لا يزال المصادقة القائمة على كلمات المرور منتشرة على نطاق واسع بسبب بساطتها واعتياد المستخدمين عليها. ومع ذلك، فإن كلمات المرور التي يختارها المستخدمون معروفة بأنها متوقعة، وغالبًا ما تكون قصيرة، أو مبنية على معلومات شخصية، أو معادة الاستخدام عبر المنصات. هذا التوقع يخلق ثغرة أمنية كبيرة. السؤال الأساسي الذي تتم معالجته في هذا العمل هو ما إذا كانت نماذج التعلم العميق يمكنها أن تتعلم بشكل فعال وتنسخ الأنماط المعقدة، وغالبًا ما تكون لا واعية، الكامنة في كلمات المرور التي يختارها البشر لتوليد مرشحات لكلمات مرور جديدة وواقعية لأغراض اختبار وتحليل الأمان.
تتجاوز هذه الورقة البحثية أساليب تخمين كلمات المرور التقليدية القائمة على القواعد والاحتمالات (مثل سلاسل ماركوف، وقواعد النحو الخالية من السياق الاحتمالية) من خلال التحقيق في مجموعة من بنيات التعلم العميق الحديثة القائمة على البيانات. الهدف هو تقييم إمكاناتها في اكتشاف هياكل ودلالات كلمات المرور بشكل مستقل من مجموعات بيانات التسريبات الكبيرة دون الحاجة إلى هندسة ميزات يدوية مكثفة.
تاريخيًا، اعتمد تخمين كلمات المرور على التحليل الإحصائي لتسريبات كلمات المرور (مثل استخدام قواعد John the Ripper، أو أقنعة Hashcat، أو قواعد النحو الخالية من السياق الاحتمالية كما ابتكرها Weir وآخرون). تتطلب هذه الأساليب معرفة خبيرة لصياغة قواعد التحويل والقواميس. فهي فعالة ولكنها محدودة بإبداعية مصمم مجموعة القواعد وتواجه صعوبة في التعميم على أنماط جديدة غير مرئية من قبل.
أظهرت النقاط البارزة الحديثة في معالجة اللغات الطبيعية، مدفوعة بنماذج مثل GPT وBERT وTransformers، قدرة الشبكات العصبية العميقة على نمذجة توزيعات اللغة المعقدة. تشمل التقنيات الرئيسية الممكنة ما يلي:
تقيِّم الدراسة مجموعة واسعة من نماذج التعلم العميق التوليدية المُكيّفة للطبيعة المتسلسلة والمتقطعة لسلاسل كلمات المرور.
يتم استخدام نماذج مثل Transformers أو الشبكات العصبية المتكررة المعززة بالانتباه لالتقاط العلاقات السياقية بين الأحرف في كلمة المرور. بالنسبة لتسلسل الأحرف $x_1, x_2, ..., x_T$، يحسب الانتباه متجه سياق $c_i$ لكل خطوة $i$ كمجموع موزون لجميع الحالات المخفية: $c_i = \sum_{j=1}^{T} \alpha_{ij} h_j$، حيث $\alpha_{ij}$ هو وزن الانتباه. هذا يسمح للنموذج بتعلم، على سبيل المثال، أن رقمًا ما غالبًا ما يتبع نمط حرف معين.
تتعلم المرمِّزات الذاتية القياسية مُرمِّزًا $E(x)$ يقوم بتعيين كلمة مرور $x$ إلى رمز كامن $z$، ووحدة فك تشفير $D(z)$ تعيد بناء $\hat{x}$. يتم تدريب النموذج لتقليل خسارة إعادة البناء $\mathcal{L}_{rec} = ||x - D(E(x))||^2$. بينما تكون مفيدة للتمثيل، لا توفر المرمِّزات الذاتية القياسية فضاءً كامنًا منظمًا للتوليد السلس.
