এসওপিজি: অটোরিগ্রেসিভ নিউরাল নেটওয়ার্কের জন্য সার্চ-ভিত্তিক ক্রমানুসারে পাসওয়ার্ড জেনারেশন

সূচিপত্র

1. ভূমিকা

পাসওয়ার্ড ব্যবহারকারীর প্রমাণীকরণের সর্বাধিক প্রচলিত পদ্ধতি হিসেবেই রয়ে গেছে। ফলস্বরূপ, পাসওয়ার্ড অনুমান সাইবার নিরাপত্তা গবেষণার একটি গুরুত্বপূর্ণ উপাদান, যা আক্রমণাত্মক নিরাপত্তা পরীক্ষা (ক্র্যাকিং) এবং প্রতিরক্ষামূলক শক্তি মূল্যায়ন উভয়ের ভিত্তি তৈরি করে। রুল-ভিত্তিক গণনা থেকে শুরু করে মার্কভ চেইন এবং পিসিএফজির মতো পরিসংখ্যানিক মডেল পর্যন্ত ঐতিহ্যগত পদ্ধতিগুলির দক্ষতা ও বৈচিত্র্যের মধ্যে অন্তর্নিহিত সীমাবদ্ধতা রয়েছে। গভীর শিক্ষণ, বিশেষ করে অটোরিগ্রেসিভ নিউরাল নেটওয়ার্কের আবির্ভাব, একটি প্যারাডাইম শিফটের প্রতিশ্রুতি দিয়েছিল। তবে, একটি গুরুত্বপূর্ণ বাধা থেকেই গিয়েছিল: স্ট্যান্ডার্ড র্যান্ডম স্যাম্পলিং জেনারেশন পদ্ধতি। এর ফলে পাসওয়ার্ডের প্রতিলিপি তৈরি হয় এবং আরও ক্ষতিকরভাবে, জেনারেশনের একটি এলোমেলো ক্রম তৈরি হয়, যা আক্রমণকারীদেরকে বিশাল, অদক্ষ তালিকা ঘেঁটে দেখতে বাধ্য করে। এই গবেষণাপত্রটি এসওপিজি (সার্চ-ভিত্তিক ক্রমানুসারে পাসওয়ার্ড জেনারেশন) উপস্থাপন করে, একটি অভিনব পদ্ধতি যা অটোরিগ্রেসিভ পাসওয়ার্ড অনুমান মডেলগুলিকে সম্ভাব্যতার আনুমানিক অবরোহী ক্রমে পাসওয়ার্ড তৈরি করতে তৈরি করা হয়েছে, যার ফলে আক্রমণের দক্ষতা নাটকীয়ভাবে বৃদ্ধি পায়।

2. পটভূমি ও সংশ্লিষ্ট কাজ

2.1 পাসওয়ার্ড অনুমানের বিবর্তন

পাসওয়ার্ড অনুমান স্বতন্ত্র পর্যায়ের মাধ্যমে বিবর্তিত হয়েছে। প্রাথমিক পদ্ধতিগুলি ডিকশনারি আক্রমণ এবং হাতে তৈরি ম্যাংলিং রুল (যেমন, জন দ্য রিপার) এর উপর নির্ভর করত, যা ছিল হিউরিস্টিক এবং অভিজ্ঞতা-নির্ভর। বৃহৎ-পরিসরের পাসওয়ার্ড ফাঁসের (যেমন, ২০০৯ সালে রকইউ) বিস্তার ডেটা-চালিত, পরিসংখ্যানিক পদ্ধতি সক্ষম করেছিল। মার্কভ মডেল (ওয়েইর ও সহকর্মী, ২০০৯) এবং সম্ভাব্যতা-ভিত্তিক কনটেক্সট-ফ্রি গ্রামার (পিসিএফজি) (মা ও সহকর্মী, ২০১৪) জেনারেশনের জন্য একটি আরও পদ্ধতিগত, সম্ভাব্যতা-ভিত্তিক কাঠামো প্রদান করেছিল, যদিও সেগুলি ওভারফিটিংয়ের ঝুঁকি বহন করত এবং পাসওয়ার্ড কাঠামোর জটিল, দীর্ঘ-পরিসরের নির্ভরতা মডেল করার ক্ষমতার অভাব ছিল।

