ভাষা নির্বাচন করুন

ট্রেঞ্চকোট: পাসওয়ার্ড তৈরির জন্য মানব-গণনাযোগ্য হ্যাশিং অ্যালগরিদম

পাসওয়ার্ড ম্যানেজার ছাড়াই নিরাপত্তার জন্য সহযোগী স্মৃতির সুবিধা নিয়ে পাসওয়ার্ড তৈরির জন্য মানব-গণনাযোগ্য হ্যাশ ফাংশনের বিশ্লেষণ।
computationalcoin.com | PDF Size: 0.9 MB
রেটিং: 4.5/5
আপনার রেটিং
আপনি ইতিমধ্যে এই ডকুমেন্ট রেট করেছেন
PDF ডকুমেন্ট কভার - ট্রেঞ্চকোট: পাসওয়ার্ড তৈরির জন্য মানব-গণনাযোগ্য হ্যাশিং অ্যালগরিদম
PDF ডকুমেন্ট দেখুন PDF ডাউনলোড করুন PDF অনুবাদ করুন
হোম » ডকুমেন্টেশন » ট্রেঞ্চকোট: পাসওয়ার্ড তৈরির জন্য মানব-গণনাযোগ্য হ্যাশিং অ্যালগরিদম

1. ভূমিকা

আধুনিক ডিজিটাল পরিস্থিতিতে ব্যক্তিদের বিপুল সংখ্যক অনলাইন অ্যাকাউন্ট (গড়ে ৯০-১৩০টি) পরিচালনা করতে হয়, যার ফলে পুনর্ব্যবহার ও পূর্বাভাসযোগ্য প্যাটার্নের মতো অনিরাপদ পাসওয়ার্ড পদ্ধতির উদ্ভব ঘটে। প্রচলিত সমাধান—জটিল পাসওয়ার্ড নিয়ম ও পাসওয়ার্ড ম্যানেজার—প্রায়শই উচ্চ জ্ঞানীয় চাপ বা নিরাপত্তা দুর্বলতার কারণে ব্যর্থ হয়। এই গবেষণাপত্র ট্রেঞ্চকোট উপস্থাপন করে, যা মানব-গণনাযোগ্য হ্যাশ ফাংশন-এর একটি নতুন প্যারাডাইম, যেটি একটি একক মাস্টার সিক্রেট থেকে প্রতিটি সাইটের জন্য অনন্য, নিরাপদ পাসওয়ার্ড তৈরি করার জন্য ডিজাইন করা হয়েছে এবং ব্যবহারকারী মানসিকভাবে এটি সম্পাদন করেন।

2. বর্তমান পাসওয়ার্ড পদ্ধতির সমস্যা

ব্যবহারকারীরা পরস্পরবিরোধী চাহিদার মুখোমুখি হন: শত শত সাইটের জন্য এলোমেলো, অনন্য পাসওয়ার্ড তৈরি করুন আবার সেগুলো সব মনে রাখুন। এর ফলে দেখা দেয়:

  • পাসওয়ার্ড পুনর্ব্যবহার: ৫০% এর বেশি পাসওয়ার্ড একাধিক অ্যাকাউন্টে পুনর্ব্যবহৃত হয়।
  • পূর্বাভাসযোগ্য প্যাটার্ন: সাধারণ শব্দ, নাম এবং সহজ প্রতিস্থাপনের ব্যবহার।
  • ম্যানেজারের দুর্বলতা: পাসওয়ার্ড ম্যানেজার জিরো-ডে এক্সপ্লয়েটের জন্য ঘন ঘন লক্ষ্যবস্তু হয়।
  • জ্ঞানীয় অতিরিক্ত চাপ: নিরাপত্তা বিঘ্নিত করে সুবিধার জন্য জটিল নিয়ম উপেক্ষা করা হয়।

মনে রাখার ক্ষমতা ও নিরাপত্তার মধ্যে ট্রেড-অফ এখনও প্রমাণীকরণের কেন্দ্রীয় অমীমাংসিত সমস্যা হিসেবে রয়ে গেছে।

