PESrank: تقدير قابلية تخمين كلمات المرور عبر الإنترنت من خلال التقدير متعدد الأبعاد للرتبة

1. المقدمة

تقدم هذه الورقة البحثية PESrank، وهو مقدر جديد لقوة كلمة المرور مصمم لنمذجة سلوك كاسر قوي لكلمات المرور بدقة من خلال حساب رتبة كلمة المرور في ترتيب احتمالية أمثل. يعالج الحاجة الحرجة لتقديم ملاحظات حول قوة كلمة المرور في الأنظمة عبر الإنترنت تكون سريعة ودقيقة وقابلة للشرح.

2. منهجية PESrank

يعيد PESrank صياغة تقدير قوة كلمة المرور كمشكلة تقدير رتبة متعددة الأبعاد، مستلهمًا ذلك من تقنيات تحليل هجمات القنوات الجانبية المستخدمة في علم التشفير.

3. التنفيذ التقني والنموذج الرياضي

4. النتائج التجريبية والأداء

5. إطار التحليل وحالة تطبيقية مثال

منظور المحلل: الفكرة الأساسية، التدفق المنطقي، نقاط القوة والضعف، رؤى قابلة للتنفيذ

الفكرة الأساسية: PESrank ليس مجرد تحسين تدريجي آخر في مقاييس كلمات المرور؛ إنه تحول نموذجي أساسي. إنه ينجح في نقل الإطار الكمي الصارم لتقدير رتبة القناة الجانبية - وهو ركن أساسي في تقييم أجهزة التشفير عالية المخاطر - إلى العالم الفوضوي لكلمات المرور التي يختارها البشر. هذه الخطوة من التخمين التقريبي إلى تحليل التشفير الاحتمالي هي ضربة بارعة. إنه يعامل كسر كلمة المرور ليس كمشكلة لغوية أو مطابقة أنماط، ولكن كمشكلة بحث في فضاء احتمالي منظم، متوافقًا تمامًا مع كيفية عمل الكاسرات الحديثة مثل Hashcat و John the Ripper مع قواعد التشويه وسلاسل ماركوف.

التدفق المنطقي: المنطق اختزالي بأناقة. 1) تفكيك كلمات المرور إلى ميزات مستقلة وذات صلة بالكاسر (كلمات أساسية، تحويلات). 2) تعلم نموذج احتمالي بسيط لكل ميزة من بيانات الاختراق. 3) إعادة بناء قابلية تخمين كلمة المرور عن طريق حساب عدد التركيبات الأكثر احتمالاً الموجودة. يتجاوز هذا الحاجة إلى النماذج الضخمة وغير الشفافة للشبكات العصبية (مثل تلك في [30, 37]) أو مجموعات القواعد أحيانًا غير المألوفة لـ PCFGs [41]. افتراض الاستقلالية بين الأبعاد هو قفزته التبسيطية الرئيسية، حيث يضحى ببعض الدقة في النمذجة مقابل مكاسب هائلة في السرعة وقابلية الشرح - وهي مقايضة تبدو مواتية للغاية في الممارسة العملية.

نقاط القوة والضعف: نقاط قوته هائلة: السرعة الخاطفة وقابلية الشرح المتأصلة هما ميزتان قاتلتان للتبني في العالم الحقيقي، حيث يعالجان أكبر نقطتين مؤلمتين في النماذج الأكاديمية. خدعة التخصيص ذكية وعملية. ومع ذلك، يكمن عيب حرج في افتراض الاستقلالية. على الرغم من كفاءته، فإنه يتجاهل الارتباطات (على سبيل المثال، من المرجح أن تحدث أنماط معينة للأحرف الكبيرة مع كلمات أساسية معينة). قد يؤدي هذا إلى عدم دقة في الرتبة لكلمات المرور المعقدة والمترابطة. علاوة على ذلك، فإن دقته مرتبطة بطبيعتها بجودة واتساع بيانات التدريب لكل بُعد، وهي تبعية يشترك فيها مع جميع النماذج القائمة على البيانات. قد يواجه صعوبة في استراتيجيات إنشاء كلمات المرور الجديدة حقًا والتي لم تُشاهد في الاختراقات السابقة.

