身份认证是保护用户信息安全的主要手段。口令认证因为其部署方便、使用灵活等特点成为互联网中最广泛使用的认证方式。然而基于口令的认证系统却存在许多安全性和可用性问题。由于人脑记忆有限,人类难以记忆复杂却安全的口令,而倾向于使用简单但脆弱的口令,这导致了口令认证系统的脆弱性。基于保护口令认证系统安全性的目的,我们调研了现有的口令强度评价技术和口令加强技术,发现这些主流的口令安全防护技术已经难以应对逐渐智能化的口令猜测攻击带来的威胁。因此,我们试图从提高口令强度评价的准确性、增强弱口令的安全强度两方面入手,提高口令认证系统的安全性,我们的主要工作如下:1.对大规模口令泄露数据进行统计分析,研究各个口令数据集的基本特征,包括口令长度分布、口令字符组成分布等;通过邮箱匹配串联同一用户在不同服务网站中使用的口令数据、个人信息数据。我们基于上述用户数据研究用户口令重用、口令中使用个人信息等脆弱性口令构造行为。2.基于整合的口令数据和个人信息数据,分析在单一服务商情景和跨服务商情景下口令间的相似性,提出一种基于弱口令递推的口令强度评价算法。该算法通过弱口令集构造的BK-tree来描述口令之间的相似性,然后扩展概率上下文无关文法标签以刻画用户复用弱口令的行为,能有效识别与弱口令相似的口令,提升口令强度评价的准确性。一系列评测实验验证了我们口令强度评价方法的有效性。3.提出一种基于语义变换的口令加强方法。建立口令词汇数据库以对口令中的语义进行分析,通过口令语义变换对弱口令进行修饰,在保证口令可用性前提下提高弱口令的安全强度。我们解决了现有口令加强方法无法抵御复合口令猜测攻击的问题。一系列评测实验验证了我们口令加强方法的有效性。