SOPG: توليد كلمات المرور المرتّبة القائم على البحث للشبكات العصبية ذاتية الانحدار

1. المقدمة

لا تزال كلمات المرور الطريقة الأكثر شيوعًا لمصادقة المستخدمين نظرًا لبساطتها ومرونتها. وبالتالي، يُعد تخمين كلمات المرور مكونًا حاسمًا في أبحاث الأمن السيبراني، وهو أساسي لكل من اختبارات الأمن الهجومية (مثل اختبار الاختراق، واستعادة كلمات المرور) وتقييم قوة الدفاعات. الطرق التقليدية، من القواميس القائمة على القواعد إلى النماذج الإحصائية مثل سلاسل ماركوف وPCFG، لها قيود جوهرية في قابلية التوسع والتكيف. ظهور التعلم العميق، وخاصة الشبكات العصبية ذاتية الانحدار، وعد بتحول نموذجي من خلال تعلم توزيعات كلمات المرور المعقدة مباشرة من البيانات. ومع ذلك، لا يزال هناك عنق زجاجة كبير: طريقة التوليد القياسية لأخذ العينات العشوائية المستخدمة مع هذه النماذج غير فعالة للغاية، فهي تنتج تكرارات وتفتقر إلى أي ترتيب أمثل، مما يبطئ بشكل كبير هجمات كلمات المرور العملية. تقدم هذه الورقة SOPG (توليد كلمات المرور المرتّبة القائم على البحث)، وهي طريقة جديدة مصممة لتوليد كلمات المرور من نموذج ذاتي الانحدار بترتيب تنازلي تقريبي للاحتمال، مما يحدث ثورة في كفاءة تخمين كلمات المرور العصبي.

2. الخلفية والأعمال ذات الصلة

3. طريقة SOPG

4. التفاصيل التقنية والصياغة الرياضية

بالنظر إلى نموذج ذاتي الانحدار يعرّف احتمالية كلمة المرور $\mathbf{x} = (x_1, x_2, ..., x_T)$ على النحو التالي: $$P(\mathbf{x}) = \prod_{t=1}^{T} P(x_t | x_1, ..., x_{t-1})$$ هدف SOPG هو توليد متوالية $\mathbf{x}^{(1)}, \mathbf{x}^{(2)}, ...$ بحيث يكون $P(\mathbf{x}^{(1)}) \geq P(\mathbf{x}^{(2)}) \geq ...$ و $\mathbf{x}^{(i)} \neq \mathbf{x}^{(j)}$ من أجل $i \neq j$.

يمكن تصور الخوارزمية على أنها بحث في شجرة حيث كل عقدة تمثل كلمة مرور جزئية. تدير قائمة انتظار الأولوية العقد، مصنفة حسب تقدير الحد الأعلى لاحتمالية أي كلمة مرور كاملة تنحدر من تلك العقدة. يُشتق هذا التقدير من الاحتمالات الشرطية للنموذج. تقوم الخوارزمية باستخراج العقدة ذات الحد الأعلى بشكل متكرر، وتوسعها برمز واحد (توليد عقد فرعية)، وتحسب حدودًا عليا جديدة، وتعيد إدراجها في قائمة الانتظار. عندما يتم استخراج عقدة ورقية (كلمة مرور كاملة)، يتم إخراجها ككلمة المرور التالية في القائمة المرتبة. يضمن هذا بحثًا بأفضل أولوية (best-first search) في فضاء الاحتمالات.

5. النتائج التجريبية والتحليل

6. إطار التحليل ومثال تطبيقي

الإطار: ربع كفاءة تخمين كلمة المرور. يمكننا تحليل أي نظام لتخمين كلمات المرور على محورين: (1) جودة النموذج (القدرة على تعلم التوزيع الحقيقي لكلمات المرور)، و (2) أمثالية التوليد (القدرة على إخراج التخمينات بترتيب تنازلي للاحتمال دون إهدار).

