1. Introduction & Overview

এই গবেষণাপত্রটি পাসওয়ার্ড নিরাপত্তায় একটি যুগান্তকারী প্যারাডাইম উপস্থাপন করে: Universal Neural-Cracking Machines (UNCM)মূল উদ্ভাবনটি হল একটি গভীর শিক্ষণ মডেল যা প্রাথমিক প্রাক-প্রশিক্ষণের পর স্বয়ংক্রিয়ভাবে একটি নির্দিষ্ট লক্ষ্য সিস্টেমের জন্য তার পাসওয়ার্ড অনুমান কৌশল খাপ খাইয়ে নিতে পারে, সেই সিস্টেম থেকে কোনো সাধারণ পাঠ্য পাসওয়ার্ডের অ্যাক্সেসের প্রয়োজন ছাড়াই। বরং, এটি সহজলভ্য সহায়ক ব্যবহারকারী তথ্য কাজে লাগায়। নির্দিষ্ট লক্ষ্য সিস্টেম সেই সিস্টেম থেকে কোনো সাধারণ পাঠ্য পাসওয়ার্ডের অ্যাক্সেসের প্রয়োজন ছাড়াই। বরং, এটি সহজলভ্য সহায়ক ব্যবহারকারী তথ্য—যেমন ইমেল ঠিকানা, ব্যবহারকারীর নাম বা অন্যান্য মেটাডেটা—ব্যবহারকারী সম্প্রদায়ের অন্তর্নিহিত পাসওয়ার্ড বন্টন অনুমান করার জন্য একটি প্রক্সি সংকেত হিসাবে।

কার্যকর পাসওয়ার্ড মডেল (যেমন, পাসওয়ার্ড শক্তি মিটার বা সক্রিয় নিরাপত্তা নিরীক্ষণের জন্য) তৈরির ঐতিহ্যগত পদ্ধতির জন্য লক্ষ্য সম্প্রদায় থেকে বড়, প্রতিনিধিত্বমূলক প্লেইনটেক্সট পাসওয়ার্ড সংগ্রহ এবং বিশ্লেষণ প্রয়োজন, যা প্রায়শই গোপনীয়তা সীমাবদ্ধতার কারণে অবাস্তব, অনৈতিক বা অসম্ভব। UNCM কাঠামো এই মৌলিক বাধা অতিক্রম করে। এটি শেখে পারস্পরিক সম্পর্কের নিদর্শন বিভিন্ন, সর্বজনীনভাবে উপলব্ধ ফাঁস হওয়া ডেটাসেটের উপর একটি এককালীন, বিস্তৃত প্রাক-প্রশিক্ষণ পর্যায়ে সহায়ক ডেটা এবং পাসওয়ার্ডের মধ্যে সম্পর্ক স্থাপন করা হয়। অনুমান করার সময়, শুধুমাত্র একটি নতুন লক্ষ্য সিস্টেমের সহায়ক ডেটা (যেমন, একটি কোম্পানির ব্যবহারকারীর ইমেল তালিকা) দেওয়া হলে, মডেলটি একটি উপযুক্ত পাসওয়ার্ড মডেল তৈরি করতে স্ব-কনফিগার করে, সরাসরি পর্যবেক্ষণের পরিবর্তে পারস্পরিক সম্পর্কের মাধ্যমে সম্প্রদায়ের পাসওয়ার্ড অভ্যাস কার্যকরভাবে "ক্র্যাক" করে।

মূল অন্তর্দৃষ্টি

  • সরাসরি পাসওয়ার্ড নির্ভরতা দূর করে: মডেল ক্যালিব্রেশনের জন্য টার্গেট সিস্টেমের প্লেইনটেক্সট পাসওয়ার্ডের প্রয়োজন নেই।
  • নিরাপত্তাকে গণতান্ত্রিক করে: ML দক্ষতাবিহীন সিস্টেম প্রশাসকদের কাস্টম পাসওয়ার্ড মডেল তৈরি করতে সক্ষম করে।
  • Proactive & Reactive Utility: PSM শক্তিশালীকরণ এবং আরও সঠিক ক্র্যাকিং আক্রমণ সিমুলেশনের জন্য প্রযোজ্য।
  • Privacy-Preserving by Design: এটি সহায়ক ডেটাতে কাজ করে, যা প্রায়শই পাসওয়ার্ডের চেয়ে কম সংবেদনশীল।

