网络空间安全问题持续受学术领域和工业界的广泛热点关注。在网络空间复杂且激烈的攻防过程中，常伴随着口令认证系统的破解和加固。用户口令作为最常用的身份认证因子，几乎与所有网络用户密切相关，甚至与国家安全紧密关联。当前基于口令的认证系统面临着严重挑战，主要包括口令猜测攻击和钓鱼攻击。因此如何发现用户口令的弱点，并提出有效防御方法是当前网络空间安全领域的研究热点。为此，本项目： 1. 系统性发现中文用户口令长期存在的系列特有安全弱点，为保障我国用户在网络空间中的口令安全指明了有效途径。该成果构建数据驱动的用户口令特征分析方法，对超过1亿个真实明文口令深入分析，发现中文用户口令具有显著的数字偏好和汉语拼音等区域特征，并发现用户口令与邮箱地址等显著相关。利用这些发现可极大提高口令猜测方法的攻击效率。中国密码学会编著的《2014-2015年度密码学学科发展报告》将该项成果列入“近年来，我国研究人员在电子认证技术研究方面，取得了一些国际性突破”。该成果应用到当前国际流行的口令强度度量器中。 2. 首次提出站内重用和跨站重用两种用户口令重用行为类型，并发现用户重用口令的显著行为规律。该成果通过对四百多万组真实口令的量化分析，发现用户在站内口令重用的概率显著高于跨站口令重用约一倍的行为规律。该成果为揭示撞库攻击危害，有效应对口令重用问题提供了基础数据支撑和理论依据。该成果应用到面向流行网站的口令重用通知设计中。 3.构建个人自动白名单方法、基于签名的女巫攻击检测方法，以及量化风险和收益自适应的动态多因子绑定方法，发现可有效保护用户口令免受钓鱼和猜测等常见攻击,提升用户在网络空间中包括用户口令在内的数字身份安全性。IEEE Communications Surveys & Tutorials(2017年SCI影响因子20.23)发表综述论文，将提出的自动白名单方法作为反钓鱼攻击方向的代表性成果，以近整页篇幅做详细介绍。本项目共计发表中国计算机学会CCF A类会议期刊论文4篇(CCF A类会议期刊是指“国际上极少数的顶级刊物和会议，鼓励我国学者去突破”的会议期刊)，累计被包括ACM CCS、IEEE S&P、IEEE TIFS等领域内的权威会议期刊论文引用达300余次，其中SCI他引54次。所列8篇代表性他人引文中有7篇为CCF A类会议期刊，另一篇为SCI影响因子为20.23的权威期刊。发表在USENIX Security 2014上的代表性论文于2016年获上海市计算机学会信息安全最佳论文奖。两位完成人分获国家青年千人计划资助。现有成果已在有关部门得到应用。在上述研究工作的基础上，本项目获国家自然科学基金联合重点等多项科研项目支持，进一步开展用户口令安全理论和技术方面的研究。