• الربع الأول (نموذج منخفض، أمثالية منخفضة): الهجمات التقليدية القائمة على القواعد.
• الربع الثاني (نموذج عالي، أمثالية منخفضة): PassGPT، PassGAN – نماذج قوية مقيدة بأخذ العينات العشوائية.
• الربع الثالث (نموذج منخفض، أمثالية عالية): ماركوف/PCFG المرتب – نماذج محدودة ولكن توليد فعال.
• الربع الرابع (نموذج عالي، أمثالية عالية): SOPGesGPT – الحالة المستهدفة، تجمع بين نموذج عصبي عالي السعة وخوارزمية التوليد الأمثل SOPG.

مثال تطبيقي (بدون كود): ضع في اعتبارك نموذجًا يعرف أن كلمة المرور "password123" لها احتمال $10^{-3}$ وأن "xq7!kLp2" لها احتمال $10^{-9}$. قد يستغرق أخذ العينات العشوائي ملايين التخمينات للوصول إلى "password123". باستخدام بحثه، سيتعرف SOPG على "password123" ويخرجها كواحدة من أوائل تخميناته، مما يساهم فورًا في التغطية. هذا الاستهداف المرتب هو مصدر كفاءته المذهلة.

7. آفاق التطبيق والاتجاهات المستقبلية

مدققات قوة كلمات المرور الاستباقية: يمكن لـ SOPG تشغيل الجيل التالي من مقاييس قوة كلمات المرور في الوقت الفعلي التي لا تتحقق من القواميس فحسب، بل تحاكي هجومًا حديثًا وفعالًا، مما يمنح المستخدمين تقييمًا أكثر واقعية للمخاطر.
الطب الشرعي الرقمي والاستعادة القانونية: تسريع استعادة كلمات المرور للتحقيقات المصرح بها على الأجهزة المضبوطة.
التدريب العدائي لأنظمة المصادقة: استخدام القوائم المُولدة بواسطة SOPG لاختبار الضغط وتحصين أنظمة المصادقة ضد الهجمات الذكية.
اتجاهات البحث المستقبلية:

• النماذج الهجينة: الجمع بين التوليد المرتب لـ SOPG وهياكل توليدية أخرى (مثل نماذج الانتشار) لكلمات المرور.
• SOPG التكيفي/المباشر: تعديل البحث في الوقت الفعلي بناءً على ردود الفعل من النظام المستهدف (مثل استجابات تحديد المعدل).
• ما بعد كلمات المرور: تطبيق نموذج التوليد المرتب على مجالات أمنية أخرى مثل توليد عناوين URL للتصيد الاحتيالي المحتملة أو متغيرات البرامج الضارة.
• إجراءات مضادة دفاعية: البحث في اكتشاف وتخفيف الهجمات التي تستخدم استراتيجيات التوليد المرتب.

8. المراجع

1. J. Bonneau, "The Science of Guessing: Analyzing an Anonymized Corpus of 70 Million Passwords," IEEE Symposium on Security and Privacy, 2012.
2. M. Weir, S. Aggarwal, B. de Medeiros, and B. Glodek, "Password Cracking Using Probabilistic Context-Free Grammars," IEEE Symposium on Security and Privacy, 2009.
3. A. Radford, K. Narasimhan, T. Salimans, and I. Sutskever, "Improving Language Understanding by Generative Pre-Training," OpenAI, 2018. (ورقة أساسية لـ GPT)
4. B. Hitaj, P. Gasti, G. Ateniese, and F. Perez-Cruz, "PassGAN: A Deep Learning Approach for Password Guessing," International Conference on Applied Cryptography and Network Security (ACNS), 2019.
5. D. Pasquini, G. Ateniese, and M. Bernaschi, "Unleashing the Tiger: Inference Attacks on Split Learning," ACM SIGSAC Conference on Computer and Communications Security (CCS), 2021. (يتضمن مناقشة حول استدلال كلمات المرور).
6. M. J. H. Almeida, I. M. de Sousa, and N. Neves, "Using Deep Learning for Password Guessing: A Systematic Review," Computers & Security, 2023.

9. تحليل أصلي وتعليقات الخبراء