ভাষা নির্বাচন করুন

পাসওয়ার্ড ম্যানেজারে পাসওয়ার্ড জেনারেশন অ্যালগরিদমের আনুষ্ঠানিক যাচাইয়ের দিকে

পাসওয়ার্ড ম্যানেজারে পাসওয়ার্ড জেনারেশন অ্যালগরিদমের আনুষ্ঠানিক যাচাই বিশ্লেষণ, নিরাপত্তা বৈশিষ্ট্য, বাস্তবায়নের সঠিকতা এবং ভবিষ্যৎ দিকনির্দেশনা অন্তর্ভুক্ত।
computationalcoin.com | PDF Size: 0.1 MB
রেটিং: 4.5/5
আপনার রেটিং
আপনি ইতিমধ্যে এই ডকুমেন্ট রেট করেছেন
PDF ডকুমেন্ট কভার - পাসওয়ার্ড ম্যানেজারে পাসওয়ার্ড জেনারেশন অ্যালগরিদমের আনুষ্ঠানিক যাচাইয়ের দিকে
PDF ডকুমেন্ট দেখুন PDF ডাউনলোড করুন PDF অনুবাদ করুন
হোম » ডকুমেন্টেশন » পাসওয়ার্ড ম্যানেজারে পাসওয়ার্ড জেনারেশন অ্যালগরিদমের আনুষ্ঠানিক যাচাইয়ের দিকে

1. ভূমিকা

পাসওয়ার্ড ম্যানেজার (PMs) আধুনিক ডিজিটাল নিরাপত্তার জন্য অপরিহার্য সরঞ্জাম, যা ব্যবহারকারীদের স্মৃতিশক্তির জ্ঞানীয় বোঝা ছাড়াই শক্তিশালী, অনন্য পাসওয়ার্ড বজায় রাখতে সক্ষম করে। তাদের গুরুত্ব সত্ত্বেও, বিশ্বাসের সমস্যার কারণে ব্যবহারকারীর গ্রহণযোগ্যতা এখনও সীমিত। এই গবেষণাপত্রটি একটি গুরুত্বপূর্ণ বিশ্বাসের উপাদানকে সম্বোধন করে: র্যান্ডম পাসওয়ার্ড জেনারেশন (RPG) অ্যালগরিদম। আমরা ইজিক্রিপ্ট ফ্রেমওয়ার্ক ব্যবহার করে একটি আনুষ্ঠানিকভাবে যাচাইকৃত রেফারেন্স বাস্তবায়নের প্রস্তাব করি, গেম-ভিত্তিক ক্রিপ্টোগ্রাফিক প্রমাণের মাধ্যমে কার্যকরী সঠিকতা এবং নিরাপত্তা বৈশিষ্ট্য উভয়ই প্রমাণ করে।

2. বর্তমান পাসওয়ার্ড জেনারেশন অ্যালগরিদম

এই গবেষণা ১৫টি পাসওয়ার্ড ম্যানেজার পরীক্ষা করে, তিনটি ওপেন-সোর্স বাস্তবায়নের উপর ফোকাস করে: গুগল ক্রোম (v89.0.4364.1), বিটওয়ার্ডেন (v1.47.1), এবং কিপাস (v2.46)। এগুলি তাদের ব্যাপক ব্যবহার এবং সোর্স কোডের প্রাপ্যতার জন্য নির্বাচিত করা হয়েছে।

2.1 পাসওয়ার্ড কম্পোজিশন পলিসি

পাসওয়ার্ড ম্যানেজার ব্যবহারকারীদের কম্পোজিশন পলিসি সংজ্ঞায়িত করতে দেয় যা জেনারেট করা পাসওয়ার্ডগুলিকে অবশ্যই পূরণ করতে হবে। এই পলিসিগুলি পাসওয়ার্ডের দৈর্ঘ্য, অক্ষর শ্রেণী এবং নির্দিষ্ট সীমাবদ্ধতা নিয়ন্ত্রণ করে যেমন প্রতি শ্রেণীতে সর্বনিম্ন/সর্বোচ্চ সংঘটন এবং অনুরূপ অক্ষর (যেমন, 'l', 'I', 'O', '0') বাদ দেওয়া।