2.2 নিউরাল নেটওয়ার্ক পদ্ধতি

গভীর শিক্ষণ মডেল, বিশেষ করে জেনারেটিভ অ্যাডভারসারিয়াল নেটওয়ার্ক (জিএএন) যেমন পাসজিএএন (হিতাজ ও সহকর্মী, ২০১৭) এবং অটোরিগ্রেসিভ মডেল যেমন এলএসটিএম বা জিপিটি আর্কিটেকচার-ভিত্তিক মডেলগুলি, সরাসরি ডেটা থেকে পাসওয়ার্ডের সম্ভাব্যতা বন্টন শেখে। তারা অত্যন্ত বৈচিত্র্যময় এবং বাস্তবসম্মত পাসওয়ার্ড তৈরি করতে পারে। তবে, তারা সাধারণত শেখা বন্টন থেকে প্রতিটি জেনারেশন ধাপে র্যান্ডম স্যাম্পলিং (যেমন, মাল্টিনোমিয়াল স্যাম্পলিং) ব্যবহার করে। এই মৌলিক প্রক্রিয়াটি সম্পূর্ণ পাসওয়ার্ড সম্ভাবনার গ্লোবাল র্যাঙ্কিং সম্পর্কে অজ্ঞাত, যা সেই অদক্ষতাগুলির দিকে নিয়ে যায় যেগুলি সমাধান করার জন্য এসওপিজি তৈরি করা হয়েছে।

3. এসওপিজি পদ্ধতি

3.1 মূল ধারণা

এসওপিজি পাসওয়ার্ড জেনারেশনকে একটি স্টোকাস্টিক স্যাম্পলিং সমস্যা থেকে একটি নির্দেশিত অনুসন্ধান সমস্যা-তে পুনর্বিন্যাস করে। পরবর্তী অক্ষর এলোমেলোভাবে বাছাই করার পরিবর্তে, এটি সম্ভাব্য পাসওয়ার্ড ধারাবাহিকতার স্থান অন্বেষণ করার জন্য একটি অনুসন্ধান অ্যালগরিদম (সম্ভবত বিম সার্চ বা বেস্ট-ফার্স্ট সার্চের একটি রূপ) ব্যবহার করে, এমন পথগুলিকে অগ্রাধিকার দেয় যা উচ্চতর অনুমানিত সম্ভাবনা সহ সম্পূর্ণ পাসওয়ার্ডের দিকে নিয়ে যায়। লক্ষ্য হল পাসওয়ার্ড তালিকাটি এমন একটি ক্রমে আউটপুট করা যা $P(পাসওয়ার্ড|মডেল)$ দ্বারা সত্যিকারের অবরোহী বাছাইয়ের কাছাকাছি আসে।

3.2 অনুসন্ধান অ্যালগরিদম

যদিও পিডিএফ সারসংক্ষেপটি নির্দিষ্ট অ্যালগরিদমের বিস্তারিত বিবরণ দেয় না, বর্ণিত আচরণটি এমন একটি পদ্ধতির ইঙ্গিত দেয় যা প্রার্থী পাসওয়ার্ড উপসর্গগুলির একটি অগ্রাধিকার সারি বজায় রাখে। প্রতিটি ধাপে, এটি সবচেয়ে সম্ভাবনাময় উপসর্গটি (সর্বোচ্চ ক্রমবর্ধমান সম্ভাবনা) প্রসারিত করে নিউরাল নেটওয়ার্ককে পরবর্তী অক্ষর বন্টনের জন্য প্রশ্ন করে, নতুন প্রার্থী তৈরি করে। পাসওয়ার্ড স্থানের উচ্চ-সম্ভাবনা অঞ্চলগুলিকে প্রথমে পদ্ধতিগতভাবে অন্বেষণ করে, এটি সবচেয়ে সম্ভাব্য পাসওয়ার্ডগুলির প্রাথমিক জেনারেশন নিশ্চিত করে এবং স্বাভাবিকভাবেই প্রতিলিপি এড়ায়।