2. Core Methodology & Architecture

UNCM কাঠামোটি এই অনুমানের উপর নির্মিত যে ব্যবহারকারী-নির্বাচিত পাসওয়ার্ডগুলি এলোমেলো নয় বরং ব্যবহারকারীর পরিচয় এবং প্রসঙ্গ দ্বারা প্রভাবিত হয়, যা তাদের সহায়ক ডেটাতে আংশিকভাবে প্রতিফলিত হয়।

2.1. Problem Formulation

একটি পূর্ব-প্রশিক্ষিত মডেল $M_\theta$ যার প্যারামিটার $\theta$, এবং একটি লক্ষ্য সেট $D_{target} = \{a_i\}$ যা শুধুমাত্র ব্যবহারকারীদের $i=1,...,N$ এর জন্য সহায়ক ডেটা নমুনা $a_i$ ধারণ করে, লক্ষ্য হল একটি পাসওয়ার্ড সম্ভাব্যতা বন্টন $P(p|D_{target})$ তৈরি করা যা লক্ষ্য সম্প্রদায়ের প্রকৃত, অজানা পাসওয়ার্ড বন্টনের কাছাকাছি আসে। মডেলটিকে অবশ্যই এই বন্টনটি শুধুমাত্র উৎস ডেটাসেট $D_{source} = \{(a_j, p_j)\}$ এর উপর পূর্ব-প্রশিক্ষণের সময় শেখা $a$ এবং $p$ এর মধ্যকার প্যাটার্ন থেকে অনুমান করতে হবে।

2.2. Model Architecture

প্রস্তাবিত আর্কিটেকচারটি একটি গভীর নিউরাল নেটওয়ার্ক, সম্ভবত ট্রান্সফরমার বা উন্নত রিকারেন্ট (LSTM/GRU) ডিজাইনের উপর ভিত্তি করে, যা ক্রম উৎপাদন এবং সম্ভাব্যতা অনুমান করতে সক্ষম। এটির বৈশিষ্ট্য হল একটি দ্বৈত-ইনপুট মেকানিজম:

  1. অক্জিলিয়ারি ডেটা এনকোডার: অক্জিলিয়ারি ডেটা (যেমন, "john.doe@company.com" এর মত একটি ইমেল ঠিকানার অক্ষর-স্তরের এম্বেডিং) একটি ঘন প্রসঙ্গ ভেক্টর $\mathbf{c}_a$-এ প্রক্রিয়া করে।
  2. পাসওয়ার্ড জেনারেটর/স্কোরার: কনটেক্সট ভেক্টর $\mathbf{c}_a$-এর উপর ভিত্তি করে পাসওয়ার্ড জেনারেশন বা সম্ভাব্যতা স্কোরিং প্রক্রিয়াকে শর্তযুক্ত করে। একটি প্রার্থী পাসওয়ার্ড $p$-এর জন্য, মডেলটি একটি সম্ভাব্যতা $P(p|a)$ আউটপুট করে।

"সার্বজনীন" ক্ষমতাটি উদ্ভূত হয় একটি মেটা-লার্নিং বা prompt-based inference উপাদান। $D_{target}$ থেকে সহায়ক ভেক্টর $\{\mathbf{c}_{a_i}\}$ এর সংগ্রহ একটি "প্রম্পট" হিসেবে কাজ করে যা মডেলের অভ্যন্তরীণ মনোযোগ বা ওজন নির্ধারণ প্রক্রিয়াকে গতিশীলভাবে সামঞ্জস্য করে লক্ষ্য সম্প্রদায়ের শৈলী প্রতিফলিত করতে।

2.3. প্রশিক্ষণ প্যারাডাইম

মডেলটিকে বিভিন্ন উৎস (যেমন, RockYou, LinkedIn ব্রিচ) থেকে ফাঁস হওয়া ক্রেডেনশিয়াল জোড়া $(a, p)$-এর একটি বৃহৎ, সমষ্টিগত কর্পাসে প্রাক-প্রশিক্ষিত করা হয়েছে। উদ্দেশ্য হল সহায়ক তথ্য দেওয়া থাকলে পর্যবেক্ষিত পাসওয়ার্ডগুলির সম্ভাব্যতা সর্বাধিক করা: $\mathcal{L}(\theta) = \sum_{(a,p) \in D_{source}} \log P_\theta(p|a)$। এটি মডেলটিকে ক্রস-ডোমেইন পারস্পরিক সম্পর্ক শেখায়, যেমন কীভাবে নাম, ডোমেইন বা ইমেলের লোকাল-পার্টস পাসওয়ার্ড তৈরিকে প্রভাবিত করে (যেমন, "chris@..."-এর জন্য "chris92", "...@company.com"-এর জন্য "company123")।