পলিসি তুলনা

  • ক্রোম: দৈর্ঘ্য: ১-২০০, সেট: ছোট হাতের অক্ষর, বড় হাতের অক্ষর, বর্ণানুক্রমিক, সংখ্যা, বিশেষ অক্ষর
  • বিটওয়ার্ডেন: দৈর্ঘ্য: ৫-১২৮, সেট: ছোট হাতের অক্ষর, বড় হাতের অক্ষর, সংখ্যা, বিশেষ অক্ষর
  • কিপাস: দৈর্ঘ্য: ১-৩০০০০, সেট: ছোট হাতের অক্ষর, বড় হাতের অক্ষর, সংখ্যা, বিশেষ অক্ষর, ব্র্যাকেট, স্পেস, মাইনাস, আন্ডারলাইন

2.2 র্যান্ডম পাসওয়ার্ড জেনারেশন

পর্যালোচিত অ্যালগরিদমগুলি একটি অনুরূপ প্যাটার্ন অনুসরণ করে: বিভিন্ন অক্ষর সেট থেকে র্যান্ডম অক্ষর তৈরি করে যতক্ষণ না পাসওয়ার্ড দৈর্ঘ্যের প্রয়োজনীয়তা পূরণ হয়, সর্বনিম্ন এবং সর্বোচ্চ সংঘটনের সীমাবদ্ধতা মেনে চলার সময়। ক্রোমের অ্যালগরিদম বিশেষভাবে: ১) সংজ্ঞায়িত সর্বনিম্ন সংঘটন সহ সেট থেকে অক্ষর তৈরি করে, ২) সর্বোচ্চে না থাকা সেটগুলির ইউনিয়ন থেকে তৈরি করে, ৩) একটি চূড়ান্ত পারমুটেশন প্রয়োগ করে।

3. আনুষ্ঠানিক যাচাই ফ্রেমওয়ার্ক

আমরা ইজিক্রিপ্ট ব্যবহার করি, যা ক্রিপ্টোগ্রাফিক প্রোটোকলের জন্য একটি প্রুফ অ্যাসিস্ট্যান্ট, আমাদের রেফারেন্স RPG বাস্তবায়ন আনুষ্ঠানিকভাবে নির্দিষ্ট করতে এবং যাচাই করতে। যাচাইটি ক্রিপ্টোগ্রাফিক নিরাপত্তা প্রমাণের জন্য গেম-ভিত্তিক পদ্ধতি অনুসরণ করে, অভিন্ন বন্টন এবং পূর্বাভাস আক্রমণের প্রতিরোধের মতো বৈশিষ্ট্যগুলি প্রতিষ্ঠা করে।

মূল অন্তর্দৃষ্টি

  • আনুষ্ঠানিক যাচাই অ্যালগরিদমের আচরণ সম্পর্কে গাণিতিক নিশ্চয়তা প্রদান করে
  • গেম-ভিত্তিক প্রমাণ বাস্তবসম্মতভাবে প্রতিপক্ষের ক্ষমতা মডেল করে
  • রেফারেন্স বাস্তবায়ন PM ডেভেলপারদের জন্য স্বর্ণমান হিসাবে কাজ করে

