পরিচিত নিরাপত্তা দুর্বলতা সত্ত্বেও পাসওয়ার্ড এখনও প্রভাবশালী প্রমাণীকরণ প্রক্রিয়া হিসেবে রয়েছে। ব্যবহারকারীরা সাধারণত পূর্বাভাসযোগ্য প্যাটার্ন অনুসরণ করে পাসওয়ার্ড তৈরি করে, যা তাদের অনুমান আক্রমণের জন্য ঝুঁকিপূর্ণ করে তোলে। এই ধরনের সিস্টেমের নিরাপত্তা ঐতিহ্যগত ক্রিপ্টোগ্রাফিক প্যারামিটার দ্বারা পরিমাপ করা যায় না, বরং প্রতিপক্ষ আচরণের সঠিক মডেলিং প্রয়োজন। এই গবেষণাপত্র একটি গুরুত্বপূর্ণ ফাঁক মোকাবেলা করে: গবেষকরা যখন বাস্তব-বিশ্বের আক্রমণকারীদের গতিশীল, দক্ষতা-চালিত কৌশল ধারণ করতে ব্যর্থ, প্রস্তুত-তৈরি, স্থিরভাবে কনফিগার করা অভিধান আক্রমণ ব্যবহার করেন তখন উল্লেখযোগ্য পরিমাপ পক্ষপাত সৃষ্টি হয়।
বাস্তব-বিশ্বের পাসওয়ার্ড ক্র্যাকাররা ব্যবহারিক, উচ্চ-থ্রুপুটের অভিধান আক্রমণ প্রয়োগ করে ম্যাংলিং নিয়ম সহ (যেমন, হ্যাশক্যাট বা জন দ্য রিপারের মতো টুল ব্যবহার করে)। এই আক্রমণের কার্যকারিতা নির্ভর করে বিশেষজ্ঞদের দ্বারা টিউন করা কনফিগারেশনের উপর—নির্দিষ্ট ওয়ার্ডলিস্ট এবং রুলসেটের জোড়া—যা বছরের অভিজ্ঞতার মাধ্যমে তৈরি। ডিফল্ট কনফিগারেশনের উপর নির্ভরশীল নিরাপত্তা বিশ্লেষণ পাসওয়ার্ডের শক্তিকে মারাত্মকভাবে অতিমূল্যায়ন করে, একটি পরিমাপ পক্ষপাত সৃষ্টি করে যা নিরাপত্তা সিদ্ধান্তের বৈধতাকে দুর্বল করে।
মূল সমস্যা হল একাডেমিক পাসওয়ার্ড মডেল এবং বাস্তব-বিশ্বের ক্র্যাকিং অনুশীলনের মধ্যে বিচ্ছিন্নতা। Ur et al. (2017) এর মতো গবেষণায় দেখানো হয়েছে যে পাসওয়ার্ড শক্তির মেট্রিক্স ব্যবহৃত আক্রমণকারী মডেলের প্রতি অত্যন্ত সংবেদনশীল। দুর্বল বা সাধারণ মডেল ব্যবহার করলে নিরাপত্তার অতিমূল্যায়ন হয়, একটি মিথ্যা নিরাপত্তার অনুভূতি তৈরি করে।
ঐতিহ্যগত অভিধান আক্রমণ স্থির। তারা একটি নির্দিষ্ট ক্রমে একটি নির্দিষ্ট ওয়ার্ডলিস্টে ম্যাংলিং নিয়মের একটি নির্দিষ্ট সেট প্রয়োগ করে (যেমন, leet ভাষা, সংখ্যা যোগ করা)। এতে মানুষের বিশেষজ্ঞদের মতো অভিযোজনযোগ্যতার অভাব রয়েছে যারা পারেন:
লেখকরা বিশেষজ্ঞ-সদৃশ অনুমান কৌশল স্বয়ংক্রিয় করার জন্য একটি দ্বি-প্রান্তিক পদ্ধতি প্রস্তাব করেছেন, যা ম্যানুয়াল কনফিগারেশন এবং ডোমেইন জ্ঞানের উপর নির্ভরতা কমায়।
