পাসজিপিটি: বড় ভাষা মডেলের সাহায্যে পাসওয়ার্ড মডেলিং ও নির্দেশিত উৎপাদন

সূচিপত্র

1. ভূমিকা

সরলতা ও বাস্তবায়নের সুবিধার কারণে পাসওয়ার্ড এখনও প্রাধান্য বিধানকারী প্রমাণীকরণ পদ্ধতি। তবে, পাসওয়ার্ড ফাঁস একটি উল্লেখযোগ্য হুমকি তৈরি করে, যা আক্রমণ এবং মানুষের পাসওয়ার্ড তৈরির ধরণ সম্পর্কিত গবেষণা উভয়কেই সম্ভব করে তোলে। এই গবেষণাপত্রটি বড় ভাষা মডেলের (এলএলএম) পাসওয়ার্ড মডেলিংয়ে প্রয়োগ নিয়ে অনুসন্ধান করে, পাসজিপিটি পরিচয় করিয়ে দেয়। পাসজিপিটি হলো একটি এলএলএম যাকে পাসওয়ার্ড ফাঁসের তথ্যের উপর উৎপাদন ও শক্তি অনুমানের জন্য প্রশিক্ষণ দেওয়া হয়েছে, যা পূর্ববর্তী জেনারেটিভ অ্যাডভারসারিয়াল নেটওয়ার্ক (জিএএন)-ভিত্তিক পদ্ধতিগুলোর চেয়ে উন্নত কার্যকারিতা প্রদর্শন করে এবং নির্দেশিত উৎপাদনের মতো নতুন ক্ষমতা উপস্থাপন করে।

2. পদ্ধতি ও স্থাপত্য

পাসজিপিটি জিপিটি-২ স্থাপত্যের উপর ভিত্তি করে তৈরি, যা পাসওয়ার্ডের অনুক্রমিক, অক্ষর-স্তরের উৎপাদনের জন্য অভিযোজিত। এই পদ্ধতিটি জিএএন থেকে মৌলিকভাবে ভিন্ন, যারা পাসওয়ার্ডকে একক, পারমাণবিক একক হিসেবে তৈরি করে।

2.1. পাসজিপিটি মডেল স্থাপত্য

মডেলটি ট্রান্সফরমার ডিকোডার স্থাপত্যের উপর ভিত্তি করে। এটি পাসওয়ার্ডকে অক্ষর (বা টোকেন) এর ক্রম হিসেবে প্রক্রিয়া করে, পূর্ববর্তী প্রসঙ্গ দেওয়া থাকলে পরবর্তী অক্ষরের শর্তাধীন সম্ভাবনা শেখে: $P(x_t | x_{পাসভিকিউটি, উৎপাদিত পাসওয়ার্ডের পারপ্লেক্সিটি (এবং সম্ভাব্য বৈচিত্র্য) বাড়ানোর জন্য ভেক্টর কোয়ান্টাইজেশন কৌশল অন্তর্ভুক্ত করে।

2.2. নির্দেশিত পাসওয়ার্ড উৎপাদন

একটি মূল উদ্ভাবন হলো নির্দেশিত পাসওয়ার্ড উৎপাদন। স্যাম্পলিং পদ্ধতিতে হস্তক্ষেপের মাধ্যমে (যেমন, শর্তাধীন সম্ভাবনা বা সীমাবদ্ধ ডিকোডিং ব্যবহার করে), পাসজিপিটি এমন পাসওয়ার্ড তৈরি করতে পারে যা ব্যবহারকারী-সংজ্ঞায়িত নির্বিচারে শর্ত পূরণ করে (যেমন, "অবশ্যই একটি সংখ্যা এবং একটি বড় হাতের অক্ষর থাকতে হবে"), যা আদর্শ জিএএন দিয়ে সম্ভব নয় এমন একটি কাজ।

2.3. প্রশিক্ষণ ও তথ্য

মডেলটিকে নিরাপত্তা গবেষণায় সাধারণ অফলাইন পাসওয়ার্ড অনুমান হুমকি মডেলের সাথে সামঞ্জস্য রেখে, বড় আকারের পাসওয়ার্ড ফাঁসের তথ্যের উপর অফলাইন, তত্ত্বাবধানবিহীনভাবে প্রশিক্ষণ দেওয়া হয়।