4. প্রযুক্তিগত বাস্তবায়নের বিস্তারিত বিবরণ

4.1 গাণিতিক ভিত্তি

পাসওয়ার্ড জেনারেশন অ্যালগরিদমকে সংজ্ঞায়িত পাসওয়ার্ড স্পেস জুড়ে অভিন্ন বন্টন নিশ্চিত করতে হবে। একটি পলিসির জন্য যা সেট $C$ থেকে অক্ষর অনুমতি দেয় যার আকার $|C|$, এবং দৈর্ঘ্য $L$ প্রয়োজন, মোট পাসওয়ার্ড স্পেসের আকার হল $|C|^L$। অ্যালগরিদমকে নিশ্চিত করতে হবে যে প্রতিটি সম্ভাব্য পাসওয়ার্ড $p \in C^L$ এর সমান সম্ভাবনা রয়েছে:

$$\Pr[\text{জেনারেট}(L, C) = p] = \frac{1}{|C|^L}$$

যখন সর্বনিম্ন সংঘটনের মতো সীমাবদ্ধতা যোগ করা হয়, তখন বন্টন শর্তাধীন হয়ে যায় কিন্তু সীমাবদ্ধ স্পেসের মধ্যে অভিন্ন থাকতে হবে।

4.2 নিরাপত্তা বৈশিষ্ট্য

আনুষ্ঠানিকভাবে যাচাইকৃত বৈশিষ্ট্যগুলির মধ্যে রয়েছে:

  1. কার্যকরী সঠিকতা: আউটপুট সমস্ত পলিসি সীমাবদ্ধতা পূরণ করে
  2. অভিন্ন বন্টন: পাসওয়ার্ড নির্বাচনে কোন পক্ষপাত নেই
  3. পূর্বাভাসের প্রতিরোধ: পূর্ববর্তী আউটপুটগুলি ভবিষ্যতেরগুলি প্রকাশ করে না
  4. এনট্রপি সংরক্ষণ: ক্রিপ্টোগ্রাফিক র্যান্ডমনেস বজায় রাখে

5. পরীক্ষামূলক ফলাফল

আনুষ্ঠানিকভাবে যাচাইকৃত বাস্তবায়নটি তিনটি অধ্যয়নকৃত পাসওয়ার্ড ম্যানেজারের বিরুদ্ধে পরীক্ষা করা হয়েছিল। মূল ফলাফল:

  • সমস্ত বাণিজ্যিক বাস্তবায়ন প্রান্তিক ক্ষেত্রে ছোটখাটো পরিসংখ্যানগত পক্ষপাত দেখিয়েছে
  • কিপাস সবচেয়ে নমনীয় পলিসি সিস্টেম প্রদর্শন করেছে কিন্তু জটিলতা যাচাইয়ের চ্যালেঞ্জগুলি চালু করেছে
  • বিটওয়ার্ডেনের বাস্তবায়ন আদর্শ অভিন্ন বন্টনের সবচেয়ে কাছাকাছি ছিল
  • ক্রোমের অ্যালগরিদমের যাচাইয়ের জন্য উদ্বেগের সবচেয়ে পরিষ্কার বিভাজন ছিল

পরিসংখ্যানগত বন্টন বিশ্লেষণ

পরীক্ষায় কনফিগারেশন প্রতি ১,০০০,০০০ পাসওয়ার্ড তৈরি করা এবং অভিন্নতার জন্য χ² পরীক্ষা প্রয়োগ করা জড়িত। যাচাইকৃত বাস্তবায়ন সমস্ত পরিসংখ্যানগত পরীক্ষায় উত্তীর্ণ হয়েছে (p > ০.০৫), যখন বাণিজ্যিক বাস্তবায়নগুলি নির্দিষ্ট পলিসি কনফিগারেশনে p-মান ০.০০১ পর্যন্ত কম দেখিয়েছে, যা সনাক্তযোগ্য পক্ষপাত নির্দেশ করে।

