PESrank: বহুমাত্রিক র‍্যাঙ্ক অনুমানের মাধ্যমে অনলাইন পাসওয়ার্ড অনুমানযোগ্যতা

1. ভূমিকা

এই গবেষণাপত্রটি PESrank-এর সাথে পরিচয় করিয়ে দেয়, যা একটি নতুন ধরনের পাসওয়ার্ড শক্তি অনুমানকারী। এটি একটি পাসওয়ার্ডের র‍্যাঙ্ক একটি সর্বোত্তম সম্ভাব্যতা ক্রমে গণনা করে একটি শক্তিশালী পাসওয়ার্ড ক্র্যাকারের আচরণ সঠিকভাবে মডেল করার জন্য তৈরি করা হয়েছে। এটি LUDS (ছোট হাতের অক্ষর, বড় হাতের অক্ষর, সংখ্যা, প্রতীক) গণনার মতো সরল হিউরিস্টিক্সের বাইরে গিয়ে ব্যবহারিক, অনলাইন-সক্ষম অনুমানকারীর গুরুত্বপূর্ণ প্রয়োজন মেটায়।

1.1. পটভূমি

জ্ঞাত দুর্বলতা সত্ত্বেও, টেক্সট পাসওয়ার্ড এখনও প্রভাবশালী প্রমাণীকরণ পদ্ধতি হিসেবে রয়েছে। ব্যবহারকারীরা প্রায়শই দুর্বল, অনুমানযোগ্য পাসওয়ার্ড বেছে নেয়, যা সিস্টেমগুলিকে অনুমান আক্রমণের জন্য সংবেদনশীল করে তোলে। সঠিক শক্তি সংজ্ঞায়িত করা হয় একজন আক্রমণকারীর এটি অনুমান করতে প্রয়োজনীয় প্রচেষ্টার সংখ্যা হিসেবে। পূর্ববর্তী ক্র্যাকার-ভিত্তিক অনুমানকারীরা মার্কভ মডেল, PCFG এবং নিউরাল নেটওয়ার্ক ব্যবহার করত, কিন্তু প্রায়শই দীর্ঘ প্রশিক্ষণ সময় বা রিয়েল-টাইম ক্ষমতার অভাবের সম্মুখীন হত।

1.2. অবদানসমূহ

PESrank-এর মূল উদ্ভাবন হল সাইড-চ্যানেল ক্রিপ্টোঅ্যানালাইসিস থেকে একটি সম্ভাব্যতা কাঠামোর মধ্যে পাসওয়ার্ড র‍্যাঙ্ক অনুমানকে পুনর্বিন্যাস করা। এটি পাসওয়ার্ডগুলিকে একটি d-মাত্রিক অনুসন্ধান স্থানে (যেমন, বেস শব্দ, প্রত্যয়, বড় হাতের অক্ষর প্যাটার্ন) বিন্দু হিসেবে বিবেচনা করে, প্রতিটি মাত্রার জন্য সম্ভাব্যতা বন্টন স্বাধীনভাবে শেখে। এটি গণনা ছাড়াই দ্রুত, অনলাইন র‍্যাঙ্ক অনুমান, দক্ষ মডেল ব্যক্তিগতকরণ এবং ব্যাখ্যাযোগ্য প্রতিক্রিয়া সক্ষম করে।

2. PESrank পদ্ধতি

PESrank একটি পাসওয়ার্ডকে ব্যাখ্যাযোগ্য মাত্রায় বিভক্ত করে, শক্তি অনুমানের সমস্যাকে একটি বহুমাত্রিক র‍্যাঙ্ক অনুমান কাজে রূপান্তরিত করে।

2.1. বহুমাত্রিক পাসওয়ার্ড উপস্থাপনা

"P@ssw0rd2024!"-এর মতো একটি পাসওয়ার্ড বিভিন্ন মাত্রায় উপস্থাপিত হতে পারে: বেস শব্দ ("password"), L33t প্রতিস্থাপন প্যাটার্ন, প্রত্যয় ("2024"), এবং বিশেষ অক্ষর সংযোজন। প্রতিটি মাত্রার সাথে প্রশিক্ষণ ডেটা থেকে শেখা একটি সম্পর্কিত সম্ভাব্যতা ভর ফাংশন থাকে।

