PESrank: تقدير قابلية تخمين كلمات المرور عبر الإنترنت باستخدام التقدير متعدد الأبعاد للترتيب

1. المقدمة

تقدم هذه الورقة البحثية PESrank، وهو مقدر جديد لقوة كلمات المرور مصمم لنمذجة سلوك أداة اختراق قوية بدقة من خلال حساب ترتيب كلمة المرور في تسلسل احتمالي أمثل. يعالج الحاجة الحرجة لمقدرات عملية قادرة على العمل عبر الإنترنت تتجاوز الاستدلالات المبسطة مثل عد الأحرف الصغيرة والكبيرة والأرقام والرموز (LUDS).

1.1. الخلفية

على الرغم من الثغرات المعروفة، تظل كلمات المرور النصية هي طريقة المصادقة السائدة. غالبًا ما يختار المستخدمون كلمات مرور ضعيفة يمكن التنبؤ بها، مما يجعل الأنظمة عرضة لهجمات التخمين. تُعرَّف القوة الدقيقة على أنها عدد المحاولات التي يحتاجها المهاجم لتخمينها. استخدمت المقدرات السابقة القائمة على أدوات الاختراق نماذج ماركوف، وقواعد PCFG، والشبكات العصبية، لكنها عانت غالبًا من أوقات تدريب طويلة أو افتقرت إلى القدرة على العمل في الوقت الفعلي.

1.2. الإسهامات

يكمن الابتكار الأساسي لـ PESrank في إعادة صياغة تقدير ترتيب كلمة المرور ضمن إطار احتمالي مستمد من تحليل القنوات الجانبية في علم التشفير. يعامل كلمات المرور كنقاط في فضاء بحث d-الأبعاد (مثل الكلمة الأساسية، اللاحقة، نمط الأحرف الكبيرة)، ويتعلم توزيع الاحتمالات لكل بُعد بشكل مستقل. هذا يتيح تقدير الترتيب عبر الإنترنت بسرعة دون تعداد، وتخصيص النموذج بكفاءة، وتقديم ملاحظات قابلة للشرح.

2. منهجية PESrank

يقوم PESrank بتحليل كلمة المرور إلى أبعاد قابلة للتفسير، محولًا مشكلة تقدير القوة إلى مهمة تقدير ترتيب متعددة الأبعاد.

2.1. التمثيل متعدد الأبعاد لكلمة المرور

قد يتم تمثيل كلمة مرور مثل "P@ssw0rd2024!" عبر أبعاد: الكلمة الأساسية ("password")، نمط استبدال L33t، اللاحقة ("2024")، وإضافة حرف خاص. لكل بُعد دالة كتلة احتمالية مرتبطة به يتم تعلمها من بيانات التدريب.

2.2. إطار عمل تقدير الترتيب

بدلاً من تعداد جميع كلمات المرور الممكنة، يحسب PESrank الترتيب R(p) لكلمة مرور محددة p من خلال تجميع احتمالات جميع كلمات المرور الأكثر احتمالية من p عبر الفضاء التوافقي المحدد بواسطة الأبعاد. هذا مشابه لتقدير ترتيب مفتاح سري في تحليل القنوات الجانبية.

3. التنفيذ التقني والنموذج الرياضي

3.1. الإطار الاحتمالي

لنفترض أن كلمة المرور p ممثلة كمتجه (x₁, x₂, ..., x_d) عبر d أبعاد مستقلة. يتم تقريب احتمال p على النحو التالي: $$P(p) \approx \prod_{i=1}^{d} P_i(x_i)$$ حيث P_i(x_i) هو الاحتمال الهامشي للمكون x_i في البُعد i. الترتيب R(p) هو مجموع احتمالات جميع كلمات المرور q حيث P(q) > P(p).

3.2. حساب الترتيب بكفاءة

يستخدم PESrank خوارزميات فعالة لحساب هذا المجموع دون تعداد. لكل بُعد، يحافظ على قوائم مرتبة للمكونات حسب الاحتمال. يتضمن حساب الترتيب اجتياز هذه القوائم وتجميع المنتجات الجزئية، مما يحقق أداءً في أقل من ثانية حتى مع نموذج تم تدريبه على 905 مليون كلمة مرور.