পাসওয়ার্ডের সম্ভাব্যতা বন্টন মডেল করার জন্য একটি ডিপ নিউরাল নেটওয়ার্ক (ডিএনএন) প্রশিক্ষিত করা হয়। মূল উদ্ভাবন হল এই মডেলটিকে কেবলমাত্র কাঁচা পাসওয়ার্ড ডেটাসেটে নয়, বরং বিশেষজ্ঞ ক্র্যাকারদের দ্বারা বেস শব্দে প্রয়োগ করা ম্যাংলিং নিয়মের ক্রমগুলিতে প্রশিক্ষণ দেওয়া। এটি ডিএনএনকে একটি প্রতিপক্ষের "দক্ষতা" শিখতে দেয়—সম্ভাব্য রূপান্তর এবং তাদের কার্যকর ক্রম।
একটি স্থির রুলসেটের পরিবর্তে, আক্রমণটি একটি গতিশীল অনুমান কৌশল প্রয়োগ করে। ডিএনএন বর্তমান শব্দের অবস্থা এবং আক্রমণের প্রসঙ্গের উপর নির্ভর করে সম্ভাব্যতা সহ রূপান্তরগুলি ক্রমানুসারে প্রয়োগ করে প্রার্থী পাসওয়ার্ড তৈরির দিকনির্দেশনা দেয়। এটি একটি বিশেষজ্ঞের রিয়েল-টাইমে আক্রমণের পথ অভিযোজনের ক্ষমতার অনুকরণ করে।
সিস্টেমটিকে একটি সম্ভাব্যতা জেনারেটর হিসেবে ধারণা করা যেতে পারে। একটি অভিধান থেকে একটি বেস শব্দ $w_0$ দেওয়া হলে, মডেলটি $T$ রূপান্তরের একটি ক্রমের মাধ্যমে (ম্যাংলিং নিয়ম $r_t$) একটি পাসওয়ার্ড $p$ তৈরি করে। পাসওয়ার্ডের সম্ভাব্যতা মডেল করা হয়েছে: $$P(p) = \sum_{w_0, r_{1:T}} P(w_0) \prod_{t=1}^{T} P(r_t | w_0, r_{1:t-1})$$ যেখানে $P(r_t | w_0, r_{1:t-1})$ হল প্রাথমিক শব্দ এবং পূর্ববর্তী নিয়মের ইতিহাস দেওয়া $r_t$ নিয়ম প্রয়োগের সম্ভাব্যতা, যা ডিএনএন দ্বারা আউটপুট হিসাবে দেওয়া হয়। এই সূত্রটি প্রসঙ্গ-সচেতন, অ-রৈখিক নিয়ম প্রয়োগের অনুমতি দেয়।
পরীক্ষাগুলি বেশ কয়েকটি বড়, বাস্তব-বিশ্বের পাসওয়ার্ড ডেটাসেটে (যেমন, RockYou, LinkedIn) পরিচালিত হয়েছিল। প্রস্তাবিত মডেলটিকে সর্বাধুনিক সম্ভাব্যতা পাসওয়ার্ড মডেল (যেমন, মার্কভ মডেল, PCFGs) এবং জনপ্রিয় রুলসেট সহ স্ট্যান্ডার্ড অভিধান আক্রমণের (যেমন, best64.rule, d3ad0ne.rule) সাথে তুলনা করা হয়েছিল।
মূল মেট্রিক হল অনুমান সংখ্যা—পাসওয়ার্ডের একটি নির্দিষ্ট শতাংশ ক্র্যাক করতে কতগুলি অনুমানের প্রয়োজন। ফলাফলগুলি দেখিয়েছে যে ডিএনএন দ্বারা চালিত গতিশীল অভিধান আক্রমণ:
চার্ট বর্ণনা: একটি লাইন চার্টে ক্র্যাক করা পাসওয়ার্ডের ক্রমবর্ধমান শতাংশ (Y-অক্ষ) বনাম অনুমান সংখ্যার লগ (X-অক্ষ) দেখানো হবে। প্রস্তাবিত পদ্ধতির বক্ররেখা PCFG, মার্কভ এবং স্থির অভিধান আক্রমণের বক্ররেখার তুলনায় উল্লেখযোগ্যভাবে দ্রুত এবং উচ্চতর উঠবে, বিশেষত প্রাথমিক অনুমান র্যাঙ্কগুলিতে (যেমন, প্রথম 10^9 অনুমান)।