3. পরীক্ষামূলক ফলাফল ও বিশ্লেষণ

3.1. পাসওয়ার্ড অনুমান কার্যকারিতা

পাসজিপিটি পূর্ববর্তী সর্বোচ্চ মানের গভীর জেনারেটিভ মডেলগুলোর (যেমন, জিএএন) তুলনায় উল্লেখযোগ্যভাবে উন্নত কার্যকারিতা দেখায়। এটি ২০% বেশি পূর্বে দেখা যায়নি এমন পাসওয়ার্ড অনুমান করে এবং প্রশিক্ষণের সময় দেখা যায়নি এমন নতুন পাসওয়ার্ড ডেটাসেটে শক্তিশালী সাধারণীকরণ প্রদর্শন করে।

3.2. সম্ভাবনা বণ্টন ও এনট্রপি বিশ্লেষণ

জিএএনগুলোর থেকে ভিন্ন, পাসজিপিটি সম্পূর্ণ পাসওয়ার্ড স্থানের উপর একটি স্পষ্ট সম্ভাবনা বণ্টন প্রদান করে। বিশ্লেষণে দেখা যায় যে, প্রতিষ্ঠিত শক্তি অনুমানকারী (যেমন zxcvbn) দ্বারা "শক্তিশালী" বিবেচিত পাসওয়ার্ডগুলোর জন্য পাসজিপিটি কম সম্ভাবনা (উচ্চ বিস্ময়) নির্ধারণ করে, যা সামঞ্জস্য নির্দেশ করে। এটি এমন পাসওয়ার্ডও চিহ্নিত করে যেগুলো অনুমানকারী দ্বারা শক্তিশালী বিবেচিত কিন্তু মডেলের অধীনে সম্ভাব্যতামূলকভাবে সম্ভাব্য, যা সম্ভাব্য দুর্বলতা প্রকাশ করে।

3.3. জিএএন-ভিত্তিক পদ্ধতির সাথে তুলনা

পাসজিপিটির অনুক্রমিক উৎপাদন জিএএনগুলোর উপর সুবিধা প্রদান করে: ১) স্পষ্ট সম্ভাবনা বণ্টন, ২) নির্দেশিত উৎপাদন ক্ষমতা, ৩) দেখা যায়নি এমন তথ্যে উন্নত কার্যকারিতা। গবেষণাপত্রটি এটিকে পাসওয়ার্ডের জন্য একক-আউটপুট উৎপাদন থেকে নিয়ন্ত্রণযোগ্য, সম্ভাব্যতামূলক ক্রম মডেলিং-এ একটি দৃষ্টান্ত পরিবর্তন হিসেবে উপস্থাপন করে।

4. প্রযুক্তিগত বিবরণ ও গাণিতিক কাঠামো

পাসজিপিটির মূল হলো স্বয়ংক্রিয় প্রতিগমনমূলক ভাষা মডেলিং উদ্দেশ্য, যা প্রশিক্ষণ তথ্যের সম্ভাবনা সর্বাধিক করে:

$L(\theta) = \sum_{i=1}^{N} \sum_{t=1}^{T_i} \log P(x_t^{(i)} | x_{

যেখানে $N$ হলো পাসওয়ার্ডের সংখ্যা, $T_i$ হলো পাসওয়ার্ড $i$ এর দৈর্ঘ্য, $x_t^{(i)}$ হলো $t$-তম অক্ষর, এবং $\theta$ হলো মডেল প্যারামিটার। উৎপাদনের জন্য স্যাম্পলিং বৈচিত্র্য ও গুণমানের ভারসাম্য বজায় রাখতে টপ-কে বা নিউক্লিয়াস স্যাম্পলিংয়ের মতো পদ্ধতি ব্যবহার করে। একটি সম্পূর্ণ পাসওয়ার্ড $S$ এর সম্ভাবনা হলো: $P(S) = \prod_{t=1}^{|S|} P(x_t | x_{

