رمزهای عبور با وجود نقاط ضعف امنیتی شناخته شده، همچنان مکانیسم اصلی احراز هویت باقی ماندهاند. کاربران تمایل دارند رمزهای عبوری با الگوهای قابل پیشبینی ایجاد کنند که آنها را در برابر حملات حدسزنی آسیبپذیر میسازد. امنیت چنین سیستمهایی را نمیتوان با پارامترهای رمزنگاری سنتی کمّی کرد، بلکه نیازمند مدلسازی دقیق رفتار مهاجم است. این مقاله به شکافی حیاتی میپردازد: سوگیری اندازهگیری قابل توجهی که زمانی ایجاد میشود که محققان از حملات فرهنگ لغت آماده و پیکربندیشده ثابت استفاده میکنند که قادر به شبیهسازی استراتژیهای پویا و مبتنی بر تخصص مهاجمان دنیای واقعی نیستند.
شکافندههای رمز عبور دنیای واقعی از حملات فرهنگ لغت پرکارآمد و عملگرا همراه با قواعد تغییر شکل (مانند استفاده از ابزارهایی مانند Hashcat یا John the Ripper) استفاده میکنند. اثربخشی این حملات به پیکربندیهای تنظیمشده توسط متخصصان وابسته است - جفتهای خاصی از فهرست کلمات و مجموعه قواعد - که طی سالها تجربه ساخته شدهاند. تحلیلهای امنیتی که به پیکربندیهای پیشفرض متکی هستند، قدرت رمز عبور را به شدت بیشبرآورد میکنند و سوگیری اندازهگیریای ایجاد میکنند که اعتبار نتایج امنیتی را تضعیف میکند.
مشکل اصلی، شکاف بین مدلهای رمز عبور آکادمیک و شیوههای شکستن رمز در دنیای واقعی است. مطالعاتی مانند Ur و همکاران (2017) نشان دادهاند که معیارهای قدرت رمز عبور به شدت به مدل مهاجم مورد استفاده حساس هستند. استفاده از یک مدل ضعیف یا عمومی منجر به بیشبرآورد امنیت و ایجاد حس امنیت کاذب میشود.
حملات فرهنگ لغت سنتی ایستا هستند. آنها مجموعهای ثابت از قواعد تغییر شکل (مانند leet speak، افزودن پسوند اعداد) را به یک فهرست کلمات ثابت در ترتیبی از پیش تعیین شده اعمال میکنند. آنها فاقد انطباقپذیری متخصصان انسانی هستند که میتوانند:
نویسندگان رویکردی دوگانه برای خودکارسازی استراتژیهای حدسزنی شبیه به متخصصان پیشنهاد میدهند که وابستگی به پیکربندی دستی و دانش دامنه را کاهش میدهد.
یک شبکه عصبی عمیق (DNN) برای مدلسازی توزیع احتمال رمزهای عبور آموزش داده میشود. نوآوری کلیدی آموزش این مدل نه تنها بر روی مجموعهدادههای خام رمز عبور، بلکه بر روی دنبالهای از قواعد تغییر شکلی است که توسط شکافندههای متخصص بر روی کلمات پایه اعمال شدهاند. این امر به DNN اجازه میدهد تا "مهارت" یک مهاجم - یعنی تبدیلهای محتمل و ترتیب مؤثر آنها - را بیاموزد.
به جای یک مجموعه قواعد ثابت، این حمله از یک استراتژی حدسزنی پویا استفاده میکند. DNN با اعمال متوالی تبدیلهایی که احتمالات آنها بر اساس وضعیت فعلی کلمه و زمینه حمله شرطی شدهاند، تولید رمزهای عبور کاندید را هدایت میکند. این کار توانایی یک متخصص در تطبیق مسیر حمله در زمان واقعی را تقلید میکند.
این سیستم را میتوان به عنوان یک مولد احتمالی تصور کرد. با توجه به یک کلمه پایه $w_0$ از یک فرهنگ لغت، مدل یک رمز عبور $p$ را از طریق دنبالهای از $T$ تبدیل (قواعد تغییر شکل $r_t$) تولید میکند. احتمال رمز عبور به صورت زیر مدل میشود: $$P(p) = \sum_{w_0, r_{1:T}} P(w_0) \prod_{t=1}^{T} P(r_t | w_0, r_{1:t-1})$$ که در آن $P(r_t | w_0, r_{1:t-1})$ احتمال اعمال قاعده $r_t$ با توجه به کلمه اولیه و تاریخچه قواعد قبلی است که توسط DNN خروجی داده میشود. این فرمولبندی امکان اعمال قاعده آگاه از زمینه و غیرخطی را فراهم میکند.
آزمایشها بر روی چندین مجموعه داده بزرگ رمز عبور دنیای واقعی (مانند RockYou، LinkedIn) انجام شد. مدل پیشنهادی با مدلهای احتمالاتی رمز عبور پیشرفته (مانند مدلهای مارکوف، PCFG) و حملات فرهنگ لغت استاندارد با مجموعه قواعد محبوب (مانند best64.rule، d3ad0ne.rule) مقایسه شد.
معیار کلیدی شماره حدس است - تعداد حدسهای مورد نیاز برای شکستن یک درصد معین از رمزهای عبور. نتایج نشان داد که حمله فرهنگ لغت پویا که توسط DNN پشتیبانی میشود:
توضیح نمودار: یک نمودار خطی درصد تجمعی رمزهای عبور شکسته شده (محور Y) را در برابر لگاریتم شماره حدس (محور X) نشان میدهد. منحنی روش پیشنهادی به طور قابل توجهی سریعتر و بالاتر از منحنیهای PCFG، مارکوف و حملات فرهنگ لغت ایستا افزایش مییابد، به ویژه در رتبههای حدس اولیه (مانند اولین 10^9 حدس).