3. প্রযুক্তিগত বাস্তবায়ন

3.1. গাণিতিক কাঠামো

মডেলটির মূল হল পাসওয়ার্ড স্পেস $\mathcal{P}$ এর উপর একটি শর্তাধীন সম্ভাবনা বন্টন। একটি লক্ষ্য সম্প্রদায় $T$ এর জন্য, মডেলটি অনুমান করে: Bayesian averaging লক্ষ্য ব্যবহারকারীদের সহায়ক ডেটার উপর। অভিযোজনকে একটি রূপ হিসাবে আনুষ্ঠানিক করা যেতে পারে domain adaptation যেখানে "ডোমেইন" সংজ্ঞায়িত করা হয় সহায়ক ডেটার অভিজ্ঞতামূলক বন্টন $\hat{P}_{target}(a)$ দ্বারা। মডেলের চূড়ান্ত বন্টন হল:

3.2. বৈশিষ্ট্য প্রকৌশল

প্রাসঙ্গিক সংকেত ধারণ করতে সহায়ক ডেটাকে বৈশিষ্ট্যরূপে প্রকাশ করা হয়:

  • ইমেইল ঠিকানা: স্থানীয় অংশ (@ এর আগে) এবং ডোমেইনে বিভক্ত করুন। উপ-বৈশিষ্ট্য আহরণ করুন: দৈর্ঘ্য, সংখ্যার উপস্থিতি, সাধারণ নাম (শব্দকোষ ব্যবহার করে), ডোমেইন বিভাগ (যেমন, .edu, .com, কোম্পানির নাম)।
  • ব্যবহারকারীর নাম: অনুরূপ অক্ষর-স্তর এবং শব্দভাণ্ডার বিশ্লেষণ।
  • প্রাসঙ্গিক মেটাডেটা (যদি উপলব্ধ থাকে): পরিষেবার ধরন (যেমন, গেমিং, অর্থসংস্থান), ডোমেইন থেকে ভৌগোলিক ইঙ্গিত।
এই বৈশিষ্ট্যগুলি এম্বেড করা হয় এবং এনকোডার নেটওয়ার্কে প্রবেশ করানো হয়।

4. Experimental Results & Evaluation

4.1. Dataset & Baselines

গবেষণাপত্রটি সম্ভবত প্রধান লিক (যেমন, RockYou) থেকে একটি হোল্ড-আউট টেস্ট সেটে মূল্যায়ন করে এবং ইমেইল ডোমেইন বা ব্যবহারকারীর নামের প্যাটার্ন দ্বারা ডেটা বিভক্ত করে লক্ষ্য সম্প্রদায়গুলির অনুকরণ করে। বেসলাইনগুলির মধ্যে রয়েছে:

  • স্ট্যাটিক পাসওয়ার্ড মডেল: Markov models, PCFGs trained on general data.
  • Non-adaptive Neural Models: LSTM/Transformer language models trained on password-only data.
  • Traditional "Rule-of-Thumb" PSMs.

4.2. কর্মক্ষমতা মেট্রিক্স

Primary evaluation uses অনুমান বক্ররেখা বিশ্লেষণ:

  • Success Rate @ k guesses (SR@k): মডেলের ক্রমানুসারিত তালিকা থেকে প্রথম k অনুমানের মধ্যে ক্র্যাক করা পাসওয়ার্ডের শতাংশ।
  • গেসিং কার্ভের অধীনে এলাকা (AUC): অনুমান দক্ষতার সমষ্টিগত পরিমাপ।
  • PSM সিমুলেশনের জন্য, মেট্রিক্স যেমন precision/recall দুর্বল পাসওয়ার্ড শনাক্তকরণে বা প্রকৃত ক্র্যাক করার সম্ভাবনার সাথে সম্পর্ক নির্ণয়ে ব্যবহৃত হয়।