5. মূল অন্তর্দৃষ্টি ও বিশ্লেষকের দৃষ্টিভঙ্গি

মূল অন্তর্দৃষ্টি: গবেষণাপত্রের প্রকৃত যুগান্তকারী আবিষ্কার শুধু একটি উন্নত পাসওয়ার্ড ক্র্যাকার নয়; এটি পাসওয়ার্ড তৈরিকে একটি নিয়ন্ত্রণযোগ্য ক্রম উৎপাদন সমস্যা হিসেবে প্রাতিষ্ঠানিক রূপ দেয়। আধুনিক এনএলপির মূল চালিকাশক্তি—পরবর্তী টোকেন ভবিষ্যদ্বাণী—পাসওয়ার্ডে প্রয়োগ করে, পাসজিপিটি জিএএনগুলোর (যেমন CycleGAN শৈলীর ছবি অনুবাদের মতো) কালো বাক্স, এক-শট উৎপাদন থেকে সরে গিয়ে একটি স্বচ্ছ, পরিচালনাযোগ্য প্রক্রিয়ায় প্রবেশ করে। এটি নিরাপত্তাকে কেবল শক্তি অনুমান থেকে পাসওয়ার্ড পছন্দের পিছনে মানুষের প্রক্রিয়া মডেলিং-এ পুনঃনির্ধারণ করে।

যুক্তিসঙ্গত প্রবাহ: যুক্তিটি আকর্ষণীয়: ১) এলএলএম জটিল, বাস্তব-বিশ্বের বণ্টন (টেক্সট) ধারণে দক্ষ। ২) পাসওয়ার্ড একটি সীমাবদ্ধ, মানুষ-উৎপাদিত উপ-ভাষা। ৩) অতএব, এলএলএম সেগুলো কার্যকরভাবে মডেল করবে—যা তারা করে, জিএএনগুলোর চেয়ে এগিয়ে। ৪) এলএলএমগুলোর অনুক্রমিক প্রকৃতি নির্দেশিত উৎপাদনের দ্বার উন্মোচন করে, যা নীতিসচেতন ক্র্যাকিং বা সক্রিয় শক্তি পরীক্ষার জন্য একটি অত্যন্ত কার্যকর অ্যাপ্লিকেশন। ৫) স্পষ্ট সম্ভাবনা আউটপুট নিরাপত্তার জন্য একটি সরাসরি, ব্যাখ্যাযোগ্য মেট্রিক প্রদান করে, যা জেনারেটিভ আক্রমণ এবং সম্ভাব্যতামূলক শক্তি অনুমানকারীদের মধ্যে ব্যবধান পূরণ করে।

শক্তি ও ত্রুটি: শক্তি অত্যন্ত স্পষ্ট: উন্নত কার্যকারিতা এবং নতুন কার্যকারিতা। নির্দেশিত উৎপাদনের প্রদর্শনী একটি মাস্টারস্ট্রোক, যা তাৎক্ষণিক ব্যবহারিক উপযোগিতা দেখায়। তবে, বিশ্লেষণে এমএল-ফর-সিকিউরিটি গবেষণাপত্রগুলোর একটি সাধারণ গুরুতর ত্রুটি রয়েছে: এটি দ্বৈত-ব্যবহারের প্রকৃতির চারপাশে ঘোরে। "শক্তি অনুমানকারী উন্নত করা" উল্লেখ করার সময়, প্রাথমিক প্রদর্শিত ব্যবহার আক্রমণাত্মক (অনুমান)। নৈতিক কাঠামো পাতলা। তদুপরি, যদিও এটি জিএএনগুলোর চেয়ে এগিয়ে, উন্নত রুলসেট সহ হ্যাশক্যাটের মতো বিশাল, নিয়ম-ভিত্তিক ক্র্যাকিং টুলগুলোর সাথে তুলনা কম স্পষ্ট। মডেলের কার্যকারিতা এখনও তার প্রশিক্ষণ তথ্য—ফাঁস—দ্বারা সীমাবদ্ধ, যা সমস্ত মানুষের পাসওয়ার্ড আচরণের প্রতিনিধিত্ব নাও করতে পারে।