تضع الشبكات التوليدية التنافسية (GANs) مُولِّدًا $G$ في مواجهة مُميَّز $D$. يأخذ $G$ ضوضاء عشوائية $z$ ويحاول توليد كلمات مرور واقعية $G(z)$، بينما يحاول $D$ التمييز بين كلمات المرور الحقيقية والمزيفة. يتم تدريبهما من خلال لعبة minimax: $\min_G \max_D V(D, G) = \mathbb{E}_{x\sim p_{data}}[\log D(x)] + \mathbb{E}_{z\sim p_z}[\log(1 - D(G(z)))]$. يُعرف تدريب GANs على النص المتقطع بأنه صعب للغاية، وغالبًا ما يتطلب تقنيات مثل Gumbel-Softmax أو التعلم المعزز.
تقدم هذه الورقة البحثية بنيات VAE جديدة لتوليد كلمات المرور. تفرض VAE بنية احتمالية على الفضاء الكامن. ينتج المُرمِّز معلمات (متوسط $\mu$ وتباين $\sigma^2$) لتوزيع غاوسي: $q_\phi(z|x) = \mathcal{N}(z; \mu_\phi(x), \sigma^\phi(x))$. يتم أخذ عينة من رمز كامن: $z = \mu + \sigma \odot \epsilon$، حيث $\epsilon \sim \mathcal{N}(0, I)$. ثم تقوم وحدة فك التشفير بإعادة بناء كلمة المرور من $z$. دالة الخسارة هي الحد الأدنى للأدلة (ELBO):
$\mathcal{L}_{VAE} = \mathbb{E}_{q_\phi(z|x)}[\log p_\theta(x|z)] - \beta \cdot D_{KL}(q_\phi(z|x) || p(z))$
حيث $p(z) = \mathcal{N}(0, I)$ هو التوزيع السابق. الحد الأول هو خسارة إعادة البناء، والثاني هو تباعد كولباك-ليبلر الذي ينظم الفضاء الكامن. تحدد المعلمة $\beta$ المفاضلة. يتيح هذا الفضاء الكامن المنظم ميزات قوية مثل الاستيفاء بين كلمات المرور وأخذ العينات المستهدفة.
تم إجراء التجارب على خمس مجموعات بيانات معروفة وحقيقية لتسريبات كلمات المرور لضمان المتانة والقابلية للتعميم. تختلف هذه المجموعات في الحجم والمصدر (وسائل التواصل الاجتماعي، الألعاب، الشبكات المهنية) والأصل الثقافي، مما يوفر بيئة اختبار متنوعة لأداء النموذج.
RockYou: ~32 مليون كلمة مرور، من موقع ألعاب.
LinkedIn: ~60 مليون تجزئة (مفكوكة)، سياق مهني.
Youku/Zomato/Pwnd: تسريبات إضافية توفر تنوعًا في الهيكل وقاعدة المستخدمين.
تحقق نماذج VAE المقترحة معدل مطابقة من الطراز الأول أو تنافسي للغاية عبر جميع مجموعات البيانات، خاصة في المراتب المبكرة (مثل Match Rate@10M). فهي تتفوق باستمرار أو تتطابق مع GANs التقليدية والمرمِّزات الذاتية الأبسط. تظهر النماذج القائمة على الانتباه أيضًا أداءً قويًا، خاصة في التقاط تبعيات الأحرف المعقدة.
تفسير الرسم البياني (افتراضي): سيظهر مخطط شريطي "معدل المطابقة@10 مليون" على المحور الصادي لكل نموذج (VAE، GAN، Attention-RNN، Markov) عبر مجموعات البيانات الخمس على المحور السيني. ستكون أشرطة VAE هي الأطول أو من بين الأطول لكل مجموعة بيانات، مما يوضح أدائها القوي. يمكن أن يظهر مخطط خطي معدل المطابقة التراكمي مع زيادة عدد التخمينات، حيث يرتفع منحنى VEA بشكل حاد في البداية.
تميل VAE وGANs إلى توليد نسبة أعلى من كلمات المرور الفريدة مقارنة بالنماذج الأبسط، مما يشير إلى تعميم أفضل. ومع ذلك، تعاني GANs أحيانًا من "انهيار النمط"، حيث تولد مجموعة محدودة من كلمات المرور، وهي مشكلة يتم تخفيفها في إطار VAE من خلال التوزيع السابق الكامن المنظم.