চার্টের বিবরণ: প্রকল্পিত অনুমান বক্ররেখার তুলনা

একটি লাইন চার্টে নিম্নলিখিতগুলির জন্য অনুমান বক্ররেখা (ক্রমাগত সাফল্যের হার বনাম অনুমানের সংখ্যা) দেখানো হবে: ১) একটি নির্দিষ্ট লক্ষ্য ডোমেনের জন্য তৈরি UNCM মডেল (যেমন, "@university.edu"), ২) অভিযোজন ছাড়া একটি সাধারণ নিউরাল মডেল, এবং ৩) একটি ঐতিহ্যবাহী PCFG মডেল। UNCM বক্ররেখাটি দেখাবে একটি steeper initial slope, প্রথম 10^6 থেকে 10^9 অনুমানে পাসওয়ার্ডের একটি উচ্চতর শতাংশ ক্র্যাক করা, যা লক্ষ্য সম্প্রদায়ের অভ্যাসের সাথে এর উচ্চতর অভিযোজন প্রদর্শন করে। UNCM এবং সাধারণ মডেলের মধ্যকার ব্যবধান দৃশ্যত "অভিযোজন লাভ" কে উপস্থাপন করে।

৪.৩. মূল ফলাফল

সারসংক্ষেপ এবং ভূমিকা অনুসারে, গবেষণাপত্রটি দাবি করে যে UNCM কাঠামো:

  • অতিক্রম করে বর্তমান পাসওয়ার্ড শক্তি অনুমান এবং আক্রমণ কৌশলগুলিকে সহায়ক ডেটা সংকেতের সুবিধা নিয়ে।
  • একই-সব-মডেলের তুলনায় লক্ষ্যযুক্ত আক্রমণের জন্য উল্লেখযোগ্য অনুমান দক্ষতা লাভ অর্জন করে।
  • একটি সরবরাহ করে ব্যবহারিক ওয়ার্কফ্লো প্রশাসকদের জন্য, যা ML দক্ষতা এবং ডেটা সংগ্রহ বোঝা দূর করে।

5. Analysis Framework & Case Study

Scenario: A system administrator at "TechStartup Inc." wants to evaluate the strength of user passwords on their internal wiki.

প্রচলিত পদ্ধতি (অবাস্তব): বিশ্লেষণের জন্য প্লেইনটেক্সট পাসওয়ার্ড বা হ্যাশ চাওয়া? নৈতিক ও আইনগতভাবে জটিল। অন্য কোনো টেক স্টার্টআপের অনুরূপ পাবলিক লিক খুঁজে পাওয়া? অসম্ভাব্য এবং অপ্রতিনিধিত্বমূলক।

UNCM ফ্রেমওয়ার্ক:

  1. ইনপুট: অ্যাডমিন ব্যবহারকারীর ইমেল ঠিকানার একটি তালিকা সরবরাহ করে (যেমন, alice@techstartup.com, bob.eng@techstartup.com, carol.hr@techstartup.com)। কোনো পাসওয়ার্ড স্পর্শ করা হয় না।
  2. প্রক্রিয়া: প্রি-ট্রেন্ড UNCM মডেল এই ইমেইলগুলো প্রক্রিয়া করে। এটি "techstartup.com" ডোমেইন এবং লোকাল-পার্টে (নাম, ভূমিকা) প্যাটার্নগুলো চিনতে পারে। এটি অনুমান করে যে এটি একটি প্রযুক্তি-ভিত্তিক পেশাদার সম্প্রদায়।
  3. অভিযোজন: মডেলটি সামঞ্জস্য করে, প্রযুক্তি-সংক্রান্ত শব্দ ("python3", "docker2024"), কোম্পানির নাম ("techstartup123") এবং নামের উপর ভিত্তি করে পূর্বাভাসযোগ্য প্যাটার্ন ("aliceTS!", "bobEng1") সম্বলিত পাসওয়ার্ডের সম্ভাবনা বাড়ায়।
  4. আউটপুট: প্রশাসক একটি উপযুক্ত পাসওয়ার্ড মডেল পান। তারা এটি ব্যবহার করতে পারেন:
    • একটি চালান সক্রিয় নিরীক্ষণএই সম্প্রদায়ের জন্য শীর্ষ N সবচেয়ে সম্ভাব্য পাসওয়ার্ড তৈরি করুন এবং কোনটি দুর্বল/সাধারণভাবে ব্যবহৃত কিনা তা পরীক্ষা করুন।
    • একটি সংহত করুন কাস্টম PSM: উইকির নিবন্ধন পৃষ্ঠা এই মডেলটি ব্যবহার করে আরও সঠিক, প্রসঙ্গ-সচেতন শক্তি প্রতিক্রিয়া দিতে পারে, "techstartup2024"-এর বিরুদ্ধে সতর্ক করতে পারে এমনকি যদি এটি সাধারণ জটিলতা নিয়ম পূরণ করে।
এটি একটি প্রদর্শন করে গোপনীয়তা-সচেতন, ব্যবহারিক এবং শক্তিশালী নিরাপত্তা ওয়ার্কফ্লো যা পূর্বে অনুপলব্ধ ছিল।

