لا تزال كلمات المرور آلية المصادقة السائدة على الرغم من نقاط الضعف الأمنية المعروفة. يميل المستخدمون إلى إنشاء كلمات مرور تتبع أنماطًا يمكن التنبؤ بها، مما يجعلها عرضة لهجمات التخمين. لا يمكن قياس أمان هذه الأنظمة من خلال المعلمات التشفيرية التقليدية، بل يتطلب نمذجة دقيقة لسلوك الخصم. تتناول هذه الورقة فجوة حرجة: التحيز الكبير في القياس الذي يحدث عندما يستخدم الباحثون هجمات قاموسية جاهزة التكوين وثابتة لا تستطيع التقاط الاستراتيجيات الديناميكية القائمة على الخبرة التي يستخدمها المهاجمون في العالم الحقيقي.
يستخدم مخترقو كلمات المرور في العالم الحقيقي هجمات قاموسية عملية وعالية الإنتاجية مع قواعد تشويه (مثل استخدام أدوات مثل Hashcat أو John the Ripper). يعتمد فعالية هذه الهجمات على تكوينات مضبوطة بخبرة - أزواج محددة من قوائم الكلمات ومجموعات القواعد - تم صياغتها عبر سنوات من الخبرة. التحليلات الأمنية التي تعتمد على التكوينات الافتراضية تبالغ بشدة في تقدير قوة كلمة المرور، مما يخلق تحيزًا في القياس يقوض صحة الاستنتاجات الأمنية.
المشكلة الأساسية هي الفجوة بين نماذج كلمات المرور الأكاديمية وممارسات الاختراق الواقعية. أظهرت دراسات مثل Ur et al. (2017) أن مقاييس قوة كلمة المرور حساسة للغاية لنموذج المهاجم المستخدم. يؤدي استخدام نموذج ضعيف أو عام إلى المبالغة في تقدير الأمان، مما يخلق شعورًا زائفًا بالأمان.
هجمات القاموس التقليدية ثابتة. فهي تطبق مجموعة ثابتة من قواعد التشويه (مثل لغة leet، إضافة أرقام لاحقة) على قائمة كلمات ثابتة بترتيب محدد مسبقًا. تفتقر إلى القدرة على التكيف التي يتمتع بها الخبراء البشريون الذين يمكنهم:
يقترح المؤلفون نهجًا ذا شقين لأتمتة استراتيجيات التخمين الشبيهة بالخبراء، مما يقلل الاعتماد على التكوين اليدوي والمعرفة المجالية.
يتم تدريب شبكة عصبية عميقة (DNN) لنمذجة التوزيع الاحتمالي لكلمات المرور. الابتكار الرئيسي هو تدريب هذا النموذج ليس فقط على مجموعات بيانات كلمات المرور الخام، ولكن على تسلسلات قواعد التشويه التي يطبقها المخترقون الخبراء على الكلمات الأساسية. هذا يسمح للشبكة العصبية العميقة بتعلم "الكفاءة" الخاصة بالخصم - التحويلات المحتملة وترتيبها الفعال.
بدلاً من مجموعة قواعد ثابتة، يستخدم الهجوم استراتيجية تخمين ديناميكية. توجه الشبكة العصبية العميقة توليد كلمات مرور مرشحة من خلال تطبيق التحويلات بشكل تسلسلي مع احتمالات مشروطة بالحالة الحالية للكلمة وسياق الهجوم. هذا يحاكي قدرة الخبير على تكييف مسار الهجوم في الوقت الفعلي.
يمكن تصور النظام كمولد احتمالي. بالنظر إلى كلمة أساسية $w_0$ من قاموس، يولد النموذج كلمة مرور $p$ من خلال تسلسل من $T$ تحويلات (قواعد تشويه $r_t$). يتم نمذجة احتمالية كلمة المرور على النحو التالي: $$P(p) = \sum_{w_0, r_{1:T}} P(w_0) \prod_{t=1}^{T} P(r_t | w_0, r_{1:t-1})$$ حيث $P(r_t | w_0, r_{1:t-1})$ هي احتمالية تطبيق القاعدة $r_t$ بالنظر إلى الكلمة الأولية وتاريخ القواعد السابقة، كما يخرجها نموذج الشبكة العصبية العميقة. هذه الصياغة تسمح بتطبيق قواعد غير خطية ومراعية للسياق.
أُجريت التجارب على عدة مجموعات بيانات كبيرة لكلمات مرور من العالم الحقيقي (مثل RockYou، LinkedIn). تمت مقارنة النموذج المقترح مع أحدث نماذج كلمات المرور الاحتمالية (مثل نماذج ماركوف، PCFGs) وهجمات القاموس القياسية مع مجموعات قواعد شائعة (مثل best64.rule، d3ad0ne.rule).
المقياس الرئيسي هو رقم التخمين - عدد التخمينات المطلوبة لاختراق نسبة معينة من كلمات المرور. أظهرت النتائج أن هجوم القاموس الديناميكي المدعوم بالشبكة العصبية العميقة:
وصف الرسم البياني: سيظهر مخطط خطي النسبة المئوية التراكمية لكلمات المرور المخترقة (المحور الصادي) مقابل لوغاريتم رقم التخمين (المحور السيني). سيرتفع منحنى الطريقة المقترحة بشكل أسرع وأعلى بكثير من منحنيات PCFG وماركوف وهجمات القاموس الثابتة، خاصة في مراتب التخمين الأولى (مثل أول 10^9 تخمين).
