1、大数据环境下的网络身份安全挑战及解决方案提纲网络身份&网络身份安全网络身份安全遇到的挑战网络身份安全技术及解决方案基于可信用户代理的多方闭环网络身份认证管理机制自动注册、自动登录、自动修改密码；防撞库、防钓鱼、解决“密码疲劳”基于寄生社区分割的钓鱼网站及目标识别 防钓鱼欺诈、防身份被盗区分、认定（Identify）网络空间中个体（Entity）的唯一性和不可否认性标识 个体：个人用户、组织机构、设备、网络资源网络身份信息：跟身份有关的信息 用户名、口令、身份证号、邮箱、手机号、卡号、微信号、QQ等 域名、名称、组织机构代码等 序列号、URI等网络身份 准确认证和管理网络身份 检测并防止 身份造

2、假、假冒 被盗（防拖库、防钓鱼）泄露（防拖库、防撞库）其他未授权行为网络身份安全大数据环境公开数据被利用私有数据被泄露内部威胁（自身原因）内鬼、系统漏洞、管理不善（制度缺陷、犯错失职）、用户习惯外部威胁（黑客攻击）钓鱼、假冒、拖库、撞库网络身份安全遇到的挑战大数据环境中的网络身份信息(PII)大数据：信息社会的“数字垃圾”包含身份信息、易遭非法利用（诈骗、窃取、撞库、破解）公开数据：个人主页、机构官网、百科、博客、微博：内容（姓名等）丰富真实！讣告、新闻、论文：真实的姓名，邮箱、单位信息各网站私有数据：注册的id，口令，姓名，生日，手机号，QQ号，邮箱等 社交网络关系（好友、粉丝、在线习惯等）

3、大数据环境中的网络身份安全威胁公开数据蕴含着隐私，被用于破解、撞库 关联关系：； 社交网络：奶茶妹妹 刘强东私有数据被窃取、泄露，形成黑色产业链：拖库：窃取整个身份数据库（账号、密码、其他身份信息）洗库：解密、整理，分类，出售里边的信息 撞库：用其中发现的密码去猜测登录别的系统内部威胁 数据泄露管理员使用弱密码、多人分享密码、失误 被撞库、被拖库、被接管、留后门漏洞不及时修补、留后门 被拖库加密措施不强（甚至明文存储密码）拖库后被破解，94%MD5;74%哈希加盐，0.1%Bcrypt内鬼（80%）数据泄露的结果社工库：密码疲劳问题导致的用户习惯 不安全 密码/口令模式有限：被破解 弱密码（常

4、用密码库）：被破解 长期不换：被破解 账号关联、密码/口令重用：被撞库 经验不足，不够警惕，被恐吓、诱惑而轻信：被钓鱼常用模式 利用人性弱点精准分析破解个人密码利用个人信息，猜解各种组合暴力定向破解密码（汪定）7种模式PassWord-PassPhraseNIST的Paul Grassi提出仅仅“长”没有用，仍是有限模式感谢泰格实验室姜栋提供：账号关联、密码/口令重用-撞库越来越容易简单撞库针对单个账号，多次猜测密码“分布式集体轮番撞库”（Credential Stuffing）公开获取或非法购买被泄露的大量的账号/密码对 针对同一个网站的多个账号 轮番从多个代理或僵尸网络发起登录请求 辅助自

5、动工具通过图灵测试 1-2%的成功率网络身份欺诈/网络钓鱼攻击网络身份欺诈 未经他人授权，假冒其网络身份，特别是用于非法目的网络钓鱼攻击 通过模仿真实网页，假冒其他个人或组织的网络身份，骗取用户的网络身份等私隐信息如：用户名、密码、卡号等 二维码钓鱼天下网络，无坚不破！天下密码，唯“强”不破！人是最薄弱的环节！何为“强”密码？随机、无规律（无模式）足够长（仅仅长还不行，要记住就得有规律，有规律就能破！）未泄露过、经常换 记不住，输入也不方便，可用性很差！“能记住的密码都是弱密码”以用户为中心的身份管理以网站为中心-企业为中心（SSO）-用户为中心！基于可信用户代理的多方闭环网络身份认证机制 兼

6、容传统密码机制，成本低、易于部署 密码绕过浏览器，直发服务器，杜绝被劫持、被钓鱼 注册随机账号，做到de-link，防止被撞库 生成并常换随机强密码，防止被破解 密码不重用，防止被撞库 配套密码管理器，密码再也不用记（“烧脑”）、避免“密码疲劳”传统B/S架构双向网络身份认证机制多方闭环网络身份认证机制（可信服务器代理版）多方闭环网络身份认证机制（插件/扩展版）自动注册首次扫码会自动注册一个随机账户并生成强密码。以后再扫码就自动登录。希望可以取消验证码，降低上网门槛。自动登录功能自动更换密码1.网页上启动更换密码服务，显示二维码2.登录易App扫码后自定生成新密码3.登录易App提交新旧密码，

7、网页收到新旧密码后提示确认继续修改密码4.确认后，网页提示密码已经更新5.手机上提示保存新密码，点击“保存修改”！既 方便又 安全！兼容传统密码机制可靠、易部署密码不用记 自动注册、登录、修改 密码管理集中化登录信息移动化 特别适合不带键盘的智能设备登录自动备份、同步可下载临时App应急 不同网站的账户没有关联不可能遭撞库 保护隐私（无法知道是同一个人）绕过浏览器比密码管理器自动填写表单更安全 防“钓鱼”主密码保护可选用指纹、其他生物信息或字符密码验证自己合法使用所属设备可信用户代理 检测钓鱼及钓鱼目标（Phishing Target）从可疑网页中发现蛛丝马迹 顺藤摸瓜发现钓鱼目标-被假冒的真

8、网站 如果可疑网页与目标不相同，则判断可疑网页为钓鱼 IEEE Internet Computing（2012）编辑、审评员一致好评：“创新、聪明、妙趣Intriguing、扎实、实用”寻找被钓鱼攻击目标的方法示意图I:缩小包围圈II:锁定目标1.给定的一个可疑网页2.寻找有关联的网页集合3.构建由关联网页组成的寄生社区4.在寄生社区中锁定钓鱼攻击的目标，即被假冒的真网页关联关系关联关系直接关联关系链接报告（Cova）：42%的钓鱼网页包含指向真实网页的链接我们研究：其中高达85.6%包含明确指向真实网页的超链接间接关联关系搜索引擎中排序检索词:标题,meta标签关键词,主体关键词文本/语义相

9、似度非对称性相似度(Tversky)示例高准确率反网络钓鱼方法反网络钓鱼方法钓鱼检测钓鱼检测准确率数据集准确率数据集本方法99.20%10005网页Lius method100%8网页CANTINA90%100 网页Pans method94.70%279 网页Xiangs method90.06%7906 网页数据集10005 假冒钓鱼网页3个月收集自PhishTank钓鱼检测准确率99.2%被假冒目标识别率92.1%误报率Alex Top 1,000,000Yahoo Random Links未过滤误报率2.2%过滤后误报率1%云端假冒钓鱼检测引擎-http:/ 安全扫码器 请关注“安心扫”公众号网络身份安全的建议前台匿名、后台实名自动检测各种漏洞、攻击及威胁，强加密数据库准备好数据泄露后的应对策略使用网络身份安全措施提高个人及网站的网络身份安全购买网络安全保险谢 谢！