6. বিশ্লেষণ ফ্রেমওয়ার্ক উদাহরণ

মূল অন্তর্দৃষ্টি: গবেষণাপত্রের মৌলিক অগ্রগতি শুধু আরেকটি পাসওয়ার্ড জেনারেটর নয়—এটি একটি যাচাই পদ্ধতি প্রতিষ্ঠা করছে যা নিরাপত্তাকে একটি অভিজ্ঞতামূলক দাবি থেকে একটি গাণিতিক প্রমাণে রূপান্তরিত করে। এটি "আমরা মনে করি এটি নিরাপদ" থেকে "আমরা প্রমাণ করতে পারি এটি নিরাপদ" দৃষ্টান্ত পরিবর্তন করে।

যুক্তিসঙ্গত প্রবাহ: গবেষণা একটি স্পষ্ট তিন-পর্যায়ের যুক্তি অনুসরণ করে: ১) ব্যবহারকারী গবেষণার মাধ্যমে গ্রহণের বাধা হিসাবে বিশ্বাস চিহ্নিত করুন, ২) যাচাই-যোগ্য সাধারণ প্যাটার্ন খুঁজে পেতে বিদ্যমান বাস্তবায়নগুলিকে বিশ্লেষণ করুন, ৩) একটি রেফারেন্স বাস্তবায়ন তৈরি করুন এবং প্রমাণ করুন যা একটি বিশ্বাসের অ্যাঙ্কর হিসাবে কাজ করে। এটি ভেরিফাইড সফটওয়্যার ইনিশিয়েটিভ এর মতো মৌলিক কাজগুলির পদ্ধতির প্রতিফলন ঘটায়, ব্যবহারিক নিরাপত্তা সমস্যাগুলিতে আনুষ্ঠানিক পদ্ধতি প্রয়োগ করে।

শক্তি ও ত্রুটি: শক্তি সঠিক বিমূর্ততা স্তরে যাচাই সমস্যা মোকাবেলা করার মধ্যে নিহিত—সম্পূর্ণ পাসওয়ার্ড ম্যানেজারের পরিবর্তে জেনারেশন অ্যালগরিদমের উপর ফোকাস করা। যাইহোক, গবেষণাপত্রের সীমাবদ্ধতা হল জেনারেটরকে বিচ্ছিন্নভাবে বিবেচনা করা। NIST-এর ডিজিটাল আইডেন্টিটি গাইডলাইন এ উল্লিখিত হিসাবে, পাসওয়ার্ড নিরাপত্তা পুরো ইকোসিস্টেমের উপর নির্ভর করে: স্টোরেজ, ট্রান্সমিশন, এবং UI/UX। একটি আনুষ্ঠানিকভাবে যাচাইকৃত জেনারেটর অকেজো যদি পাসওয়ার্ড সাইড চ্যানেল বা দুর্বল UI ডিজাইনের মাধ্যমে ফাঁস হয়ে যায়।

কার্যকরী অন্তর্দৃষ্টি: পাসওয়ার্ড ম্যানেজার ডেভেলপারদের উচিত: ১) এই রেফারেন্স বাস্তবায়নকে একটি সূচনা বিন্দু হিসাবে গ্রহণ করা, ২) পাসওয়ার্ড স্টোরেজ এবং অটো-ফিল উপাদানগুলিতে যাচাই প্রসারিত করা, ৩) এই পদ্ধতি ব্যবহার করে তৃতীয় পক্ষের অডিট কমিশন করা। এই পদ্ধতিটি যাচাইকৃত ক্রিপ্টোগ্রাফিক লাইব্রেরি যেমন HACL* দ্বারা প্রতিষ্ঠিত প্যাটার্ন অনুসরণ করে অন্যান্য নিরাপত্তা-সমালোচনামূলক জেনারেটর (ক্রিপ্টোগ্রাফিক কী, সেশন টোকেন) পর্যন্ত প্রসারিত হতে পারে।