تقوم الورقة بتحديد كمية تقليل التحيز في القياس. عند تقييم قوة سياسة كلمة المرور، قد يستنتج استخدام هجوم ثابت أن 50% من كلمات المرور تقاوم 10^12 تخمينًا. قد يظهر الهجوم الديناميكي المقترح، الذي ينمذج خصمًا أكثر قدرة، أن 50% يتم اختراقها بواسطة 10^10 تخمينات - وهذا يمثل مبالغة بمقدار 100 ضعف من قبل النموذج الثابت. يسلط هذا الضوء على الأهمية البالغة لنمذجة الخصم الدقيقة لاتخاذ قرارات السياسة.
السيناريو: يريد فريق أمني تقييم مرونة كلمات مرور قاعدة مستخدميه ضد هجوم متطور ومستهدف.
النهج التقليدي (المتحيز): يقومون بتشغيل Hashcat مع قائمة الكلمات rockyou.txt ومجموعة القواعد best64.rule. يذكر التقرير: "80% من كلمات المرور ستنجو من مليار تخمين."
الإطار المقترح (المخفض التحيز):
الفكرة الأساسية: تقدم هذه الورقة ضربة جراحية لعيب منتشر ولكن غالبًا ما يتم تجاهله في أبحاث الأمن السيبراني: تحيز "فجوة الخبرة". لسنوات، تم بناء تقييمات قوة كلمة المرور الأكاديمية على رمال متحركة - باستخدام نماذج مهاجم مبسطة وثابتة لا تشبه إلى حد كبير الخبراء البشريين المتكيفين المدعومين بالأدوات في الواقع. Pasquini وزملاؤه لا يقدمون مجرد خوارزمية أفضل؛ إنهم يجبرون المجال على مواجهة نقطة العمى المنهجية الخاصة به. الاختراق الحقيقي هو صياغة المشكلة ليس على أنها "اختراق أفضل لكلمات المرور" ولكن على أنها "محاكاة أفضل للخصم"، وهو تحول دقيق ولكنه حاسم في المنظور يشبه الانتقال من المصنفات البسيطة إلى الشبكات التوليدية التنافسية (GANs) في الذكاء الاصطناعي، حيث يتم تعريف جودة المولد من خلال قدرته على خداع المُميّز.
التدفق المنطقي: الحجة خطية ومقنعة. 1) التهديد الحقيقي = هجمات ديناميكية مضبوطة بخبرة. 2) الممارسة البحثية الشائعة = هجمات ثابتة وجاهزة. 3) لذلك، يوجد تحيز كبير في القياس. 4) الحل: أتمتة تكوين الخبير وقدرته على التكيف باستخدام الذكاء الاصطناعي. استخدام الشبكة العصبية العميقة لنمذجة تسلسلات القواعد أنيق. إنه يقر بأن المعرفة الخبيرة ليست مجرد حقيبة من القواعد، ولكنها عملية احتمالية - قواعد نحوية للاختراق. يتوافق هذا مع نجاح نماذج التسلسل مثل المحولات (Transformers) في معالجة اللغة الطبيعية، مما يشير إلى أن المؤلفين يطبقون دروسًا من مجالات الذكاء الاصطناعي المجاورة بشكل فعال.
نقاط القوة والضعف: القوة الرئيسية هي التأثير العملي. هذا العمل له فائدة فورية لاختباري الاختراق ومدققي الأمن. كما أن نهجه القائم على الشبكة العصبية العميقة أكثر كفاءة في استخدام البيانات لتعلم الأنماط المعقدة من طرق PCFG القديمة. ومع ذلك، يتربص عيب كبير في اعتمادية بيانات التدريب. يتم تعلم "الكفاءة" للنموذج من سلوك الخبراء الملاحظ (تسلسلات القواعد). إذا جاءت بيانات التدريب من مجتمع محدد من المخترقين (مثل أولئك الذين يستخدمون Hashcat بطريقة معينة)، فقد يرث النموذج تحيزاتهم ويغفل عن استراتيجيات جديدة. إنه شكل من أشكال التقليد، وليس ذكاءً استراتيجيًا حقيقيًا. علاوة على ذلك، كما هو مذكور في أدبيات التعلم الموحد (مثل عمل Google AI)، فإن الآثار المترتبة على الخصوصية لجمع مثل هذه البيانات الحساسة "لتتبع الهجوم" للتدريب ليست تافهة وغير مستكشفة بشكل كافٍ.
رؤى قابلة للتنفيذ: للممارسين في الصناعة: توقفوا عن استخدام مجموعات القواعد الافتراضية لتقييم المخاطر. قوموا بدمج النماذج الديناميكية المراعية للسياق مثل هذا النموذج في خطوط أنابيب اختبار الأمان الخاصة بكم. للباحثين: تحدد هذه الورقة معيارًا جديدًا. يجب التحقق من صحة نماذج كلمات المرور المستقبلية ضد أعداء متكيفين، وليس أعداء ثابتين. الحدود التالية هي إغلاق الحلقة - إنشاء مدافعين بالذكاء الاصطناعي يمكنهم تصميم كلمات مرور أو سياسات قوية ضد هذه الهجمات الديناميكية المدعومة بالذكاء الاصطناعي، والتحرك نحو إطار تطور مشترك تنافسي مشابه لـ GANs، حيث تتحسن نماذج المهاجم والمدافع بالتزامن. عصر تقييم كلمات المرور في فراغ ثابت قد انتهى، أو يجب أن ينتهي.