2.2. র‍্যাঙ্ক অনুমান কাঠামো

সমস্ত সম্ভাব্য পাসওয়ার্ড গণনা করার পরিবর্তে, PESrank একটি নির্দিষ্ট পাসওয়ার্ড p-এর র‍্যাঙ্ক R(p) গণনা করে মাত্রাগুলি দ্বারা সংজ্ঞায়িত সমন্বিত স্থান জুড়ে p-এর চেয়ে বেশি সম্ভাব্য সমস্ত পাসওয়ার্ডের সম্ভাব্যতা সমষ্টি করে। এটি সাইড-চ্যানেল বিশ্লেষণে একটি গোপন কী-এর র‍্যাঙ্ক অনুমানের অনুরূপ।

3. প্রযুক্তিগত বাস্তবায়ন ও গাণিতিক মডেল

3.1. সম্ভাব্যতা কাঠামো

ধরা যাক একটি পাসওয়ার্ড p কে d স্বাধীন মাত্রা জুড়ে একটি ভেক্টর (x₁, x₂, ..., x_d) হিসেবে উপস্থাপন করা হয়। p-এর সম্ভাব্যতা আনুমানিকভাবে: $$P(p) \approx \prod_{i=1}^{d} P_i(x_i)$$ যেখানে P_i(x_i) হল মাত্রা i-তে উপাদান x_i-এর প্রান্তিক সম্ভাব্যতা। র‍্যাঙ্ক R(p) হল P(q) > P(p) সহ সমস্ত পাসওয়ার্ড q-এর সম্ভাব্যতার সমষ্টি।

3.2. দক্ষ র‍্যাঙ্ক গণনা

PESrank গণনা ছাড়াই এই সমষ্টি গণনা করতে দক্ষ অ্যালগরিদম ব্যবহার করে। প্রতিটি মাত্রার জন্য, এটি সম্ভাব্যতা অনুসারে উপাদানগুলির বাছাইকৃত তালিকা বজায় রাখে। র‍্যাঙ্ক গণনায় এই তালিকাগুলি অতিক্রম করা এবং আংশিক গুণফল সমষ্টি করা জড়িত, যা ৯০৫ মিলিয়ন পাসওয়ার্ডে প্রশিক্ষিত একটি মডেলের সাথেও সেকেন্ডের নিচে কর্মদক্ষতা অর্জন করে।

4. পরীক্ষামূলক ফলাফল ও মূল্যায়ন

4.1. কর্মদক্ষতা মেট্রিক্স

গবেষণাপত্রটি একটি ব্যাপক মূল্যায়ন রিপোর্ট করে। মূল ফলাফলগুলির মধ্যে রয়েছে:

• গতি: অনলাইন প্রশ্নের জন্য প্রতিক্রিয়া সময় "১ সেকেন্ডেরও অনেক কম"।
• সঠিকতা: উপরের এবং নিচের সীমার মধ্যে ১-বিট মার্জিন পর্যন্ত র‍্যাঙ্ক অনুমান, যা উচ্চ নির্ভুলতা নির্দেশ করে।
• প্রশিক্ষণ সময়: পূর্ববর্তী পদ্ধতিগুলির তুলনায় "খুবই কম" (যার জন্য কয়েক দিন লাগতে পারে)।

চার্ট বর্ণনা (ধারণাগত): একটি বার চার্ট যা PESrank-এর প্রশিক্ষণ সময় (ঘন্টার ক্রম) একটি নিউরাল নেটওয়ার্ক মডেল (দিনের ক্রম) এবং একটি PCFG মডেল (দশক ঘন্টার ক্রম) এর বিরুদ্ধে তুলনা করে। একটি লাইন গ্রাফ ওভারলে দেখায় যে মডেলের আকার (প্রশিক্ষণ সেটে পাসওয়ার্ডের সংখ্যা) ১০ মিলিয়ন থেকে ১ বিলিয়নে বৃদ্ধি পেলে PESrank-এর প্রশ্নের বিলম্ব স্থিতিশীলভাবে ১ সেকেন্ডের নিচে থাকে।