গবেষণাপত্রটি পরিমাপ পক্ষপাত হ্রাসের পরিমাণ নির্ধারণ করে। একটি পাসওয়ার্ড নীতির শক্তি মূল্যায়ন করার সময়, একটি স্থির আক্রমণ ব্যবহার করে এই সিদ্ধান্তে পৌঁছানো যেতে পারে যে 50% পাসওয়ার্ড 10^12 অনুমান প্রতিরোধ করে। প্রস্তাবিত গতিশীল আক্রমণ, একটি আরও সক্ষম প্রতিপক্ষের মডেলিং করে, দেখাতে পারে যে 50% পাসওয়ার্ড 10^10 অনুমানে ক্র্যাক হয়েছে—স্থির মডেল দ্বারা 100x অতিমূল্যায়ন। এটি নীতি সিদ্ধান্তের জন্য সঠিক প্রতিপক্ষ মডেলিংয়ের গুরুত্ব তুলে ধরে।
পরিস্থিতি: একটি নিরাপত্তা দল তাদের ব্যবহারকারী বেসের পাসওয়ার্ডগুলির একটি পরিশীলিত, লক্ষ্যবস্তু আক্রমণের বিরুদ্ধে স্থিতিস্থাপকতা মূল্যায়ন করতে চায়।
ঐতিহ্যগত (পক্ষপাতদুষ্ট) পদ্ধতি: তারা rockyou.txt ওয়ার্ডলিস্ট এবং best64.rule রুলসেট সহ হ্যাশক্যাট চালায়। প্রতিবেদনে বলা হয়েছে: "80% পাসওয়ার্ড 1 বিলিয়ন অনুমান থেকে বেঁচে থাকবে।"
প্রস্তাবিত (পক্ষপাত-হ্রাস) কাঠামো:
মূল অন্তর্দৃষ্টি: এই গবেষণাপত্রটি সাইবার নিরাপত্তা গবেষণায় একটি ব্যাপক কিন্তু প্রায়শই উপেক্ষিত ত্রুটির উপর একটি অস্ত্রোপচারমূলক আঘাত হানে: "দক্ষতা ফাঁক" পক্ষপাত। বছরের পর বছর ধরে, একাডেমিক পাসওয়ার্ড শক্তি মূল্যায়ন বালির উপর নির্মিত হয়েছে—সরলীকৃত, স্থির আক্রমণকারী মডেল ব্যবহার করে যা প্রকৃতিতে অভিযোজিত, টুল-সহায়ক মানুষের বিশেষজ্ঞদের সাথে সামান্য মিল রাখে। Pasquini et al. শুধুমাত্র একটি ভাল অ্যালগরিদম অফার করছেন না; তারা ক্ষেত্রটিকে তার নিজস্ব পদ্ধতিগত অন্ধ স্পটের মুখোমুখি হতে বাধ্য করছেন। আসল অগ্রগতি হল সমস্যাটিকে "ভাল পাসওয়ার্ড ক্র্যাকিং" হিসাবে নয় বরং "ভাল প্রতিপক্ষ সিমুলেশন" হিসাবে ফ্রেম করা, যা দৃষ্টিভঙ্গির একটি সূক্ষ্ম কিন্তু গুরুত্বপূর্ণ পরিবর্তন, এআই-তে সাধারণ ক্লাসিফায়ার থেকে জেনারেটিভ অ্যাডভারসারিয়াল নেটওয়ার্ক (GANs) এর দিকে যাওয়ার অনুরূপ, যেখানে জেনারেটরের গুণমান একটি বৈষম্যকারীকে বোকা বানানোর ক্ষমতা দ্বারা সংজ্ঞায়িত করা হয়।
