科创中国

几乎所有的主流网站都采用了某种口令强度评测方法(Password strength meter，简称PSM)，对用户提交的口令进行评测并反馈评测结果。口令强度评测方法的好坏不仅关系着众多网站的安全性，而且影响着数以亿计用户的体验。但是当前主流的口令评测器PSM都建立在一个不符合实际的假设之上：用户在注册时，从无到有开始全新构造一个口令。针对“如何准确地评估用户口令的强度”这一现实问题，基于对用户口令构造真实行为的深刻理解，提出了一个简单而有效的口令强度评价方法fuzzyPSM。通过引入上下文无关文法，fuzzyPSM成功建模了用户的口令重用行为，这为模拟现实世界中用户构造口令的行为迈出了重要一步。一系列基于大规模真实口令的实验表明，fuzzyPSM优于现有的主流PSM，尤其是在评测弱口令方面。

口令强度评价方法fuzzyPSM，经德国学者Golla-Dürmuth在国际顶级会议ACM CCS'18论文中公开评测，在所有45个方案81个变种包括Google、Microsoft、Facebook、腾讯的方案中排名第1，准确度最高。

现存的口令强度评价系统设计不合理，一方面降低了用户的工作效率，另一方面可能迫使用户采用危害系统安全性的应对措施。为了解决此问题，学术界已有口令强度评价算法研究的成功转化先例，如，Wheeler于国际顶级会议USENIX’16所提出的Zxcvbn口令强度评价算法已成功部署在Dropbox（网络同步工具）和WordPress（个人博客系统）的服务器端。然而，该算法没有考虑用户口令重用行为，且经德国学者Golla-Dürmuth在国际顶级会议ACM CCS'18论文中公开评测，准确度低于本项目所提出的fuzzyPSM。

南开大学是国内学科门类齐全的综合性、研究型大学之一，在长期办学过程中，形成了文理并重、基础宽厚、突出应用与创新的办学特色。学校有专业学院27个，学科门类覆盖文、史、哲、经、管、法、理、工、农、医、教、艺等。有国家“双一流”建设学科6个，一级学科国家重点学科6个（覆盖35个二级学科），二级学科国家重点学科9个，一级学科天津市重点学科32个。在第四轮全国学科评估中，14个学科进入前10%，其中5个学科进入前5%；在全球学科评价体系中，前1%学科15个，化学和材料科学进入前1‰。

将fuzzyPSM口令强度评价系统部署于网站服务器端，即可在用户设置口令时，对口令强度进行准确实时反馈，阻止弱口令的生成，从而有效降低用户账户被盗风险，降低服务器维护成本。

技术合作，攻克企业技术难题。