3. ট্রেঞ্চকোট কাঠামো

ট্রেঞ্চকোট প্রস্তাব করে যে, মানব জ্ঞানীয়তার জন্য উপযোগী ফাংশন ব্যবহার করে গণনা ডিভাইস থেকে ব্যবহারকারীর মস্তিষ্কে স্থানান্তরিত হোক।

3.1. মূল ধারণা: মানব-গণনাযোগ্য হ্যাশ ফাংশন

মূল ফাংশনটি সংজ্ঞায়িত করা হয় $F_R(s, w) \rightarrow y$ হিসেবে, যেখানে:

  • $s$: ব্যবহারকারীর মাস্টার সিক্রেট (অগত্যা একটি স্ট্রিং নয়)।
  • $w$: ওয়েবসাইট/অ্যাকাউন্ট শনাক্তকারী (যেমন "google.com")।
  • $R$: ব্যবহারকারীর সহযোগী ও অন্তর্নিহিত স্মৃতির অনন্য কনফিগারেশন।
  • $y$: উৎপন্ন পাসওয়ার্ড (উপ-সিক্রেট)।

$F$ ফাংশনটি $R$ দ্বারা প্যারামিটারাইজড, যা এটিকে প্রত্যেক ব্যক্তির জন্য অনন্য করে তোলে এবং প্রতিপক্ষের পক্ষে প্রতিলিপি বা যাচাই করা কঠিন করে তোলে।

3.2. সহযোগী ও অন্তর্নিহিত স্মৃতির ব্যবহার (R)

মূল উদ্ভাবন হল $R$-কে অন্তর্ভুক্ত করা—ব্যবহারকারীর স্মৃতির স্বকীয় কাঠামো, যার মধ্যে ব্যক্তিগত সংযোগ, স্থানিক স্মরণ এবং অন্তর্নিহিত জ্ঞান রয়েছে। এটি একটি জ্ঞানীয় শারীরিকভাবে অননুকরণযোগ্য ফাংশন (PUF) হিসেবে কাজ করে। $R$ সম্পর্কে জ্ঞান না থাকা একজন প্রতিপক্ষ $F_R$ কার্যকরভাবে গণনা করতে পারে না, এমনকি যদি $s$ এবং $w$ জানা থাকে তবুও।

3.3. ফাংশনের উদাহরণ ও প্রাথমিক অপারেশন

প্রস্তাবিত অ্যালগরিদম শুধুমাত্র প্রাথমিক, সহজলভ্য অপারেশন প্রয়োজন:

  • পাটিগণিত: $s$ এবং $w$ থেকে প্রাপ্ত অঙ্কের উপর সহজ যোগ, মডুলো অপারেশন।
  • স্থানিক নেভিগেশন: মানসিকভাবে একটি ব্যক্তিগত স্মৃতি প্রাসাদ বা গ্রিড অতিক্রম করা।
  • প্যাটার্ন অনুসন্ধান: একটি ব্যক্তিগত মানসিক পাঠ্য বা চিত্রের মধ্যে ক্রম খুঁজে বের করা।

এগুলো সিস্টেমটিকে স্নায়ুবৈচিত্র্যপূর্ণ এবং ভিন্নভাবে সক্ষম ব্যক্তিদের জন্য প্রবেশযোগ্য করে তোলে।

4. নিরাপত্তা বিশ্লেষণ ও পদ্ধতি

প্রচলিত ক্রিপ্টোগ্রাফিক বিশ্লেষণ অপর্যাপ্ত। ট্রেঞ্চকোট একটি বহুমুখী পদ্ধতি প্রয়োগ করে:

4.1. এনট্রপি-ভিত্তিক মূল্যায়ন

নিরাপত্তা পরিমাপ করা হয় $F_R$ ফাংশন এবং মাস্টার সিক্রেট $s$ দ্বারা প্রবর্তিত কার্যকর এনট্রপি দ্বারা। লক্ষ্য হল নিশ্চিত করা যে $y$-এর আউটপুট স্পেস ব্রুট-ফোর্স ও ডিকশনারি আক্রমণ প্রতিরোধের জন্য যথেষ্ট বড়, মানব গণনার সীমাবদ্ধতাগুলো বিবেচনা করে।