3.3 এসওপিজিএসজিপিটি মডেল

লেখকরা একটি জিপিটি-ভিত্তিক আর্কিটেকচারে তাদের পদ্ধতি প্রয়োগ করে এসওপিজিএসজিপিটি তৈরি করেছেন। জিপিটি মডেল (যেমন, একটি ডিকোডার-শুধু ট্রান্সফরমার) ফাঁস হওয়া পাসওয়ার্ড ডেটাসেটে একটি ক্রমে পরবর্তী অক্ষর ভবিষ্যদ্বাণী করতে প্রশিক্ষিত হয়। তারপর এই প্রশিক্ষিত মডেলের উপরে জেনারেশন/ইনফারেন্স পদ্ধতি হিসাবে এসওপিজি প্রয়োগ করা হয়, স্ট্যান্ডার্ড স্যাম্পলিং প্রতিস্থাপন করে।

4. প্রযুক্তিগত বিবরণ ও গাণিতিক সূত্রায়ন

একটি অটোরিগ্রেসিভ মডেল একটি পাসওয়ার্ড $\mathbf{x} = (x_1, x_2, ..., x_T)$ এর সম্ভাবনা শর্তাধীন সম্ভাবনার গুণফল হিসাবে সংজ্ঞায়িত করে: $$P(\mathbf{x}) = \prod_{t=1}^{T} P(x_t | x_1, ..., x_{t-1})$$ যেখানে $x_t$ হল অবস্থান $t$ এ অক্ষর, এবং $T$ হল পাসওয়ার্ডের দৈর্ঘ্য। স্ট্যান্ডার্ড স্যাম্পলিং $x_t \sim P(\cdot | x_1, ..., x_{t-1})$ নির্বাচন করে।

এসওপিজি, ধারণাগতভাবে, ক্রমগুলি $\mathbf{x}$ খুঁজে বের করে এবং $P(\mathbf{x})$ এর হ্রাসমান ক্রমে আউটপুট দেওয়ার লক্ষ্য রাখে। এটিকে একটি গাছে সংক্ষিপ্ততম পথ অনুসন্ধান সমস্যা হিসাবে দেখা যেতে পারে যেখানে নোডগুলি উপসর্গ, প্রান্তের খরচ $-\log P(x_t | prefix)$ এর সাথে সম্পর্কিত, এবং লক্ষ্য হল ক্রমবর্ধমান মোট খরচের ক্রমে পথগুলি (পাসওয়ার্ড) গণনা করা (অর্থাৎ, হ্রাসমান সম্ভাবনা)। ইউনিফর্ম কস্ট সার্চ (ইউসিএস) বা এর সীমিত রূপ, বড় বিম প্রস্থ এবং গতিশীল প্রুনিং সহ বিম সার্চ এর মতো অ্যালগরিদম এই আনুমানিক ক্রম অর্জন করতে পারে। মূল বিষয় হল যে অনুসন্ধানের সীমানা বর্তমান পথের সম্ভাবনা স্কোর দ্বারা অগ্রাধিকারপ্রাপ্ত।

5. পরীক্ষামূলক ফলাফল ও বিশ্লেষণ

5.1 র্যান্ডম স্যাম্পলিংয়ের সাথে তুলনা

গবেষণাপত্রটি একই অন্তর্নিহিত মডেলে এসওপিজি এবং স্ট্যান্ডার্ড র্যান্ডম স্যাম্পলিংয়ের তুলনা করে চিত্তাকর্ষক ফলাফল উপস্থাপন করে। মূল ফলাফল:

• শূন্য প্রতিলিপি: এসওপিজি একটি অনন্য তালিকা তৈরি করে, যখন র্যান্ডম স্যাম্পলিং অনেক পুনরাবৃত্তি তৈরি করে, যা গণনামূলক প্রচেষ্টা নষ্ট করে।
• উত্তম আক্রমণ দক্ষতা: একই কভার রেট (একটি পরীক্ষা সেটে ক্র্যাক করা পাসওয়ার্ডের শতাংশ) অর্জনের জন্য, এসওপিজির প্রয়োজন অনেক কম মডেল ইনফারেন্স এবং এটি একটি অনেক ছোট মোট তালিকা তৈরি করে। এটি বাস্তব-বিশ্বের পরিস্থিতিতে দ্রুত পাসওয়ার্ড ক্র্যাকিংয়ে সরাসরি রূপান্তরিত হয়।

5.2 সর্বাধুনিক পদ্ধতির বিপরীতে মানদণ্ড

এসওপিজিএসজিপিটির প্রধান পাসওয়ার্ড অনুমান মডেলগুলির বিপরীতে মানদণ্ড নির্ধারণ করা হয়েছিল: ওমেন (মার্কভ), এফএলএ, পাসজিএএন (জিএএন), ভিএইপাস (ভিএই), এবং সমসাময়িক পাসজিপিটি। একটি ওয়ান-সাইট পরীক্ষায়:

• কভার রেট: এসওপিজিএসজিপিটি ৩৫.০৬% অর্জন করেছে, ওমেনের চেয়ে ২৫৪%, এফএলএ-এর চেয়ে ২৯৮%, পাসজিএএন-এর চেয়ে ৪২১%, ভিএইপাস-এর চেয়ে ৩৮০%, এবং পাসজিপিটি-এর চেয়ে ৮১% বেশি।
• কার্যকর হার: গবেষণাপত্রটি "কার্যকর হার"-এ নেতৃত্বের দাবিও করে, সম্ভবত প্রাথমিকভাবে তৈরি পাসওয়ার্ডের গুণমান বা হিট-রেটের সাথে সম্পর্কিত একটি মেট্রিক, যা এসওপিজির প্রাথমিক শক্তি।

এটি প্রদর্শন করে যে কর্মক্ষমতার জন্য জেনারেশন পদ্ধতি (এসওপিজি) মডেল আর্কিটেকচার এর মতোই সমালোচনামূলক।

6. বিশ্লেষণ কাঠামো ও উদাহরণ কেস

পাসওয়ার্ড অনুমান মডেল মূল্যায়নের কাঠামো:

1. মডেল আর্কিটেকচার ও প্রশিক্ষণ: অন্তর্নিহিত নিউরাল নেটওয়ার্ক কী? (জিএএন, ভিএই, অটোরিগ্রেসিভ ট্রান্সফরমার)? এটি কীভাবে প্রশিক্ষিত?
2. জেনারেশন পদ্ধতি: প্রশিক্ষিত মডেল থেকে পাসওয়ার্ড কীভাবে উৎপন্ন হয়? (যেমন, র্যান্ডম স্যাম্পলিং, বিম সার্চ, এসওপিজি)। এটি গবেষণাপত্রের মূল ফোকাস।
3. ক্রমবিন্যাস ও দক্ষতা: পদ্ধতিটি কি একটি দরকারী ক্রমে (সম্ভাবনার অবরোহী) পাসওয়ার্ড তৈরি করে? গণনা/অনুমান দক্ষতা কী?
4. বৈচিত্র্য ও প্রতিলিপি: এটি নতুন পাসওয়ার্ড তৈরি করে নাকি অনেক প্রতিলিপি তৈরি করে?
5. মানদণ্ড কর্মক্ষমতা: স্ট্যান্ডার্ড ডেটাসেটে (যেমন, রকইউ) কভার রেট, কার্যকর হার এবং গতি।

নন-কোড কেস উদাহরণ: দুটি আক্রমণকারী, অ্যালিস এবং বব বিবেচনা করুন, যারা একই প্রশিক্ষিত জিপিটি পাসওয়ার্ড মডেল ব্যবহার করছে। অ্যালিস স্ট্যান্ডার্ড র্যান্ডম স্যাম্পলিং ব্যবহার করে। বব এসওপিজি ব্যবহার করে। ১০০০ পাসওয়ার্ডের একটি পরীক্ষা সেট ক্র্যাক করতে, অ্যালিসের সফ্টওয়্যারটির ৩৫০টি ক্র্যাক করতে ১ কোটি অনুমান তৈরি করতে হতে পারে, যার মধ্যে ৩০% প্রতিলিপি থাকবে। ববের এসওপিজি-চালিত সফ্টওয়্যারটি একই ৩৫০টি ক্র্যাক করতে শুধুমাত্র ১০ লাখ অনন্য অনুমান তৈরি করতে পারে সর্বোত্তম ক্রমে। ববের আক্রমণটি সম্পদ-দক্ষতার দিক থেকে ১০ গুণ বেশি এবং দ্রুত সম্পন্ন হয়।

7. প্রয়োগের সম্ভাবনা ও ভবিষ্যৎ দিকনির্দেশনা

তাত্ক্ষণিক প্রয়োগ:

• প্রোঅ্যাকটিভ পাসওয়ার্ড শক্তি পরীক্ষা: নিরাপত্তা দলগুলি প্রস্তাবিত পাসওয়ার্ড নীতিমালা আরও দক্ষতার সাথে নিরীক্ষণ করতে এসওপিজি-বর্ধিত মডেল ব্যবহার করতে পারে প্রথমে সবচেয়ে সম্ভাব্য আক্রমণ ভেক্টর তৈরি করে।
• ফরেনসিক পাসওয়ার্ড পুনরুদ্ধার: আইনসম্মত পাসওয়ার্ড পুনরুদ্ধার সরঞ্জামগুলি সীমিত সময়/গণনা বাজেটের মধ্যে সাফল্যের হার বাড়াতে এসওপিজি সংহত করতে পারে।

ভবিষ্যৎ গবেষণার দিকনির্দেশনা:

• হাইব্রিড মডেল: এসওপিজির ক্রমানুসারে জেনারেশনকে অন্যান্য আর্কিটেকচারের শক্তির সাথে মিলিত করা (যেমন, বড় ভাষা মডেল থেকে শব্দার্থিক জ্ঞান সংহত করা)।
• অ্যাডাপটিভ/অনলাইন এসওপিজি: আংশিক আক্রমণ ফলাফল থেকে প্রতিক্রিয়ার ভিত্তিতে রিয়েল-টাইমে অনুসন্ধান কৌশল পরিবর্তন করা।
• প্রতিরক্ষামূলক পাল্টা ব্যবস্থা: নতুন পাসওয়ার্ড হ্যাশিং বা স্টোরেজ কৌশল নিয়ে গবেষণা যা বিশেষভাবে এসওপিজির মতো ক্রমানুসারে, সম্ভাবনা-চালিত আক্রমণের প্রতি সহনশীল।
• পাসওয়ার্ডের বাইরে: ক্রমানুসারে জেনারেশন প্যারাডাইম অন্যান্য নিরাপত্তা ডোমেনে প্রয়োগ করা, যেমন সম্ভাব্য ফিশিং ইউআরএল বা ম্যালওয়্যার ভেরিয়েন্ট তৈরি করা।

8. তথ্যসূত্র

1. ওয়েইর, এম., আগারওয়াল, এস., মেডেইরোস, বি., এবং গ্লোডেক, বি. (২০০৯)। পাসওয়ার্ড ক্র্যাকিং ইউজিং প্রোবাবিলিস্টিক কনটেক্সট-ফ্রি গ্রামার। আইইইই সিম্পোজিয়াম অন সিকিউরিটি অ্যান্ড প্রাইভেসি।
2. মা, জে., ইয়াং, ডব্লিউ., লুও, এম., এবং লি, এন. (২০১৪)। এ স্টাডি অফ প্রোবাবিলিস্টিক পাসওয়ার্ড মডেলস। আইইইই সিম্পোজিয়াম অন সিকিউরিটি অ্যান্ড প্রাইভেসি।
3. হিতাজ, বি., গাস্তি, পি., আতেনিসে, জি., এবং পেরেজ-ক্রুজ, এফ. (২০১৭)। পাসজিএএন: এ ডিপ লার্নিং অ্যাপ্রোচ ফর পাসওয়ার্ড গেসিং। ইন্টারন্যাশনাল কনফারেন্স অন অ্যাপ্লাইড ক্রিপ্টোগ্রাফি অ্যান্ড নেটওয়ার্ক সিকিউরিটি।
4. গুডফেলো, আই., এবং সহকর্মী. (২০১৪)। জেনারেটিভ অ্যাডভারসারিয়াল নেটস। অ্যাডভান্সেস ইন নিউরাল ইনফরমেশন প্রসেসিং সিস্টেমস।
5. র্যাডফোর্ড, এ., উ, জে., চাইল্ড, আর., লুয়ান, ডি., আমোদেই, ডি., এবং সুটস্কেভার, আই. (২০১৯)। ল্যাঙ্গুয়েজ মডেলস আর আনসুপারভাইজড মাল্টিটাস্ক লার্নারস। ওপেনএআই ব্লগ।
6. মেলিচার, ডব্লিউ., এবং সহকর্মী. (২০১৬)। ফাস্ট, লিন, অ্যান্ড অ্যাকুরেট: মডেলিং পাসওয়ার্ড গেসিবিলিটি ইউজিং নিউরাল নেটওয়ার্কস। ইউএসইনিক্স সিকিউরিটি সিম্পোজিয়াম।

9. মূল বিশ্লেষণ ও বিশেষজ্ঞ মন্তব্য