komanduri, L. Bauer, N. Christin, and L. F. Kỹ thuật mật mã 2018 
 Cranor, ―Fast, lean and accurate: Modeling Hƣớng nghiên cứu hiện nay: Bảo mật mạng, dữ liệu 
 password guessability using neural networks‖, lƣu trữ 
 2016. 
[9]. C. Castelluccia, A. Chaabane, M. Durmuth, and 
 D. Perito, ―When privacy meets security: 
 Leveraging personal information for password 
 cracking‖, 2013. 
[10]. Y. Li, H. Wang, and K. Sun, ―A study of 
 personal information in human-chosen 
 passwords and its security implications‖, 2016. 
[11]. Daniel Lowe Wheeler (2016), ―zxcvbn: Low-
 Budget Password Strength Estimation‖. 
[12]. S. Ji, S. Yang, T. Wang, C. Liu, W.H. Lee, and 
 R. Beyah, ―PARS: A uniform and open-source 
 password analysis and research system‖, 2015. 
[13]. https://blogs.dropbox.com/tech/2012/04/zxcvbn 
-realistic-password-strength-estimation/ 
[14]. https://tools.ietf.org/html/rfc4086 
[15]. https://www.informatik.unileipzig.de/~duc/Dict 
[16]. https://github.com/danielmiessler/SecLists/blob/ 
master/Passwords/xato-net-10-million-passwords-
100000.txt 
[17]. https://xato.net/10-000-top-passwords 6d63807 
16fe0 
[18]. https://raw.githubusercontent.com/danielmiessl 
er/SecLists/master/Passwords/Leaked-Databases/ 
phpbb.txt 
[19]. https://leakedsource.ru/blog/myspace 
[20]. https://raw.githubusercontent.com/danielmiess 
ler/SecLists/master/Passwords/Leaked-
Databases/myspace.txt 
[21].  
/6tr-user-vn-zoom.rar 
68 Số 2.CS (08) 2018