যুক্তিগত প্রবাহ: যুক্তিটি আকর্ষণীয়ভাবে রৈখিক। 1) বাস্তব হুমকি = বিশেষজ্ঞ-কনফিগার করা গতিশীল আক্রমণ। 2) সাধারণ গবেষণা অনুশীলন = স্থির, প্রস্তুত-তৈরি আক্রমণ। 3) অতএব, একটি বিশাল পরিমাপ পক্ষপাত বিদ্যমান। 4) সমাধান: এআই ব্যবহার করে বিশেষজ্ঞের কনফিগারেশন এবং অভিযোজনযোগ্যতা স্বয়ংক্রিয় করুন। নিয়ম ক্রম মডেল করার জন্য একটি ডিএনএন ব্যবহার করা মার্জিত। এটি স্বীকার করে যে বিশেষজ্ঞ জ্ঞান শুধুমাত্র নিয়মের একটি ব্যাগ নয়, বরং একটি সম্ভাব্যতা প্রক্রিয়া—ক্র্যাকিং এর ব্যাকরণ। এটি এনএলপিতে ট্রান্সফরমারের মতো সিকোয়েন্স মডেলের সাফল্যের সাথে সামঞ্জস্যপূর্ণ, যা ইঙ্গিত দেয় যে লেখকরা সংলগ্ন এআই ক্ষেত্র থেকে পাঠ কার্যকরভাবে প্রয়োগ করছেন।
শক্তি ও ত্রুটি: প্রধান শক্তি হল ব্যবহারিক প্রভাব। এই কাজের অনুপ্রবেশ পরীক্ষাকারী এবং নিরাপত্তা নিরীক্ষকদের জন্য তাৎক্ষণিক উপযোগিতা রয়েছে। এর ডিএনএন-ভিত্তিক পদ্ধতিও পুরানো PCFG পদ্ধতির তুলনায় জটিল প্যাটার্ন শিখতে আরও ডেটা-দক্ষ। যাইহোক, একটি উল্লেখযোগ্য ত্রুটি প্রশিক্ষণ ডেটা নির্ভরতা এর মধ্যে লুকিয়ে আছে। মডেলের "দক্ষতা" পর্যবেক্ষণ করা বিশেষজ্ঞ আচরণ (নিয়ম ক্রম) থেকে শেখা হয়। যদি প্রশিক্ষণ ডেটা ক্র্যাকারদের একটি নির্দিষ্ট সম্প্রদায় থেকে আসে (যেমন, যারা হ্যাশক্যাট একটি নির্দিষ্ট উপায়ে ব্যবহার করে), মডেলটি তাদের পক্ষপাত উত্তরাধিকারসূত্রে পেতে পারে এবং নতুন কৌশল মিস করতে পারে। এটি অনুকরণের একটি রূপ, সত্যিকারের কৌশলগত বুদ্ধিমত্তা নয়। তদুপরি, ফেডারেটেড লার্নিং সাহিত্যে (যেমন, গুগল এআই-এর কাজ) উল্লিখিত হিসাবে, প্রশিক্ষণের জন্য এই ধরনের সংবেদনশীল "আক্রমণ ট্রেস" ডেটা সংগ্রহ করার গোপনীয়তা প্রভাব তুচ্ছ নয় এবং কম অন্বেষণ করা হয়েছে।
কার্যকরী অন্তর্দৃষ্টি: শিল্প অনুশীলনকারীদের জন্য: ঝুঁকি মূল্যায়নের জন্য ডিফল্ট রুলসেট ব্যবহার বন্ধ করুন। আপনার নিরাপত্তা পরীক্ষার পাইপলাইনে এইরকম গতিশীল, প্রসঙ্গ-সচেতন মডেলগুলিকে একীভূত করুন। গবেষকদের জন্য: এই গবেষণাপত্র একটি নতুন বেঞ্চমার্ক স্থাপন করে। ভবিষ্যতের পাসওয়ার্ড মডেলগুলিকে অভিযোজিত প্রতিপক্ষের বিরুদ্ধে যাচাই করা উচিত, স্থিরগুলির বিরুদ্ধে নয়। পরবর্তী সীমান্ত হল লুপ বন্ধ করা—এই এআই-চালিত গতিশীল আক্রমণের বিরুদ্ধে শক্তিশালী পাসওয়ার্ড বা নীতি ডিজাইন করতে পারে এমন এআই ডিফেন্ডার তৈরি করা, GANs-এর অনুরূপ একটি প্রতিপক্ষ সহ-বিবর্তন কাঠামোর দিকে এগিয়ে যাওয়া, যেখানে আক্রমণকারী এবং ডিফেন্ডার মডেল একসাথে উন্নতি করে। একটি স্থির শূন্যতায় পাসওয়ার্ড মূল্যায়নের যুগ শেষ হয়ে গেছে, বা হওয়া উচিত।