PESrank: বহুমাত্রিক র‍্যাঙ্ক অনুমানের মাধ্যমে অনলাইন পাসওয়ার্ড অনুমানযোগ্যতা

1. ভূমিকা

এই গবেষণাপত্রটি PESrank-এর সাথে পরিচয় করিয়ে দেয়, যা একটি নতুন ধরনের পাসওয়ার্ড শক্তি অনুমানকারী, যা একটি সর্বোত্তম সম্ভাব্যতা ক্রমে পাসওয়ার্ডের র‍্যাঙ্ক গণনা করে একটি শক্তিশালী পাসওয়ার্ড ক্র্যাকারের আচরণ সঠিকভাবে মডেল করার জন্য নকশা করা হয়েছে। এটি অনলাইন সিস্টেমে দ্রুত, নির্ভুল এবং ব্যাখ্যাযোগ্য পাসওয়ার্ড শক্তি প্রতিক্রিয়ার গুরুত্বপূর্ণ প্রয়োজন মেটায়।

1.1. পটভূমি

দুর্বলতা সত্ত্বেও, টেক্সট পাসওয়ার্ড এখনও প্রভাবশালী প্রমাণীকরণ পদ্ধতি হিসেবে রয়েছে। সাধারণ হিউরিস্টিক শক্তি অনুমানকারী (যেমন, LUDS নিয়ম) ভুল। মার্কভ মডেল, PCFG, বা নিউরাল নেটওয়ার্ক ব্যবহার করে ক্র্যাকার-ভিত্তিক অনুমানকারীরা ভাল নির্ভুলতা দেয় কিন্তু প্রায়শই দীর্ঘ প্রশিক্ষণের সময় বা রিয়েল-টাইম কার্যকারিতা এবং ব্যাখ্যাযোগ্যতার অভাবের সম্মুখীন হয়।

1.2. অবদানসমূহ

PESrank-এর মূল অবদানগুলি হল পাসওয়ার্ডের জন্য একটি সাইড-চ্যানেল ক্রিপ্টোঅ্যানালিসিস র‍্যাঙ্ক অনুমান কাঠামোর এর নতুন প্রয়োগ, যা গণনা ছাড়াই সেকেন্ডের ভগ্নাংশে র‍্যাঙ্ক অনুমান সক্ষম করে, প্রশিক্ষণের সময় ব্যাপকভাবে হ্রাস করে, পুনঃপ্রশিক্ষণ ছাড়াই দক্ষ মডেল ব্যক্তিগতকরণ, এবং ব্যবহারকারী প্রতিক্রিয়ার জন্য অন্তর্নিহিত ব্যাখ্যাযোগ্যতা।

2. PESrank পদ্ধতি

PESrank পাসওয়ার্ড শক্তি অনুমানকে একটি বহুমাত্রিক র‍্যাঙ্ক অনুমান সমস্যা হিসেবে পুনর্বিন্যাস করে, ক্রিপ্টোগ্রাফিতে ব্যবহৃত সাইড-চ্যানেল আক্রমণ বিশ্লেষণ কৌশল থেকে অনুপ্রেরণা নিয়ে।

2.1. বহুমাত্রিক পাসওয়ার্ড উপস্থাপনা

একটি পাসওয়ার্ডকে একটি d-মাত্রিক অনুসন্ধান স্থানের একটি বিন্দুতে বিভক্ত করা হয়। মাত্রাগুলি স্বাধীন বৈশিষ্ট্য যেমন বেস শব্দ (যেমন, "password"), ক্যাপিটালাইজেশন প্যাটার্ন (যেমন, "Password"), প্রত্যয় সংযোজন (যেমন, "password123"), বা লিট-স্পিক রূপান্তর (যেমন, "p@ssw0rd") উপস্থাপন করে। প্রতিটি মাত্রার সম্ভাব্যতা বন্টন পাসওয়ার্ড ডেটাসেট থেকে আলাদাভাবে শেখা হয়।