কার্যকরী অন্তর্দৃষ্টি: রক্ষাকারীদের জন্য, এটি ধ্বংসের সংকেত নয় বরং অস্ত্র গ্রহণের আহ্বান। প্রথমত, পাসওয়ার্ড শক্তি অনুমানকারীদের অবশ্যই এমন জেনারেটিভ সম্ভাবনা একীভূত করতে হবে, যেমনটি প্রস্তাবিত। zxcvbn-এর মতো টুলগুলোর পুনর্নির্মাণ করা উচিত যাতে শুধুমাত্র স্থির নিয়মের বিরুদ্ধে নয়, বরং একটি পাসজিপিটি-সদৃশ মডেলের সম্ভাবনার বিরুদ্ধেও পাসওয়ার্ড পরীক্ষা করা যায়। দ্বিতীয়ত, রেড টিমগুলোর উচিত অভ্যন্তরীণ নিরীক্ষার জন্য এই পদ্ধতিটি অবিলম্বে গ্রহণ করা; নির্দিষ্ট পাসওয়ার্ড নীতির সাথে সম্মতি পরীক্ষার জন্য নির্দেশিত উৎপাদন নিখুঁত। তৃতীয়ত, এই গবেষণা পাসওয়ার্ডের বাইরে যাওয়ার প্রয়োজনীয়তা যাচাই করে। যদি একটি এলএলএম এগুলো এত ভালোভাবে মডেল করতে পারে, তবে দীর্ঘমেয়াদী এনট্রপি ধসে পড়ছে। FIDO2/WebAuthn এবং পাসকিতে বিনিয়োগ আরও জরুরি হয়ে উঠেছে। মূল বক্তব্য: পাসজিপিটিকে একটি ক্র্যাকার হিসেবে নয়, বরং মানুষের পাসওয়ার্ড দুর্বলতার সবচেয়ে সঠিক সিমুলেটর হিসেবে বিবেচনা করুন যা এখন পর্যন্ত তৈরি হয়েছে। প্রতিপক্ষের আগে আপনার প্রতিরক্ষা ঠিক করতে এটি ব্যবহার করুন।

6. বিশ্লেষণ কাঠামো: উদাহরণ কেস

পরিস্থিতি: একটি কোম্পানির নীতিতে কমপক্ষে একটি বড় হাতের অক্ষর, একটি সংখ্যা এবং একটি বিশেষ অক্ষর সহ পাসওয়ার্ড প্রয়োজন। একটি ঐতিহ্যগত নিয়ম-ভিত্তিক ক্র্যাকার ম্যাংলিং নিয়ম ব্যবহার করতে পারে। একটি জিএএন শুধুমাত্র নিয়ম-সম্মত পাসওয়ার্ড তৈরি করতে সংগ্রাম করবে।

পাসজিপিটি নির্দেশিত উৎপাদন পদ্ধতি:

1. সীমাবদ্ধতা সংজ্ঞা: অক্ষর-ধরণের অবস্থান প্রয়োগ করার জন্য স্যাম্পলিং প্রক্রিয়ার জন্য একটি মাস্ক বা যুক্তি সংজ্ঞায়িত করুন।
2. সীমাবদ্ধ স্যাম্পলিং: প্রতিটি অক্ষর $x_t$ এর স্বয়ংক্রিয় প্রতিগমনমূলক উৎপাদনের সময়, স্যাম্পলিং বণ্টন ফিল্টার বা পক্ষপাতদুষ্ট করা হয় যাতে শুধুমাত্র সেই অক্ষরগুলোর সেট থেকে অক্ষরগুলোর অনুমতি দেওয়া হয় যা অবশিষ্ট নীতি প্রয়োজনীয়তা পূরণ করে (যেমন, যদি অবস্থান $t$ দ্বারা কোনো সংখ্যা উৎপাদিত না হয়ে থাকে, তবে সংখ্যার উপর সম্ভাবনা ভর বাড়ান)।
3. আউটপুট: মডেলটি "C@t9Lover" বা "F1r3Tr#ck" এর মতো ক্রম তৈরি করে যা সম্ভাব্যতামূলকভাবে সম্ভাব্য (ফাঁস থেকে শেখা) এবং নীতি-সম্মত উভয়ই।

এটি প্রদর্শন করে যে কীভাবে পাসজিপিটি নীতি-সচেতন নিরাপত্তা পরীক্ষার জন্য ব্যবহার করা যেতে পারে, সবচেয়ে সম্ভাব্য দুর্বল পাসওয়ার্ড তৈরি করে যা এখনও নীতি পরীক্ষা পাস করে, নীতি ফাঁক চিহ্নিত করে।

7. প্রয়োগের সম্ভাবনা ও ভবিষ্যৎ দিকনির্দেশনা

স্বল্পমেয়াদী (১-২ বছর):