6. Critical Analysis & Expert Perspective

মূল বিশ্লেষণ (শিল্প বিশ্লেষকের দৃষ্টিভঙ্গি)

মূল অন্তর্দৃষ্টি: UNCM কাগজটি শুধু পাসওয়ার্ড ক্র্যাকিংয়ে আরেকটি ধাপে ধাপে উন্নতি নয়; এটি একটি দৃষ্টান্ত পরিবর্তন যা অস্ত্র হিসেবে ব্যবহার করে প্রসঙ্গ. এটি স্বীকার করে যে পাসওয়ার্ড নিরাপত্তার দুর্বলতম লিঙ্কটি শুধু পাসওয়ার্ড নিজেই নয়, বরং একজন ব্যবহারকারীর ডিজিটাল পরিচয় এবং তাদের গোপন তথ্যের মধ্যে ভবিষ্যদ্বাণীমূলক সম্পর্ক। গভীর শিক্ষণের মাধ্যমে এই পারস্পরিক সম্পর্ককে আনুষ্ঠানিক রূপ দিয়ে, লেখকরা এমন একটি সরঞ্জাম তৈরি করেছেন যা সর্বজনীন তথ্য থেকে ব্যক্তিগত গোপন তথ্য উদঘাটন করতে ভীতিকর দক্ষতার সাথে সক্ষম। এটি হুমকির মডেলটিকে "হ্যাশে ব্রুট ফোর্স" থেকে "মেটাডেটা থেকে অনুমান"-এ স্থানান্তরিত করে, যা অনেক বেশি স্কেলযোগ্য এবং গোপন আক্রমণের ভেক্টর, যা স্মরণ করিয়ে দেয় কিভাবে মডেল যেমন CycleGAN জোড়া উদাহরণ ছাড়াই ডোমেনের মধ্যে অনুবাদ করতে শেখা—এখানে, অনুবাদটি সহায়ক ডেটা থেকে পাসওয়ার্ড বন্টনের দিকে।

Logical Flow & Technical Contribution: উজ্জ্বলতা দুটি-পর্যায়ের পাইপলাইনে নিহিত। ব্যাপক, বিষমরূপী লিকের উপর প্রি-ট্রেনিং (যেমন Bonneau [2012] এর "The Science of Guessing" এ সমাহৃত) মডেলের জন্য একটি "কোরিলেশন বুটক্যাম্প" হিসেবে কাজ করে। এটি সার্বজনীন হিউরিস্টিক শেখে (যেমন, মানুষ তাদের জন্মসাল, পোষা প্রাণীর নাম, বা প্রিয় স্পোর্টস টিম ব্যবহার করে)। ইনফারেন্স-টাইম অ্যাডাপ্টেশন হল কিলার অ্যাপ। কেবলমাত্র একটি টার্গেট গ্রুপের সহায়ক ডেটা সমাহৃত করে, মডেলটি একধরনের অসংবদ্ধ ডোমেইন বিশেষীকরণ. এটি এমন একজন মাস্টার তালাবাজের মতো, যিনি হাজার হাজার তালা (লিক) অধ্যয়ন করার পর, শুধুমাত্র ব্র্যান্ড এবং এটি কোথায় ইনস্টল করা হয়েছে (সহায়ক ডেটা) জেনেই একটি নতুন তালার (টার্গেট কমিউনিটি) টাম্বলারগুলি অনুভব করতে পারেন। টার্গেটের সহায়ক বন্টনের উপর প্রত্যাশা হিসাবে আউটপুট দেখানো গাণিতিক সূত্রটি মার্জিত এবং দৃঢ়।