2.2. র‍্যাঙ্ক অনুমান কাঠামো

সমস্ত সম্ভাব্য পাসওয়ার্ড গণনা করার পরিবর্তে, PESrank একটি নির্দিষ্ট পাসওয়ার্ড সংমিশ্রণের র‍্যাঙ্ক অনুমান করে সেই সমস্ত পাসওয়ার্ড সংমিশ্রণের সংখ্যা গণনা করে যা প্রদত্ত পাসওয়ার্ডের চেয়ে বেশি সম্ভাব্য (অর্থাৎ, উচ্চতর যৌথ সম্ভাবনা রয়েছে)। এটি একটি সাইড-চ্যানেল আক্রমণে একটি এনক্রিপশন কী-এর র‍্যাঙ্ক অনুমানের অনুরূপ।

3. প্রযুক্তিগত বাস্তবায়ন ও গাণিতিক মডেল

3.1. মূল অ্যালগরিদম ও সূত্র

PESrank-এর মূলটি হল মাত্রা মানের একটি ভেক্টর $\vec{x} = (x_1, x_2, ..., x_d)$ দ্বারা উপস্থাপিত একটি পাসওয়ার্ডের যৌথ সম্ভাবনা গণনা করা। দক্ষতার জন্য একটি সরলীকরণ হিসাবে মাত্রাগুলি স্বাধীন ধরে নিলে, সম্ভাবনা হল: $$P(\vec{x}) = \prod_{i=1}^{d} P_i(x_i)$$ যেখানে $P_i(x_i)$ হল মাত্রা $i$-তে মান $x_i$-এর সম্ভাবনা, যা প্রশিক্ষণ ডেটা থেকে শেখা হয়। র‍্যাঙ্ক $R(\vec{x})$ অনুমান করা হয় সেই সমস্ত ভেক্টর $\vec{y}$-এর সম্ভাবনা যোগ করে যেখানে $P(\vec{y}) > P(\vec{x})$। সম্পূর্ণ গণনা ছাড়াই এই যোগফলের জন্য শক্তিশালী উপরের এবং নিচের সীমা গণনা করতে সাইড-চ্যানেল সাহিত্য থেকে দক্ষ অ্যালগরিদম, যেমন bounding পদ্ধতি, ব্যবহার করা হয়।

3.2. ব্যাখ্যাযোগ্যতা ও ব্যক্তিগতকরণ

বহুমাত্রিক মডেলটি স্বভাবতই ব্যাখ্যাযোগ্য। সিস্টেমটি রিপোর্ট করতে পারে কোন মাত্রাগুলি (যেমন, "একটি অত্যন্ত সাধারণ বেস শব্দ" বা "একটি পূর্বাভাসযোগ্য প্রত্যয় যেমন '123'") একটি পাসওয়ার্ডের নিম্ন র‍্যাঙ্ক (উচ্চ অনুমানযোগ্যতা) এর জন্য সবচেয়ে উল্লেখযোগ্যভাবে অবদান রাখে। ব্যক্তিগতকরণ (যেমন, একজন ব্যবহারকারীর নাম বা জন্ম বছরকে নিষিদ্ধ বেস শব্দ হিসেবে অন্তর্ভুক্ত করা) সংশ্লিষ্ট মাত্রাগুলির জন্য সম্ভাবনা $P_i(x_i)$ প্রায় শূন্যে গতিশীলভাবে সামঞ্জস্য করে অর্জন করা যেতে পারে, যা মডেল পুনঃপ্রশিক্ষণ ছাড়াই র‍্যাঙ্ক গণনাকে তাৎক্ষণিকভাবে প্রভাবিত করে।

4. পরীক্ষামূলক ফলাফল ও কার্যকারিতা

4.1. নির্ভুলতা ও গতির মানদণ্ড

পাইথন বাস্তবায়নটি ব্যাপকভাবে মূল্যায়ন করা হয়েছে। মূল ফলাফলগুলির মধ্যে রয়েছে:

গতি: ৯০৫ মিলিয়ন পাসওয়ার্ডে প্রশিক্ষিত একটি মডেল দিয়েও র‍্যাঙ্ক অনুমানের জন্য সেকেন্ডের ভগ্নাংশের প্রতিক্রিয়া সময়।
নির্ভুলতা: অনুমানকৃত র‍্যাঙ্ক সীমাগুলি প্রকৃত র‍্যাঙ্কের ২-এর একটি গুণক (১-বিট মার্জিন) এর মধ্যে ধারাবাহিকভাবে ছিল, যা উচ্চ নির্ভুলতা প্রদর্শন করে।
প্রশিক্ষণের সময়: নিউরাল নেটওয়ার্ক বা জটিল PCFG মডেলগুলির তুলনায় ব্যাপকভাবে কম, যার জন্য গণনার পরিমাণ অনেক কম প্রয়োজন।