رؤى قابلة للتنفيذ: بالنسبة لفرق الأمن، الرسالة واضحة: تخلوا عن مقاييس LUDS. يوضح PESrank أن الملاحظات الدقيقة للكاسر والفورية أصبحت ممكنة تشغيليًا الآن. مسار التكامل الموضح - تضمينه في بوابة تسجيل - هو مخطط. بالنسبة للباحثين، يكمن المستقبل في النماذج الهجينة. اجمع بين إطار عمل PESrank الفعال والقابل للشرح مع مكون عصبي خفيف لنمذجة الارتباطات بين الأبعاد، على غرار كيفية استخدام نماذج الرؤية مثل CycleGAN لمولدات منفصلة لتحويلات المجال المختلفة مع الحفاظ على بنية متماسكة. الحد التالي هو التخصيص التكيفي الذي يتعلم من اقتراحات كلمات المرور *المرفوضة* من قبل المستخدم لتحسين نموذجه في الوقت الفعلي، متجاوزًا قوائم الحظر الثابتة.

6. التطبيقات المستقبلية واتجاهات البحث

• الصيد الاستباقي للتهديدات: إلى جانب المقاييس الموجهة للمستخدم، يمكن لخوارزمية PESrank الأساسية مسح قواعد بيانات كلمات المرور الحالية (مع التجزئة المناسبة) لتحديد ووضع علامة على الحسابات ذات كلمات المرور القابلة للتخمين بدرجة عالية بشكل استباقي، مما يتيح إعادة تعيين إجباري.
• محركات تخصيص محسنة: يمكن للأنظمة المستقبلية التكامل مع أدلة المؤسسات (مثل LDAP) لتخصيص النموذج تلقائيًا بأسماء الموظفين وأسماء المشاريع الرمزية والمصطلحات الداخلية، مما يخلق نموذج تهديد ديناميكيًا ومخصصًا للمؤسسة.
• المعايرة والتقييس: يوفر نهج تقدير الرتبة مقياسًا كميًا صارمًا. يمكن أن يشكل هذا أساسًا لمعايير معايرة قوة كلمة المرور على مستوى الصناعة، متجاوزًا التسميات الغامضة مثل "قوي" أو "ضعيف".
• التحقق من صحة النماذج المتقاطعة: يمكن استخدام PESrank كمرشح "تمريرة أولى" سريع وقابل للشرح، مع وضع علامة على كلمات المرور المشبوهة لتحليل أعمق بواسطة نماذج أكثر كثافة حسابيًا (مثل RNNs)، مما يخلق دفاعًا متعدد المستويات.
• البحث في الاعتماد المتبادل بين الأبعاد: المسار البحثي الرئيسي هو تخفيف افتراض الاستقلالية. يمكن لاستكشاف نماذج الارتباط الخفيفة الوزن (مثل الشبكات البايزية عبر الأبعاد) أن يحسن الدقة لكلمات المرور المعقدة دون التضحية بميزة السرعة الأساسية.

7. المراجع

1. L. David and A. Wool, "Online Password Guessability via Multi-Dimensional Rank Estimation," arXiv preprint arXiv:1912.02551v2, 2020.
2. J. Bonneau, "The Science of Guessing: Analyzing an Anonymized Corpus of 70 Million Passwords," IEEE Symposium on Security and Privacy, 2012.
3. M. Weir, S. Aggarwal, B. de Medeiros, and B. Glodek, "Password Cracking Using Probabilistic Context-Free Grammars," IEEE Symposium on Security and Privacy, 2009.
4. W. Melicher, B. Ur, S. M. Segreti, S. Komanduri, L. Bauer, N. Christin, and L. F. Cranor, "Fast, Lean, and Accurate: Modeling Password Guessability Using Neural Networks," USENIX Security Symposium, 2016.
5. D. Wang, H. Cheng, P. Wang, X. Huang, and G. Jian, "A Security Analysis of Honeywords," NDSS, 2018. (مثال على تحليل صارم متعلق بكلمات المرور)
6. P. G. Kelley, S. Komanduri, M. L. Mazurek, R. Shay, T. Vidas, L. Bauer, N. Christin, L. F. Cranor, and J. Lopez, "Guess Again (and Again and Again): Measuring Password Strength by Simulating Password-Cracking Algorithms," IEEE Symposium on Security and Privacy, 2012.
7. National Institute of Standards and Technology (NIST), "Digital Identity Guidelines," NIST Special Publication 800-63B, 2017. (للحصول على سياق معايير المصادقة)