4.2. বিদ্যমান পদ্ধতির সাথে তুলনা

PESrank-এর তুলনা করা হয়েছে হিউরিস্টিক (LUDS), মার্কভ এবং PCFG-ভিত্তিক অনুমানকারীদের বিরুদ্ধে। এটি Hashcat-এর মতো টুল থেকে প্রকৃত ক্র্যাকিং ক্রমের সাথে উচ্চতর সম্পর্ক প্রদর্শন করেছে, এর "ক্র্যাকার-ভিত্তিক" ডিজাইন লক্ষ্য বৈধতা দিয়েছে। এর ব্যাখ্যাযোগ্যতা বৈশিষ্ট্য, একটি নিম্ন র‍্যাঙ্কের কারণ প্রদান করা (যেমন, "বেস শব্দ শীর্ষ ১০০ সাধারণ তালিকায় রয়েছে"), কালো বাক্স নিউরাল নেটওয়ার্কের তুলনায় একটি স্বতন্ত্র সুবিধা।

5. মূল অন্তর্দৃষ্টি ও বিশ্লেষণ কাঠামো

6. প্রয়োগের সম্ভাবনা ও ভবিষ্যৎ দিকনির্দেশনা

প্রোঅ্যাকটিভ পাসওয়ার্ড চেকিং: ওয়েবসাইট এবং অ্যাপ্লিকেশন সাইন-আপ পৃষ্ঠাগুলিতে একটি রিয়েল-টাইম উপদেষ্টা হিসেবে একীকরণ, তাৎক্ষণিক, ব্যাখ্যাযোগ্য প্রতিক্রিয়া প্রদান করা।

অভিযোজিত প্রমাণীকরণ সিস্টেম: গতিশীল ঝুঁকি স্কোরিং যেখানে একটি পাসওয়ার্ডের র‍্যাঙ্ক অতিরিক্ত প্রমাণীকরণ ফ্যাক্টরের প্রয়োজনকে প্রভাবিত করে (যেমন, একটি নিম্ন-র‍্যাঙ্ক পাসওয়ার্ড বাধ্যতামূলক 2FA ট্রিগার করে)।

ব্যক্তিগতকৃত নিরাপত্তা নীতি: এন্টারপ্রাইজ সিস্টেমগুলি প্রতিটি কর্মচারীর জন্য ব্যক্তিগতকৃত মডেল বজায় রাখতে পারে, স্বয়ংক্রিয়ভাবে কর্মচারী-নির্দিষ্ট তথ্য (নাম, আইডি, বিভাগ) ধারণকারী পাসওয়ার্ডগুলিকে নিম্ন র‍্যাঙ্ক করে।

ভবিষ্যত গবেষণা: পাসফ্রেজ পরিচালনা করার জন্য মডেলটি প্রসারিত করা, সূক্ষ্ম মাত্রা সম্পর্ক ক্যাপচার করার জন্য গভীর শিক্ষা হাইব্রিড অন্বেষণ করা এবং পাসওয়ার্ড শক্তি অনুমানকারীদের জন্য মানসম্মত বেঞ্চমার্ক তৈরি করা যা NIST পাসওয়ার্ড নির্দেশিকাগুলির অনুরূপ কিন্তু অ্যালগরিদমিক মূল্যায়নের জন্য।

7. তথ্যসূত্র

1. David, L., & Wool, A. (2020). Online Password Guessability via Multi-Dimensional Rank Estimation. arXiv preprint arXiv:1912.02551.
2. Weir, M., Aggarwal, S., Medeiros, B., & Glodek, B. (2009). Password cracking using probabilistic context-free grammars. In 2009 30th IEEE Symposium on Security and Privacy.
3. Melicher, W., Ur, B., Segreti, S. M., Komanduri, S., Bauer, L., Christin, N., & Cranor, L. F. (2016). Fast, lean, and accurate: Modeling password guessability using neural networks. In 25th USENIX Security Symposium.
4. NIST. (2017). Digital Identity Guidelines: Authentication and Lifecycle Management. NIST Special Publication 800-63B.
5. Bonneau, J. (2012). The science of guessing: analyzing an anonymized corpus of 70 million passwords. In 2012 IEEE Symposium on Security and Privacy.