এই মেট্রিকগুলি অনলাইন স্থাপনার জন্য ব্যবহারিক সম্ভাবনা তুলে ধরে।

4.2. বাস্তব-বিশ্বে স্থাপনা

PESrank একটি বিশ্ববিদ্যালয়ের কোর্স নিবন্ধন পৃষ্ঠায় একীভূত করা হয়েছিল। এটি পাসওয়ার্ড তৈরি করা ব্যবহারকারীদের রিয়েল-টাইম, ব্যাখ্যাযোগ্য প্রতিক্রিয়া প্রদান করে, প্রকৃত লোড অবস্থার অধীনে এর ব্যবহারযোগ্যতা এবং কার্যকারিতা প্রদর্শন করে। প্রতিক্রিয়াটি ব্যবহারকারীদের দুর্বল, পূর্বাভাসযোগ্য পাসওয়ার্ড প্যাটার্ন থেকে দূরে রাখতে সাহায্য করে।

5. বিশ্লেষণ কাঠামো ও উদাহরণ কেস

বিশ্লেষকের দৃষ্টিভঙ্গি: মূল অন্তর্দৃষ্টি, যৌক্তিক প্রবাহ, শক্তি ও ত্রুটি, কার্যকরী অন্তর্দৃষ্টি

মূল অন্তর্দৃষ্টি: PESrank শুধু পাসওয়ার্ড মিটারে আরেকটি ক্রমবর্ধমান উন্নতি নয়; এটি একটি মৌলিক দৃষ্টান্ত পরিবর্তন। এটি সফলভাবে সাইড-চ্যানেল র‍্যাঙ্ক অনুমানের কঠোর, পরিমাণগত কাঠামো—যা উচ্চ-ঝুঁকিপূর্ণ ক্রিপ্টোগ্রাফিক হার্ডওয়্যার মূল্যায়নে একটি প্রধান উপাদান—মানুষ-নির্বাচিত পাসওয়ার্ডের বিশৃঙ্খল জগতে স্থানান্তরিত করে। হিউরিস্টিক অনুমান থেকে সম্ভাব্যতা-ভিত্তিক ক্রিপ্টোঅ্যানালিসিসে এই পদক্ষেপটি একটি মাস্টারস্ট্রোক। এটি পাসওয়ার্ড ক্র্যাকিংকে একটি ভাষাগত বা প্যাটার্ন-ম্যাচিং সমস্যা হিসাবে নয়, বরং একটি কাঠামোবদ্ধ সম্ভাব্যতা স্থানে একটি অনুসন্ধান সমস্যা হিসাবে বিবেচনা করে, যা আধুনিক ক্র্যাকার যেমন Hashcat এবং John the Ripper কিভাবে ম্যাংলিং নিয়ম এবং মার্কভ চেইন নিয়ে প্রকৃতপক্ষে কাজ করে তার সাথে পুরোপুরি সামঞ্জস্যপূর্ণ।

যৌক্তিক প্রবাহ: যুক্তিটি মার্জিতভাবে রিডাকশনিস্ট। ১) পাসওয়ার্ডগুলিকে অর্থোগোনাল, ক্র্যাকার-প্রাসঙ্গিক বৈশিষ্ট্যগুলিতে (বেস শব্দ, রূপান্তর) বিভক্ত করুন। ২) লঙ্ঘন ডেটা থেকে প্রতিটি বৈশিষ্ট্যের জন্য একটি সরল সম্ভাব্যতা মডেল শিখুন। ৩) আরও কতগুলি সম্ভাব্য সংমিশ্রণ বিদ্যমান তা গণনা করে একটি পাসওয়ার্ডের অনুমানযোগ্যতা পুনর্গঠন করুন। এটি নিউরাল নেটওয়ার্কগুলির (যেমন [30, 37]-এ) একক, অস্বচ্ছ মডেল বা PCFG-গুলির [41] কখনও কখনও কষ্টকর নিয়ম সেটের প্রয়োজনীয়তা এড়িয়ে যায়। মাত্রাগুলির মধ্যে স্বাধীনতা অনুমান হল এর মূল সরলীকরণ লিপ, কিছু মডেলিং বিশ্বস্ততার বিনিময়ে গতি এবং ব্যাখ্যাযোগ্যতায় বিশাল লাভ অর্জন করে—একটি বিনিময় যা অনুশীলনে অত্যন্ত অনুকূল বলে মনে হয়।