4.2. প্রচলিত ক্রিপ্টোগ্রাফি ও PUF-এর সাথে তুলনা

সিস্টেমটি একটি PUF [37]-এর অনুরূপ, যেখানে $R$ হল অননুকরণযোগ্য "শারীরিক" স্তর। ডিজিটাল PUF-এর বিপরীতে, $R$ একটি জ্ঞানীয় গঠন। এটি অ্যালগরিদমের গোপনীয়তার পরিবর্তে প্রক্রিয়ার অস্পষ্টতা এর মাধ্যমে নিরাপত্তা প্রদান করে, যা এই নির্দিষ্ট হুমকি মডেলের (দূরবর্তী আক্রমণকারী) জন্য একটি বিতর্কিত কিন্তু সম্ভাব্য কার্যকর মডেল।

5. পরীক্ষামূলক ফলাফল ও ব্যবহারকারী সমীক্ষা

5.1. সমীক্ষা পদ্ধতি (n=134)

একটি ব্যবহারকারী সমীক্ষা পরিচালিত হয়েছিল যেখানে ১৩৪ জন অংশগ্রহণকারী প্রত্যেকে দুটি প্রার্থী ট্রেঞ্চকোট স্কিম পরীক্ষা করেছিলেন। সমীক্ষায় মাস্টার সিক্রেট মনে রাখার ক্ষমতা, পাসওয়ার্ড তৈরি করার সময়, ত্রুটির হার এবং বিষয়ভিত্তিক ব্যবহারযোগ্যতা মূল্যায়ন করা হয়েছিল।

5.2. কর্মদক্ষতা ও ব্যবহারযোগ্যতা অনুসন্ধান

প্রাথমিক ফলাফল নির্দেশ করে যে, ব্যবহারকারীরা একটি সংক্ষিপ্ত প্রশিক্ষণকালের পরে নির্ভরযোগ্যভাবে পাসওয়ার্ড তৈরি করতে পারেন। স্থানিক স্মৃতির উপর ভিত্তি করে স্কিমগুলি কিছু ব্যবহারকারীর জন্য কম ত্রুটির হার দেখিয়েছে। জ্ঞানীয় চাপ একাধিক অনন্য পাসওয়ার্ড পরিচালনার চেয়ে উল্লেখযোগ্যভাবে কম বলে রিপোর্ট করা হয়েছে, কিন্তু সহজ পাসওয়ার্ড পুনর্ব্যবহারের চেয়ে বেশি।

চার্ট অন্তর্দৃষ্টি (ধারণাগত): একটি প্রকল্পিত বার চার্ট দেখাবে যে ট্রেঞ্চকোট পদ্ধতির জন্য ৫টি ট্রায়াল জুড়ে অনুশীলনের সাথে "পাসওয়ার্ড তৈরি করার সময়" হ্রাস পাচ্ছে, যখন "স্মরণ নির্ভুলতা" উচ্চ (>৯০%) থাকে। "প্রচলিত এলোমেলো পাসওয়ার্ড স্মরণ"-এর জন্য একটি তুলনামূলক রেখা ৭ দিনের সময়কাল জুড়ে একটি খাড়া পতন দেখাবে।

5.3. ওয়েবসাইট পাসওয়ার্ড নীতি সমীক্ষা (n=400)

৪০০টি ওয়েবসাইটের একটি সমীক্ষায় অসামঞ্জস্যপূর্ণ এবং প্রায়শই পরস্পরবিরোধী পাসওয়ার্ড নীতি প্রকাশ পেয়েছে, যা ব্যবহারকারীর সম্মতি প্রদানে অসুবিধাকে শক্তিশালী করে এবং ট্রেঞ্চকোটের মতো একটি একীভূত, ব্যবহারকারী-কেন্দ্রিক জেনারেশন পদ্ধতির প্রয়োজনীয়তা ন্যায়সঙ্গত করে।

6. প্রযুক্তিগত বিবরণ ও গাণিতিক কাঠামো

একটি সহজ পাটিগণিত-ভিত্তিক ট্রেঞ্চকোট ফাংশন বিবেচনা করুন:

  1. মাস্টার সিক্রেট $s$ এবং ওয়েবসাইট $w$ কে সংখ্যাসূচক ক্রমে ম্যাপ করুন (যেমন, একটি ব্যক্তিগত সাইফার ব্যবহার করে)।
  2. প্রি-ডিফাইন্ড, $R$-নির্ভর অপারেশনের একটি সিরিজ সম্পাদন করুন। উদাহরণ: $y_i = (s_i + w_i + k_i) \mod 10$, যেখানে $k_i$ হল একটি ব্যক্তিগত স্মৃতি ট্রিগার (যা $R$-এর অংশ) এর $i^{th}$ অবস্থান থেকে প্রাপ্ত একটি অঙ্ক।
  3. ফলাফল $y_i$ গুলো সংযুক্ত করুন এবং একটি চূড়ান্ত ব্যক্তিগত নিয়ম প্রয়োগ করুন (যেমন, সমস্ত অঙ্কের যোগফলের সাথে সম্পর্কিত অক্ষরটিকে বড় হাতের করুন)।

নিরাপত্তা $s$-এর এনট্রপি এবং $R$ দ্বারা প্রবর্তিত নন-লিনিয়ার, ব্যবহারকারী-নির্দিষ্ট মিশ্রণের উপর নির্ভর করে।

7. বিশ্লেষণ কাঠামো ও উদাহরণ কেস

কেস স্টাডি: একটি স্থানিক-নেভিগেশন ট্রেঞ্চকোট ফাংশনের মূল্যায়ন

কাঠামো: একটি বেসলাইন হিসেবে স্মরণীয় সিক্রেটের জন্য NIST SP 800-63B নির্দেশিকা ব্যবহার করুন, কিন্তু জ্ঞানীয় মনোবিজ্ঞান মেট্রিক্স দ্বারা সম্পূরক করুন।

  1. হুমকি মডেল: বড় ব্রিচ কর্পাস সহ দূরবর্তী আক্রমণকারী। ব্যবহারকারীর মানসিক প্রক্রিয়া ($R$) পর্যবেক্ষণ করতে পারে না।
  2. এনট্রপি অনুমান: আউটপুট $y$-এর শ্যানন এনট্রপি শুধুমাত্র অ্যালগরিদম থেকে নয়, বরং আক্রমণকারীর দৃষ্টিকোণ থেকে গণনা করুন, যাকে $R$ অনুমান করতে হবে। $R$-কে জ্ঞানীয় প্যাটার্নের একটি বিশাল স্থান থেকে একটি নির্বাচন হিসেবে মডেল করুন।
  3. ব্যবহারযোগ্যতা পরীক্ষা: অনুশীলন ছাড়া ১ সপ্তাহ পর সাফল্যের হার পরিমাপ করুন। পাসওয়ার্ড ম্যানেজার রিকল এবং সরল পাসওয়ার্ড রিকলের সাথে তুলনা করুন।
  4. স্থিতিস্থাপকতা বিশ্লেষণ: পরীক্ষা করুন যে একটি সাইট $w_1$-এর জন্য $y$-এর সমঝোতা অন্য সাইট $w_2$-এর জন্য $s$ বা $R$ সম্পর্কে তথ্য ফাঁস করে যা $y$-কে দুর্বল করে কিনা। এটি হ্যাশ ফাংশনের মূল ক্রিপ্টোগ্রাফিক প্রয়োজনীয়তা।

এই বিশ্লেষণের জন্য কোন কোডের প্রয়োজন নেই; এটি একটি কাঠামোবদ্ধ মূল্যায়ন পদ্ধতি।

8. সমালোচনামূলক বিশ্লেষণ ও শিল্প দৃষ্টিভঙ্গি

মূল অন্তর্দৃষ্টি: ট্রেঞ্চকোট শুধু আরেকটি পাসওয়ার্ড স্কিম নয়; এটি একটি আমূল বাজি যে জ্ঞানীয় বৈচিত্র্য একটি ক্রিপ্টোগ্রাফিক প্রিমিটিভ হতে পারে। এটি অনেক নিরাপত্তা-সচেতন ব্যবহারকারী ইতিমধ্যেই অস্পষ্টভাবে যে "ব্যক্তিগত অ্যালগরিদম" ব্যবহার করেন তা আনুষ্ঠানিক করার চেষ্টা করে, একটি দুর্বলতা (মানব পূর্বাভাসযোগ্যতা) কে একটি শক্তি (মানব অনন্যতা) তে পরিণত করে।