4. النتائج التجريبية والتقييم

4.1. مقاييس الأداء

تقدم الورقة تقييمًا موسعًا. تشمل النتائج الرئيسية:

• السرعة: وقت الاستجابة "أقل بكثير من ثانية واحدة" للاستعلامات عبر الإنترنت.
• الدقة: تقديرات الترتيب بهامش يصل إلى 1 بت بين الحدود العليا والسفلى، مما يشير إلى دقة عالية.
• وقت التدريب: "أقصر بشكل كبير" من الطرق السابقة (والتي قد تتطلب أيامًا).

وصف الرسم البياني (مفاهيمي): رسم بياني شريطي يقارن وقت تدريب PESrank (بترتيب الساعات) مقابل نموذج الشبكة العصبية (بترتيب الأيام) ونموذج PCFG (بترتيب عشرات الساعات). يظهر رسم بياني خطي متراكب زمن استجابة استعلام PESrank يظل مستقرًا أقل من ثانية واحدة مع زيادة حجم النموذج (عدد كلمات المرور في مجموعة التدريب) من 10 مليون إلى 1 مليار.

4.2. المقارنة مع الطرق الحالية

تمت مقارنة PESrank مع مقدرات قائمة على الاستدلال (LUDS)، وماركوف، وPCFG. أظهر ارتباطًا متفوقًا مع ترتيب الاختراق الفعلي من أدوات مثل Hashcat، مما يؤكد هدف تصميمه "القائم على أدوات الاختراق". ميزة قابلية الشرح الخاصة به، والتي تقدم أسبابًا لترتيب منخفض (مثل "الكلمة الأساسية موجودة في قائمة الـ 100 الأكثر شيوعًا")، هي ميزة مميزة مقارنة بالشبكات العصبية ذات الصندوق الأسود.

5. الرؤى الأساسية وإطار التحليل

6. آفاق التطبيق والاتجاهات المستقبلية

الفحص الاستباقي لكلمات المرور: التكامل في صفحات التسجيل في المواقع والتطبيقات كمستشار في الوقت الفعلي، يقدم ملاحظات فورية قابلة للشرح.

أنظمة المصادقة التكيفية: تسجيل المخاطر الديناميكي حيث يؤثر ترتيب كلمة المرور على متطلبات عوامل المصادقة الإضافية (مثل أن كلمة المرور ذات الترتيب المنخفض تثير تفعيل المصادقة الثنائية الإلزامية).

سياسات الأمن المخصصة: يمكن لأنظمة المؤسسات الحفاظ على نماذج مخصصة لكل موظف، تخفض تلقائيًا ترتيب كلمات المرور التي تحتوي على معلومات خاصة بالموظف (الاسم، الرقم التعريفي، القسم).

البحث المستقبلي: توسيع النموذج للتعامل مع عبارات المرور، واستكشاف الهجائن مع التعلم العميق لالتقاط الارتباطات الدقيقة بين الأبعاد، وتطوير معايير موحدة لمقدرات قوة كلمات المرور تشبه إرشادات NIST لكلمات المرور ولكن للتقييم الخوارزمي.

7. المراجع

1. David, L., & Wool, A. (2020). Online Password Guessability via Multi-Dimensional Rank Estimation. arXiv preprint arXiv:1912.02551.
2. Weir, M., Aggarwal, S., Medeiros, B., & Glodek, B. (2009). Password cracking using probabilistic context-free grammars. In 2009 30th IEEE Symposium on Security and Privacy.
3. Melicher, W., Ur, B., Segreti, S. M., Komanduri, S., Bauer, L., Christin, N., & Cranor, L. F. (2016). Fast, lean, and accurate: Modeling password guessability using neural networks. In 25th USENIX Security Symposium.
4. NIST. (2017). Digital Identity Guidelines: Authentication and Lifecycle Management. NIST Special Publication 800-63B.
5. Bonneau, J. (2012). The science of guessing: analyzing an anonymized corpus of 70 million passwords. In 2012 IEEE Symposium on Security and Privacy.