শক্তি ও ত্রুটি: এর শক্তিগুলি দুর্দান্ত: অত্যন্ত দ্রুত গতি এবং স্বাভাবিক ব্যাখ্যাযোগ্যতা হল বাস্তব-বিশ্বে গ্রহণের জন্য কিলার বৈশিষ্ট্য, যা একাডেমিক মডেলগুলির দুটি সবচেয়ে বড় ব্যথার পয়েন্ট মোকাবেলা করে। ব্যক্তিগতকরণ কৌশলটি চতুর এবং ব্যবহারিক। যাইহোক, একটি সমালোচনামূলক ত্রুটি স্বাধীনতা অনুমানে নিহিত। যদিও দক্ষ, এটি পারস্পরিক সম্পর্কগুলিকে উপেক্ষা করে (যেমন, নির্দিষ্ট ক্যাপিটালাইজেশন প্যাটার্ন নির্দিষ্ট বেস শব্দের সাথে হওয়ার সম্ভাবনা বেশি)। এটি জটিল, পারস্পরিক সম্পর্কযুক্ত পাসওয়ার্ডগুলির জন্য র‍্যাঙ্কের ভুল হতে পারে। তদুপরি, এর নির্ভুলতা স্বভাবতই প্রতিটি মাত্রার জন্য এর প্রশিক্ষণ ডেটার গুণমান এবং প্রস্থের সাথে আবদ্ধ, একটি নির্ভরতা যা এটি সমস্ত ডেটা-চালিত মডেলের সাথে ভাগ করে। এটি অতীতের লঙ্ঘনে দেখা যায়নি এমন সত্যিকারের নতুন পাসওয়ার্ড তৈরির কৌশলগুলির সাথে লড়াই করতে পারে।

কার্যকরী অন্তর্দৃষ্টি: নিরাপত্তা দলগুলির জন্য, বার্তাটি পরিষ্কার: LUDS মিটার বাদ দিন। PESrank প্রদর্শন করে যে ক্র্যাকার-নির্ভুল, রিয়েল-টাইম প্রতিক্রিয়া এখন কার্যকরীভাবে সম্ভব। দেখানো একীকরণ পথ—এটিকে একটি নিবন্ধন পোর্টালে এম্বেড করা—একটি ব্লুপ্রিন্ট। গবেষকদের জন্য, ভবিষ্যত হাইব্রিড মডেলগুলিতে নিহিত। PESrank-এর দক্ষ, ব্যাখ্যাযোগ্য কাঠামোকে মাত্রাগুলির মধ্যে পারস্পরিক সম্পর্ক মডেল করার জন্য একটি হালকা নিউরাল উপাদানের সাথে একত্রিত করুন, ঠিক যেমন ভিশন মডেল যেমন CycleGAN বিভিন্ন ডোমেন রূপান্তরের জন্য পৃথক জেনারেটর ব্যবহার করে যখন একটি সুসংগত কাঠামো বজায় রাখে। পরবর্তী সীমান্ত হল অভিযোজিত ব্যক্তিগতকরণ যা একজন ব্যবহারকারীর *প্রত্যাখ্যান করা* পাসওয়ার্ড পরামর্শ থেকে শিখে তার মডেলকে রিয়েল-টাইমে পরিমার্জন করে, স্থির ব্লক তালিকার বাইরে চলে যায়।