Strengths & Flaws: শক্তি অত্যন্ত স্পষ্ট: উচ্চ-নির্ভুল পাসওয়ার্ড মডেলিংয়ের গণতন্ত্রীকরণ। এখন একটি ছোট ওয়েবসাইট অ্যাডমিনের হুমকির মডেল একটি জাতীয়-রাষ্ট্র অভিনেতার মতোই পরিশীলিত হতে পারে, এটি একটি দ্বিধাবিভক্ত পরিস্থিতি। যাইহোক, মডেলের নির্ভুলতা মৌলিকভাবে সীমাবদ্ধ রয়েছে পারস্পরিক সম্পর্ক সংকেতের শক্তি। নিরাপত্তা-সচেতন সম্প্রদায় যারা পাসওয়ার্ড ম্যানেজার ব্যবহার করে এলোমেলো স্ট্রিং তৈরি করে, তাদের সহায়ক ডেটাতে কোনও সংকেত থাকে না, এবং মডেলের ভবিষ্যদ্বাণী একটি সাধারণ মডেলের চেয়ে ভাল হবে না। গবেষণাপত্রটি সম্ভবত এই বিষয়টি উপেক্ষা করেছে। তদুপরি, প্রাক-প্রশিক্ষণ ডেটার পক্ষপাত (নির্দিষ্ট জনসংখ্যা, ভাষা, পুরনো লিক থেকে অতিরিক্ত উপস্থাপনা) মডেলের মধ্যে অন্তর্নিহিত হবে, যা নতুন বা কম প্রতিনিধিত্বকারী সম্প্রদায়ের জন্য এটিকে কম নির্ভুল করে তুলতে পারে—এটি একটি গুরুত্বপূর্ণ নৈতিক ত্রুটি। গবেষণা যেমন Florêncio et al. [2014] বাস্তব-বিশ্বের পাসওয়ার্ডের বৃহৎ-পরিসরের বিশ্লেষণে, পারস্পরিক সম্পর্কটি শক্তিশালী কিন্তু নির্ধারক নয়।

কার্যকরী অন্তর্দৃষ্টি: রক্ষণাত্মক পক্ষের জন্য, এই গবেষণাপত্রটি একটি সতর্কবার্তা। "গোপন" প্রশ্নের উপর নির্ভর বা পাসওয়ার্ডে সহজে আবিষ্কারযোগ্য ব্যক্তিগত তথ্য ব্যবহারের যুগ এখন চূড়ান্তভাবে শেষ। Multi-factor authentication (MFA) এটি এখন অপরিহার্য, কারণ এটি পাসওয়ার্ড অনুমানযোগ্যতা এবং অ্যাকাউন্ট হস্তক্ষেপের মধ্যে সংযোগ ভেঙে দেয়। ডেভেলপারদের জন্য পরামর্শ হল সহায়ক-পাসওয়ার্ড সংযোগ বিচ্ছিন্ন করাপাসওয়ার্ড ম্যানেজার ব্যবহারে উৎসাহিত বা বাধ্যতামূলক করা। গবেষকদের জন্য, পরবর্তী সীমান্ত হলো প্রতিরক্ষা: আমরা কি ব্যবহারকারীর পাবলিক ডেটা থেকে অত্যধিক অনুমানযোগ্য পাসওয়ার্ড নির্বাচন শনাক্ত করে পরিবর্তনে বাধ্য করতে একই ধরনের মডেল তৈরি করতে পারি? শনাক্ত করা যখন কোনো ব্যবহারকারীর নির্বাচিত পাসওয়ার্ড তাদের পাবলিক ডেটা থেকে অত্যধিক অনুমানযোগ্য হয় এবং পরিবর্তনে বাধ্য করা প্রয়োজন? এই কাজটিও জরুরি প্রয়োজনকে তুলে ধরে differential privacy সহায়ক ডেটা হ্যান্ডলিং-এ, কারণ এমনকি এই "অ-সংবেদনশীল" ডেটাও এখন গোপন তথ্য অনুমান করতে ব্যবহার করা যেতে পারে।