৩০০-৬০০ শব্দের বিশ্লেষণটি প্রদর্শন করে কিভাবে আনুষ্ঠানিক যাচাই পাসওয়ার্ড ম্যানেজারে মূল বিশ্বাসের ঘাটতি সম্বোধন করে। নিরাপত্তা বৈশিষ্ট্যগুলির গাণিতিক প্রমাণ প্রদান করে, এই কাজটি হিউরিস্টিক নিরাপত্তার বাইরে প্রমাণযোগ্য গ্যারান্টির দিকে এগিয়ে যায়। পদ্ধতির আসল মূল্য হল এর স্থানান্তরযোগ্যতা—একই কৌশলগুলি অন্যান্য নিরাপত্তা উপাদান যাচাই করতে পারে, পাসওয়ার্ড জেনারেশন থেকে স্টোরেজ হয়ে ব্যবহার পর্যন্ত বিশ্বাসের একটি শৃঙ্খল তৈরি করতে পারে। এটি যাচাইকৃত সিস্টেমগুলিতে বিস্তৃত প্রবণতার সাথে সামঞ্জস্যপূর্ণ, যেমন seL4 মাইক্রোকার্নেল যাচাইয়ের প্রকল্পগুলিতে দেখা যায়, প্রমাণ করে যে আনুষ্ঠানিক পদ্ধতিগুলি বাস্তব-বিশ্বের নিরাপত্তা সিস্টেমের জন্য ব্যবহারিক হয়ে উঠছে।

7. ভবিষ্যৎ প্রয়োগ ও দিকনির্দেশনা

এখানে প্রতিষ্ঠিত আনুষ্ঠানিক যাচাই পদ্ধতির বেশ কয়েকটি প্রতিশ্রুতিশীল প্রয়োগ রয়েছে:

  1. মানকীকরণ: পাসওয়ার্ড জেনারেটর সার্টিফিকেশন মানদণ্ডের ভিত্তি গঠন করতে পারে
  2. ব্রাউজার ইন্টিগ্রেশন: সমস্ত প্রধান ব্রাউজারে অন্তর্নির্মিত যাচাইকৃত পাসওয়ার্ড জেনারেটর
  3. IoT নিরাপত্তা: এমবেডেড ডিভাইসের জন্য হালকা ওজনের যাচাইকৃত জেনারেটর
  4. পাসওয়ার্ড-বিহীন প্রমাণীকরণ: FIDO2/WebAuthn টোকেন জেনারেটরের যাচাই
  5. শিক্ষামূলক সরঞ্জাম: ব্যবহারিক নিরাপত্তা উদাহরণের মাধ্যমে আনুষ্ঠানিক পদ্ধতি শেখানো

ভবিষ্যতের গবেষণার ফোকাস করা উচিত: ১) পাসওয়ার্ড পলিসি মূল্যায়নে যাচাই প্রসারিত করা, ২) হার্ডওয়্যার নিরাপত্তা মডিউলগুলির সাথে একীকরণ, ৩) PM ডেভেলপারদের জন্য স্বয়ংক্রিয় যাচাই সরঞ্জাম বিকাশ, ৪) আনুষ্ঠানিকভাবে যাচাইকৃত সিস্টেমের ব্যবহারযোগ্যতা প্রভাব অধ্যয়ন।

8. তথ্যসূত্র

  1. Grilo, M., Ferreira, J. F., & Almeida, J. B. (2021). Towards Formal Verification of Password Generation Algorithms used in Password Managers. arXiv:2106.03626
  2. EasyCrypt: Computer-Aided Cryptographic Proofs. (2021). https://easycrypt.info/
  3. NIST. (2020). Digital Identity Guidelines: Authentication and Lifecycle Management. SP 800-63B
  4. Klein, G., et al. (2009). seL4: Formal verification of an OS kernel. SOSP '09
  5. Zinzindohoué, J. K., et al. (2017). HACL*: A Verified Modern Cryptographic Library. CCS '17
  6. Bonneau, J., et al. (2012). The quest to replace passwords: A framework for comparative evaluation of web authentication schemes. IEEE S&P
  7. Ur, B., et al. (2016). "I added '!' at the end to make it secure": Observing password creation in the lab. SOUPS '16