যুক্তিসঙ্গত প্রবাহ: যুক্তিটি আকর্ষণীয় কিন্তু একটি ভঙ্গুর শৃঙ্খলের উপর নির্ভর করে। ১) ব্যবহারকারীদের অবশ্যই একটি শক্তিশালী, স্মরণীয় $s$ তৈরি করতে হবে—সবচেয়ে পুরনো অমীমাংসিত সমস্যা। ২) $R$ কনফিগারেশন সময়ের সাথে এবং বিভিন্ন প্রসঙ্গে (চাপ, ক্লান্তি) স্থিতিশীল থাকতে হবে। স্নায়ুবিজ্ঞান ইঙ্গিত দেয় যে স্মৃতি স্মরণ একটি নির্ধারক ফাংশন নয় [একটি ডিজিটাল PUF-এর চ্যালেঞ্জ-রেসপন্সের মতো]; এটি কোলাহলপূর্ণ এবং প্রসঙ্গ-নির্ভর। ৩) নিরাপত্তা যুক্তি $R$-কে মডেল করার অসম্ভবতার উপর নির্ভর করে। তবুও, আচরণগত বিশ্লেষণ এবং AI ডিজিটাল পদচিহ্ন থেকে ব্যক্তিগত জ্ঞানীয় প্যাটার্ন মডেল করার জন্য ক্রমবর্ধমানভাবে দক্ষ হয়ে উঠছে।

শক্তি ও ত্রুটি: এর সর্বশ্রেষ্ঠ শক্তি হল পাসওয়ার্ড ম্যানেজার আক্রমণের পৃষ্ঠতল এড়িয়ে যাওয়া। চুরি করার জন্য কোন ডাটাবেস নেই, ফিশ করার জন্য কোন মাস্টার পাসওয়ার্ড নেই। এর ত্রুটি হল অস্বীকৃতি ও পুনরুদ্ধার। যদি একজন ব্যবহারকারী মাথায় আঘাতের পরে বা সময়ের সাথে সাথে তাদের $R$ প্রক্রিয়া ভুলে যায়, তবে সমস্ত উদ্ভূত পাসওয়ার্ড অপরিবর্তনীয়ভাবে হারিয়ে যায়—একটি পাসওয়ার্ড ম্যানেজারের পুনরুদ্ধার বিকল্পের তুলনায় একটি বিপর্যয়। তদুপরি, জ্ঞানীয় নিরাপত্তা প্রিমিটিভের গবেষণায় উল্লিখিত হিসাবে, একজন মানুষের জন্য "কাজের ফ্যাক্টর" স্থির এবং কম, যা সিলিকন-ভিত্তিক ক্রিপ্টোগ্রাফির তুলনায় এনট্রপি স্কেলিং সীমিত করে।

কার্যকরী অন্তর্দৃষ্টি: এন্টারপ্রাইজ নিরাপত্তা স্থপতিদের জন্য, ট্রেঞ্চকোট একটি প্রস্তুত-মোতায়েন সমাধান নয় বরং একটি গুরুত্বপূর্ণ গবেষণা ভেক্টর। জ্ঞানীয় ধারাবাহিকতার উপর অনুদৈর্ঘ্য তথ্য সংগ্রহ করতে নিম্ন-ঝুঁকি অভ্যন্তরীণ পরিবেশে এটি পাইলট করুন। গবেষকদের জন্য, অগ্রাধিকার হল $R$-এর এনট্রপি কঠোরভাবে পরিমাপ করা। প্রস্তাবিত স্মৃতি-ভিত্তিক ফাংশনের স্থিতিশীলতা ও অনন্যতা পরিমাপের পরীক্ষা ডিজাইন করতে স্নায়ুবিজ্ঞানীদের সাথে সহযোগিতা করুন। এই ক্ষেত্রটিকে অবশ্যই সাধারণ ব্যবহারকারী সমীক্ষার বাইরে নিয়ন্ত্রিত পরীক্ষায় যেতে হবে যা প্রকৃত আক্রমণের পৃষ্ঠতল ম্যাপ করে, সম্ভবত $R$ অনুমান করার চেষ্টা করা একজন আক্রমণকারীকে সিমুলেট করতে শত্রু মেশিন লার্নিংয়ের কাঠামো ব্যবহার করে।

