1. 摘要：

这篇论文主要介绍了使用机器学习实现对统一用户在不同网站之间密码的猜测攻击，在已知用户在某一个网站的密码后，可以通过规则变换猜测出其在另一个网站的密码。

使用技术和知识：规则变换，机器学习，朴素贝耶斯学习，监督学习

2.具体细节：

使用了在线密码猜测（导致后面结果数据猜测数偏少）

首先获取已经公开的密码数据，由于这些密码是Hash值，所以需要先对数据进行破解。得到明文密码后，找出同一用户在多个网站注册的数据，得到密码对，后面对这些密码进行处理操作。

制定一系列的变换规则应用在密码对上，查看能否通过应用规则从一个密码得到另一个密码，具体规则： 1.是否相同 2.是否为子串 3.是否大写 4.是否为黑客文 5.是否为反序 6.是否为顺序串 7.是否有公共子串 8.前面规则的混合结果是超过一半的密码对都可以通过规则变换得到，满足规则变换。

针对不同人群，不同国家使用的规则是否不同展开了研究，发现并没有太大的区别。

3.密码猜测算法

思路：针对每一个密码对，对其应用不同的规则（上面已提到），规则顺序会根据密码的类型来变化，应用每个规则都会产生多个候选结果，通过机器学习训练得到针对每个密码都有最个性化的规则顺序以及最优的规则内部的候选结果。

结果：猜测密码过程有两种顺序： 1.先分析一个规则内部的所有结果，再移动到下一个规则； 2.分析规则内部的第一个结果后，直接移动到下一个规则；最终结果显示第1种顺序在猜测数较小时有优势（因为规则顺序是优化过的），但若猜测数较大，则第二种顺序有优势，且结果反映第1种顺序的结果是随猜测数上升呈阶梯形上涨，这也与其思路有关，同时与JTR的结果图形很像，因为二者查询的思路差不多。