مقاله کاهش سوگیری اندازهگیری را کمّی میکند. هنگام ارزیابی قدرت یک سیاست رمز عبور، استفاده از یک حمله ایستا ممکن است به این نتیجه برسد که 50% رمزهای عبور در برابر 10^12 حدس مقاومت میکنند. حمله پویای پیشنهادی، که یک مهاجم تواناتر را مدل میکند، ممکن است نشان دهد که 50% توسط 10^10 حدس شکسته میشوند - یک بیشبرآورد 100 برابری توسط مدل ایستا. این موضوع اهمیت حیاتی مدلسازی دقیق مهاجم را برای تصمیمگیریهای سیاستی برجسته میسازد.
سناریو: یک تیم امنیتی میخواهد تابآوری رمزهای عبور کاربران خود را در برابر یک حمله پیچیده و هدفمند ارزیابی کند.
رویکرد سنتی (مغرضانه): آنها Hashcat را با فهرست کلمات rockyou.txt و مجموعه قواعد best64.rule اجرا میکنند. گزارش بیان میکند: "80% رمزهای عبور در برابر 1 میلیارد حدس مقاومت میکنند."
چارچوب پیشنهادی (کاهشیافته سوگیری):
بینش اصلی: این مقاله ضربهای دقیق به یک نقص فراگیر اما اغلب نادیده گرفته شده در پژوهش امنیت سایبری وارد میکند: سوگیری "شکاف تخصص". برای سالها، ارزیابیهای قدرت رمز عبور آکادمیک بر روی شن ساخته شدهاند - با استفاده از مدلهای مهاجم سادهانگارانه و ایستا که شباهت کمی به متخصصان انسانی انطباقپذیر و تقویتشده با ابزار در دنیای واقعی دارند. Pasquini و همکاران صرفاً یک الگوریتم بهتر ارائه نمیدهند؛ آنها این حوزه را وادار میکنند تا با نقطه کور روششناختی خود روبرو شود. پیشرفت واقعی، قالببندی مسئله نه به عنوان "شکستن بهتر رمز عبور" بلکه به عنوان "شبیهسازی بهتر مهاجم" است، تغییری ظریف اما حیاتی در دیدگاه که مشابه حرکت از طبقهبندهای ساده به شبکههای مولد تخاصمی (GANs) در هوش مصنوعی است، جایی که کیفیت مولد با توانایی آن در فریب ممیز تعریف میشود.
جریان منطقی: استدلال به طور قانعکنندهای خطی است. 1) تهدید واقعی = حملات پویای پیکربندیشده توسط متخصصان. 2) رویه رایج پژوهشی = حملات ایستا و آماده. 3) بنابراین، یک سوگیری اندازهگیری عظیم وجود دارد. 4) راهحل: خودکارسازی پیکربندی و انطباقپذیری متخصص با استفاده از هوش مصنوعی. استفاده از DNN برای مدلسازی دنباله قواعد ظریف است. این رویکرد تشخیص میدهد که دانش متخصص فقط یک کیسه از قواعد نیست، بلکه یک فرآیند احتمالاتی - یک دستور زبان شکستن - است. این با موفقیت مدلهای دنبالهای مانند ترنسفورمرها در پردازش زبان طبیعی همسو است و نشان میدهد نویسندگان درسهایی از حوزههای مجاور هوش مصنوعی را به طور مؤثر به کار میگیرند.
نقاط قوت و ضعف: نقطه قوت اصلی تأثیر عملی است. این کار فایده فوری برای آزمونکنندگان نفوذ و حسابرسان امنیتی دارد. رویکرد مبتنی بر DNN آن نیز در یادگیری الگوهای پیچیده از روشهای قدیمی PCFG کارآمدتر است. با این حال، یک نقص قابل توجه در وابستگی به داده آموزش نهفته است. "مهارت" مدل از رفتار مشاهدهشده متخصصان (دنباله قواعد) آموخته میشود. اگر داده آموزش از یک جامعه خاص از شکافندهها (مانند کسانی که از Hashcat به روشی خاص استفاده میکنند) آمده باشد، مدل ممکن است سوگیریهای آنها را به ارث ببرد و استراتژیهای نوین را از دست بدهد. این شکلی از تقلید است، نه هوش استراتژیک واقعی. علاوه بر این، همانطور که در ادبیات یادگیری فدرال (مانند کار Google AI) اشاره شده است، پیامدهای حریم خصوصی جمعآوری چنین دادههای حساس "رد حمله" برای آموزش بی�اهمیت نیست و به اندازه کافی بررسی نشده است.
بینشهای قابل اجرا: برای متخصصان صنعت: استفاده از مجموعه قواعد پیشفرض برای ارزیابی ریسک را متوقف کنید. مدلهای پویا و آگاه از زمینه مانند این را در خطوط لوله آزمون امنیتی خود ادغام کنید. برای پژوهشگران: این مقاله یک معیار جدید تعیین میکند. مدلهای رمز عبور آینده باید در برابر مهاجمان انطباقپذیر، نه مهاجمان ایستا، اعتبارسنجی شوند. مرز بعدی بستن حلقه است - ایجاد مدافعان هوش مصنوعی که میتوانند رمزهای عبور یا سیاستهای مقاوم در برابر این حملات پویای مبتنی بر هوش مصنوعی طراحی کنند، به سمت یک چارچوب همتکاملی تخاصمی مشابه GANs حرکت کنند، جایی که مدلهای مهاجم و مدافع به طور هماهنگ بهبود مییابند. دوران ارزیابی رمزهای عبور در خلأ ایستا به پایان رسیده است، یا باید برسد.