9. ভবিষ্যতের প্রয়োগ ও গবেষণার দিকনির্দেশ

  • হাইব্রিড সিস্টেম: একটি মাল্টি-ফ্যাক্টর সমাধানের জন্য একটি নিম্ন-এনট্রপি ট্রেঞ্চকোট আউটপুটকে একটি ডিভাইস-ধারণকৃত উচ্চ-এনট্রপি কী এর সাথে একত্রিত করুন।
  • জ্ঞানীয় বায়োমেট্রিক্স: $F_R$ সম্পাদনের প্রক্রিয়াটিকে একটি অবিচ্ছিন্ন প্রমাণীকরণ ফ্যাক্টর হিসেবে ব্যবহার করুন, জ্ঞানীয় "স্বাক্ষর" পরিবর্তিত হলে অস্বাভাবিকতা সনাক্ত করুন।
  • পোস্ট-কোয়ান্টাম প্রস্তুতি: অন্বেষণ করুন যে AI-এর জন্য কঠিন কিন্তু মানুষের জন্য সহজ সমস্যার উপর ভিত্তি করে মানব-গণনাযোগ্য ফাংশন (নির্দিষ্ট স্থানিক যুক্তি কাজ) দীর্ঘমেয়াদী নিরাপত্তা দিতে পারে কিনা।
  • প্রবেশযোগ্যতা-প্রথম নকশা: নির্দিষ্ট জ্ঞানীয় বা শারীরিক প্রোফাইল সহ ব্যবহারকারীদের জন্য বিশেষায়িত ফাংশন বিকাশ করুন, প্রবেশযোগ্যতার প্রয়োজনীয়তাকে নিরাপত্তা বৈশিষ্ট্যে পরিণত করুন।
  • মানককরণ প্রচেষ্টা: মানব-গণনাযোগ্য ফাংশন বর্ণনা ও মূল্যায়নের জন্য একটি কাঠামো নিয়ে কাজ শুরু করুন, প্রচলিত ক্রিপ্টোগ্রাফিতে NIST-এর ভূমিকার অনুরূপ।

10. তথ্যসূত্র

  1. Rooparaghunath, R. H., Harikrishnan, T. S., & Gupta, D. (2023). Trenchcoat: Human-Computable Hashing Algorithms for Password Generation. arXiv preprint arXiv:2310.12706.
  2. Bonneau, J., Herley, C., van Oorschot, P. C., & Stajano, F. (2012). The quest to replace passwords: A framework for comparative evaluation of web authentication schemes. IEEE Symposium on Security and Privacy.
  3. NIST. (2017). Digital Identity Guidelines: Authentication and Lifecycle Management (SP 800-63B).
  4. Ur, B., et al. (2016). Design and evaluation of a data-driven password meter. CHI.
  5. Pearman, S., et al. (2017). Let's go in for a closer look: Observing passwords in their natural habitat. CCS.
  6. Garfinkel, S. (2005). Design Principles and Patterns for Computer Systems That Are Simultaneously Secure and Usable. PhD Thesis.
  7. M'Raihi, D., et al. (2011). TOTP: Time-Based One-Time Password Algorithm (RFC 6238).
  8. Neuroscience of Memory Review. (2022). Annual Review of Psychology.
  9. Pappas, C., et al. (2022). On the Stability of Behavioral Biometrics. IEEE Transactions on Biometrics, Behavior, and Identity Science.