6. ভবিষ্যতের প্রয়োগ ও গবেষণার দিকনির্দেশনা

প্রোঅ্যাকটিভ হুমকি শিকার: ব্যবহারকারী-মুখী মিটার ছাড়াও, PESrank-এর মূল অ্যালগরিদম বিদ্যমান পাসওয়ার্ড ডাটাবেস (উপযুক্ত হ্যাশিং সহ) স্ক্যান করতে পারে যাতে অত্যন্ত অনুমানযোগ্য পাসওয়ার্ড সহ অ্যাকাউন্টগুলি সক্রিয়ভাবে সনাক্ত এবং চিহ্নিত করা যায়, বাধ্যতামূলক রিসেট সক্ষম করে।
উন্নত ব্যক্তিগতকরণ ইঞ্জিন: ভবিষ্যতের সিস্টেমগুলি প্রতিষ্ঠানিক ডিরেক্টরির (যেমন, LDAP) সাথে একীভূত হতে পারে যাতে স্বয়ংক্রিয়ভাবে কর্মচারীদের নাম, প্রকল্পের কোডনাম এবং অভ্যন্তরীণ জার্গন দিয়ে মডেলটিকে ব্যক্তিগতকরণ করা যায়, একটি গতিশীল, প্রতিষ্ঠান-নির্দিষ্ট হুমকি মডেল তৈরি করে।
মানদণ্ড নির্ধারণ ও মানকীকরণ: র‍্যাঙ্ক অনুমান পদ্ধতি একটি কঠোর, পরিমাণগত মেট্রিক প্রদান করে। এটি শিল্পব্যাপী পাসওয়ার্ড শক্তি মানদণ্ড নির্ধারণের মানের ভিত্তি তৈরি করতে পারে, অস্পষ্ট "শক্তিশালী" বা "দুর্বল" লেবেলের বাইরে চলে যায়।
ক্রস-মডেল বৈধতা: PESrank একটি দ্রুত, ব্যাখ্যাযোগ্য "প্রথম পাস" ফিল্টার হিসাবে ব্যবহার করা যেতে পারে, সন্দেহজনক পাসওয়ার্ডগুলিকে আরও গণনামূলকভাবে নিবিড় মডেল (যেমন, RNN) দ্বারা গভীর বিশ্লেষণের জন্য চিহ্নিত করা হয়, একটি স্তরযুক্ত প্রতিরক্ষা তৈরি করে।
মাত্রার আন্তঃনির্ভরতা গবেষণা: প্রধান গবেষণার পথ হল স্বাধীনতা অনুমান শিথিল করা। হালকা ওজনের পারস্পরিক সম্পর্ক মডেল (যেমন, মাত্রার উপর বেইজিয়ান নেটওয়ার্ক) অন্বেষণ করা জটিল পাসওয়ার্ডগুলির জন্য নির্ভুলতা উন্নত করতে পারে মূল গতি সুবিধা ত্যাগ না করে।

7. তথ্যসূত্র

L. David and A. Wool, "Online Password Guessability via Multi-Dimensional Rank Estimation," arXiv preprint arXiv:1912.02551v2, 2020.
J. Bonneau, "The Science of Guessing: Analyzing an Anonymized Corpus of 70 Million Passwords," IEEE Symposium on Security and Privacy, 2012.
M. Weir, S. Aggarwal, B. de Medeiros, and B. Glodek, "Password Cracking Using Probabilistic Context-Free Grammars," IEEE Symposium on Security and Privacy, 2009.
W. Melicher, B. Ur, S. M. Segreti, S. Komanduri, L. Bauer, N. Christin, and L. F. Cranor, "Fast, Lean, and Accurate: Modeling Password Guessability Using Neural Networks," USENIX Security Symposium, 2016.
D. Wang, H. Cheng, P. Wang, X. Huang, and G. Jian, "A Security Analysis of Honeywords," NDSS, 2018. (পাসওয়ার্ড-সম্পর্কিত কঠোর বিশ্লেষণের উদাহরণ)
P. G. Kelley, S. Komanduri, M. L. Mazurek, R. Shay, T. Vidas, L. Bauer, N. Christin, L. F. Cranor, and J. Lopez, "Guess Again (and Again and Again): Measuring Password Strength by Simulating Password-Cracking Algorithms," IEEE Symposium on Security and Privacy, 2012.
National Institute of Standards and Technology (NIST), "Digital Identity Guidelines," NIST Special Publication 800-63B, 2017. (প্রমাণীকরণ মানদণ্ডের প্রসঙ্গে)