• পাসজিপিটি-সদৃশ মডেলগুলোর বাণিজ্যিক ও ওপেন-সোর্স পাসওয়ার্ড শক্তি অনুমানকারীদের সাথে একীভূতকরণ (যেমন, zxcvbn-এর জন্য একটি প্লাগইন হিসেবে)।
• আক্রমণ পরীক্ষার কাঠামো দ্বারা আরও দক্ষ, বুদ্ধিমান পাসওয়ার্ড স্প্রেয়িং এবং ব্রুট-ফোর্স সিমুলেশনের জন্য গ্রহণ।
• "প্রতিকূল পাসওয়ার্ড" জেনারেটর উন্নয়ন, ঐতিহ্যগত মেট্রিক্স দ্বারা শক্তিশালী কিন্তু এলএলএম মডেলের অধীনে সম্ভাব্য এমন পাসওয়ার্ড তৈরি করে সিস্টেমগুলোর চাপ পরীক্ষা করার জন্য।

মধ্যমেয়াদী (৩-৫ বছর):

• এলএলএম সম্ভাবনার সাথে ঐতিহ্যগত ক্রিপ্টোগ্রাফিক এনট্রপি পরিমাপের সমন্বয়ে হাইব্রিড মডেল, বহুমুখী শক্তি স্কোরের জন্য।
• প্রতিষ্ঠানের জন্য রিয়েল-টাইম, এপিআই-ভিত্তিক পাসওয়ার্ড চেকিং পরিষেবা, সর্বশেষ ফাঁসের উপর প্রশিক্ষিত ক্রমাগত আপডেট জেনারেটিভ মডেলগুলোর বিরুদ্ধে নতুন পাসওয়ার্ড মূল্যায়ন করে।
• প্লেইনটেক্সট পাসওয়ার্ডের বাইরে প্রয়োগ: পাসফ্রেজ, নিরাপত্তা প্রশ্নের উত্তর এবং এমনকি অস্বাভাবিকতা সনাক্তকরণের জন্য ব্যবহারকারী আচরণ ক্রমের ধরণ মডেলিং।

দীর্ঘমেয়াদী ও গবেষণা সীমান্ত:

• পাসওয়ার্ড মডেলিংয়ের জন্য ডিফিউশন মডেল বা অন্যান্য পরবর্তী প্রজন্মের স্থাপত্য অন্বেষণ।
• সংবেদনশীল ফাঁস কেন্দ্রীভূত না করেই কভারেজ উন্নত করার জন্য বিকেন্দ্রীকৃত, ব্যক্তিগত তথ্যের উপর পাসওয়ার্ড মডেল প্রশিক্ষণের জন্য ফেডারেটেড লার্নিং পদ্ধতি।
• এই মডেলগুলি ব্যবহার করে মৌলিকভাবে নতুন, এলএলএম-প্রতিরোধী পাসওয়ার্ড তৈরির স্কিম ডিজাইন করা, সম্ভাব্যত জেনারেটিভ মডেল ব্যবহার করে ব্যবহারকারীদের পূর্বাভাসযোগ্য ধরণের বিরুদ্ধে "টিকা" দেওয়ার জন্য।

গবেষণাপত্রের সাফল্য দ্বারা ইঙ্গিতিত চূড়ান্ত দিকনির্দেশনা হলো, হিউরিস্টিক পাসওয়ার্ড নিয়মগুলোর ধীরে ধীরে তথ্য-চালিত, সম্ভাব্যতামূলক নিরাপত্তা মডেল দ্বারা প্রতিস্থাপন।

8. তথ্যসূত্র

1. Rando, J., Perez-Cruz, F., & Hitaj, B. (2023). PassGPT: Password Modeling and (Guided) Generation with Large Language Models. arXiv preprint arXiv:2306.01545v2.
2. Goodfellow, I., et al. (2014). Generative Adversarial Nets. Advances in Neural Information Processing Systems.
3. Zhu, J.-Y., et al. (2017). Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks. IEEE International Conference on Computer Vision (ICCV).
4. Vaswani, A., et al. (2012017). Attention Is All You Need. Advances in Neural Information Processing Systems.
5. Melicher, W., et al. (2016). Fast, Lean, and Accurate: Modeling Password Guessability Using Neural Networks. USENIX Security Symposium.
6. Weir, M., et al. (2009). Password Cracking Using Probabilistic Context-Free Grammars. IEEE Symposium on Security and Privacy.
7. FIDO Alliance. (2023). FIDO2/WebAuthn Specifications. Retrieved from https://fidoalliance.org/fido2/.