ميزة رئيسية لـ VAE هي فضاءها الكامن المستمر والمنظم. توضح الورقة البحثية:
ينقل هذا توليد كلمات المرور من التخمين العشوائي إلى عملية أكثر تحكمًا واستكشافية.
أهم مساهمة في الورقة البحثية ليست مجرد نموذج آخر يكسر كلمات المرور؛ بل هي الإدخال الرسمي
المنطق البحثي سليم: 1) الاعتراف بفشل الأنظمة القائمة على القواعد في التعميم (نقطة ألم معروفة في الفرق الحمراء). 2) الاستفادة من قوة التمثيل في التعلم العميق (مثبتة في معالجة اللغات الطبيعية). 3) اختيار بنية VAE لاستقرارها مقارنة بـ GANs وفضائها الكامن المنظم - وهو عامل تمييز حاسم. النتيجة واضحة: ستشبه أدوات كسر كلمات المرور المستقبلية أقل فأ أقل Hashcat وأكثر فأ أكثر أداة فنية للذكاء الاصطناعي، حيث يمكن للمهاجم تحريك "مقياس التعقيد" أو مزج المفاهيم ("الرئيس التنفيذي" + "سنة الميلاد") لتوليد مرشحات عالية الاحتمال. كما لوحظ في الورقة البحثية المؤثرة "CycleGAN"، يمكن لقوة الترجمة غير المقترنة إنشاء تعيينات مقنعة؛ هنا، التعيين هو من توزيع غاوسي بسيط إلى التوزيع المعقد لكلمات مرور البشر.
نقاط القوة: التقييم الموحد عبر مجموعات بيانات متعددة هو نموذجي ومطلوب بشدة في هذا المجال. يركز التركيز على ميزات الفضاء الكامن لـ VAE (الاستيفاء، أخذ العينات المستهدف) على التفكير المستقبلي وله تطبيقات ملموسة للتدقيق الأمني الاستباقي. الأداء قوي.
نقطة ضعف حرجة: الورقة البحثية، مثل معظم الأوراق في هذا المجال، تعامل المشكلة على أنها إحصائية بحتة وغير متصلة بالإنترنت. إنها تتجاهل القيود المتصلة بالإنترنت للهجمات في العالم الحقيقي: تحديد المعدل، إقفال الحسابات، وأنظمة كشف التسلل. إن توليد 10 ملايين مرشح عديم الفائدة إذا كان بإمكانك تجربة 10 فقط. الجبهة التالية هي التخمين الكفؤ في الاستعلامات، ربما باستخدام التعلم المعزز لنمذجة حلقة التغذية الراجعة المتصلة بالإنترنت، وهو نهج ألمحت إليه أبحاث من مؤسسات مثل OpenAI في سياقات أمنية أخرى.
لـ المدافعين (كبار مسؤولي أمن المعلومات، مهندسي الأمن):
إطار عمل لتقييم نموذج توليد كلمات المرور:
مثال حالة - محاكاة هجوم مستهدف:
السيناريو: مُكلَّفة الفريق الأحمر باختبار مرونة شبكة مؤسسية. حصلوا على قائمة بأسماء الموظفين من LinkedIn.
النهج التقليدي: استخدام القواعد لتحويل الأسماء (jdoe، j.doe، JaneDoe2023!، إلخ.).
النهج المعزز بـ VAE:
1. تدريب أو ضبط دقيق لـ VAE على مجموعة بيانات ذات صلة (مثل تسريبات كلمات المرور المؤسسية).
2. لكل موظف "Jane Doe"، ترميز كلمات المرور الأساسية الشائعة ("jane"، "doe"، "jd") في الفضاء الكامن.
3. إجراء مسار موجه في الفضاء الكامن حول هذه النقاط، بتوجيه من مصنف ثانوي مدرب على التعرف على كلمات المرور "ذات الطابع المؤسسي".
4. فك تشفير النقاط الكامنة المستكشفة لتوليد قائمة مرشحة صغيرة (مثل 1000) وموجهة للغاية لكل مستخدم، مما يزيد من احتمالية النجاح ضمن حدود استعلام صارمة.
يوضح هذا الانتقال من التخمين العشوائي الواسع إلى التخمين الدقيق والذكي.