7. Future Applications & Research Directions

  • Next-Generation Proactive Defense: রিয়েল-টাইম নিবন্ধন সিস্টেমে সংহতকরণ। একজন ব্যবহারকারী যখন একটি ইমেল দিয়ে সাইন আপ করে, তখন ব্যাকএন্ড UNCM মডেল তাত্ক্ষণিকভাবে সেই ব্যবহারকারীর প্রোফাইলের জন্য সবচেয়ে সম্ভাব্য ১০০টি পাসওয়ার্ড তৈরি করে এবং সেগুলি ব্লক করে, যা ভবিষ্যদ্বাণীযোগ্য স্থানের বাইরে পছন্দ করতে বাধ্য করে।
  • উন্নত হুমকি বুদ্ধিমত্তা: সিকিউরিটি ফার্মগুলি নির্দিষ্ট শিল্প (স্বাস্থ্যসেবা, অর্থ) বা হুমকি অভিনেতাদের জন্য UNCM ব্যবহার করে উপযুক্ত পাসওয়ার্ড অভিধান তৈরি করতে পারে, যা অনুপ্রবেশ পরীক্ষা এবং রেড টিম অনুশীলনের কার্যকারিতা উন্নত করে।
  • ক্রস-মডাল সম্পর্ক শিক্ষা: মডেলটিকে আরও সহায়ক সংকেত অন্তর্ভুক্ত করার জন্য প্রসারিত করা: সোশ্যাল মিডিয়া প্রোফাইল (পাবলিক পোস্ট, চাকরির শিরোনাম), অন্যান্য সাইট থেকে লঙ্ঘিত ডেটা (HaveIBeenPwned-স্টাইল API-এর মাধ্যমে), বা এমনকি সাপোর্ট টিকিট থেকে লেখার শৈলী।
  • প্রতিপক্ষীয় দৃঢ়তা: ব্যবহারকারীদের কীভাবে নির্দেশনা দেওয়া যেতে পারে যাতে তারা এমন পাসওয়ার্ড বেছে নেয় যা হ্রাস করে তাদের সহায়ক তথ্যের সাথে সম্পর্ক, মূলত UNCM-এর মতো মডেলগুলিকে "বোকা বানানো"। এটি নিরাপত্তার জন্য একটি প্রতিপক্ষ মেশিন লার্নিং সমস্যা।
  • Privacy-Preserving Deployment: UNCM-এর ফেডারেটেড লার্নিং বা নিরাপদ মাল্টি-পার্টি কম্পিউটেশন সংস্করণ তৈরি করা, যাতে বিভিন্ন কোম্পানির সহায়ক ডেটা সরাসরি শেয়ার না করেই ভাল মডেল প্রশিক্ষণের জন্য একত্রিত করা যায়, নতুন পরিষেবার জন্য কোল্ড-স্টার্ট সমস্যা সমাধান করা।
  • পাসওয়ার্ডের বাইরে: মূল নীতি—সর্বজনীন, সম্পর্কিত ডেটা থেকে ব্যক্তিগত আচরণ অনুমান করা—অন্যান্য নিরাপত্তা ক্ষেত্রে প্রয়োগ করা যেতে পারে, যেমন সাংগঠনিক মেটাডেটার ভিত্তিতে দুর্বল সফটওয়্যার কনফিগারেশন ভবিষ্যদ্বাণী করা বা পেশাদার ভূমিকার ভিত্তিতে ফিশিং সংবেদনশীলতা অনুমান করা।

8. References

  1. Pasquini, D., Ateniese, G., & Troncoso, C. (2024). Universal Neural-Cracking-Machines: Self-Configurable Password Models from Auxiliary Data. Proceedings of the 45th IEEE Symposium on Security and Privacy (S&P).
  2. Bonneau, J. (2012). The Science of Guessing: Analyzing an Anonymized Corpus of 70 Million Passwords. IEEE Symposium on Security and Privacy.
  3. Florêncio, D., Herley, C., & Van Oorschot, P. C. (2014). An Administrator's Guide to Internet Password Research. USENIX Conference on Large Installation System Administration (LISA).
  4. Zhu, J., Park, T., Isola, P., & Efros, A. A. (2017). Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks. Proceedings of the IEEE International Conference on Computer Vision (ICCV). (CycleGAN)
  5. Weir, M., Aggarwal, S., Medeiros, B., & Glodek, B. (2009). Password Cracking Using Probabilistic Context-Free Grammars. IEEE Symposium on Security and Privacy.
  6. Melicher, W., Ur, B., Segreti, S. M., Komanduri, S., Bauer, L., Christin, N., & Cranor, L. F. (2016). Fast, Lean, and Accurate: Modeling Password Guessability Using Neural Networks. USENIX Security Symposium.
  7. National Institute of Standards and Technology (NIST). (2017). Digital Identity Guidelines (SP 800-63B). (প্রমাণীকরণ সংক্রান্ত সুপারিশ).