سنجه‌های قابل تفسیر قدرت رمز عبور احتمالاتی مبتنی بر یادگیری عمیق

1 مقدمه

اندازه‌گیری دقیق قدرت رمز عبور برای ایمن‌سازی سیستم‌های احراز هویت حیاتی است، اما سنجه‌های سنتی در آموزش کاربران ناتوان هستند. این مقاله نخستین سنجه احتمالاتی قابل تفسیر قدرت رمز عبور را معرفی می‌کند که با استفاده از یادگیری عمیق، بازخورد امنیتی در سطح کاراکتر ارائه می‌دهد.

2 کارهای مرتبط و پیشینه

2.1 سنجه‌های اکتشافی رمز عبور

سنجه‌های اولیه قدرت رمز عبور بر اکتشافات ساده‌ای مانند LUDS (شمارش حروف کوچک، بزرگ، ارقام، نمادها) یا تعاریف آنتروپی موردی تکیه داشتند. این رویکردها اساساً ناقص هستند زیرا توزیع احتمالاتی واقعی رمزهای عبور را مدل نمی‌کنند و در برابر دستکاری کاربران آسیب‌پذیرند.

2.2 مدل‌های احتمالاتی رمز عبور

رویکردهای جدیدتر از مدل‌های احتمالاتی مانند زنجیره‌های مارکوف، شبکه‌های عصبی و PCFGها برای تخمین احتمالات رمز عبور استفاده می‌کنند. اگرچه دقیق‌تر هستند، اما این مدل‌ها جعبه‌های سیاهی هستند که تنها نمرات امنیتی مبنا و بدون بازخورد عملی ارائه می‌دهند.

3 روش‌شناسی: سنجه‌های احتمالاتی قابل تفسیر

3.1 فرمول‌بندی ریاضی

نوآوری اصلی، تجزیه احتمال مشترک یک رمز عبور به سهم‌های سطح کاراکتر است. با فرض رمز عبور $P = c_1c_2...c_n$، احتمال $Pr(P)$ با استفاده از یک مدل احتمالاتی عصبی تخمین زده می‌شود. سهم امنیتی کاراکتر $c_i$ به صورت زیر تعریف می‌شود:

$S(c_i) = -\log_2 Pr(c_i | c_1...c_{i-1})$

این معیار، میزان غافلگیری (محتوی اطلاعاتی) هر کاراکتر با توجه به زمینه آن را اندازه‌گیری می‌کند و تفسیر احتمالاتی از قدرت کاراکتر ارائه می‌دهد.

3.2 پیاده‌سازی مبتنی بر یادگیری عمیق

نویسندگان این ایده را با استفاده از یک معماری شبکه عصبی سبک‌وزن مناسب برای اجرای سمت کاربر پیاده‌سازی کرده‌اند. این مدل از جاسازی کاراکتر و لایه‌های LSTM/Transformer برای ثبت وابستگی‌های ترتیبی استفاده می‌کند و در عین حال کارایی را حفظ می‌کند.

4 نتایج آزمایشی و ارزیابی

4.1 مجموعه داده و آموزش

آزمایش‌ها بر روی مجموعه داده‌های بزرگ رمز عبور (RockYou، نشت LinkedIn) انجام شد. مدل برای کمینه‌سازی لگاریتم درست‌نمایی منفی آموزش داده شد، در حالی که محدودیت‌های قابلیت تفسر حفظ شدند.

4.2 نمایش بصری بازخورد سطح کاراکتر

شکل ۱ مکانیزم بازخورد را نشان می‌دهد: رمز "iamsecure!" در ابتدا ضعیف است (اکثر کاراکترها قرمز). همانطور که کاربر بر اساس پیشنهادها کاراکترها را جایگزین می‌کند ("i"→"i"، "a"→"0"، "s"→"$")، رمز عبور قوی‌تر شده و کاراکترهای سبز بیشتری دارد.

4.3 مصالحه امنیت در برابر قابلیت استفاده

سیستم نشان می‌دهد که کاربران می‌توانند با حداقل تغییرات (۲ تا ۳ جایگزینی کاراکتر) و با هدایت بازخورد سطح کاراکتر، به رمزهای عبور قوی دست یابند که بهبود چشمگیری نسبت به تولید تصادفی رمز عبور یا اعمال سیاست‌های سختگیرانه دارد.

5 چارچوب تحلیل و مطالعه موردی

6 کاربردهای آتی و جهت‌های پژوهشی

• بازخورد انطباقی بلادرنگ: سنجه‌هایی که پیشنهادات خود را بر اساس الگوهای حمله در حال ظهور به‌روزرسانی می‌کنند.
• ادغام چندعاملی: ترکیب بازخورد رمز عبور با زیست‌سنجه‌های رفتاری.
• استقرار سازمانی: مدل‌های سفارشی آموزش‌دیده بر روی سیاست‌های رمز عبور خاص سازمان.
• ادغام با مدیران رمز عبور: سیستم‌های پیشنهاد دهنده پیش‌گیرانه درون مدیران رمز عبور.
• انطباق چندزبانه: مدل‌های بهینه‌شده برای الگوهای رمز عبور غیرانگلیسی.

7 مراجع

1. Pasquini, D., Ateniese, G., & Bernaschi, M. (2021). Interpretable Probabilistic Password Strength Meters via Deep Learning. arXiv:2004.07179.
2. Ribeiro, M. T., Singh, S., & Guestrin, C. (2016). "Why Should I Trust You?": Explaining the Predictions of Any Classifier. Proceedings of the 22nd ACM SIGKDD International Conference on Knowledge Discovery and Data Mining.
3. Ur, B., et al. (2012). How Does Your Password Measure Up? The Effect of Strength Meters on Password Creation. USENIX Security Symposium.
4. Bonneau, J. (2012). The Science of Guessing: Analyzing an Anonymized Corpus of 70 Million Passwords. IEEE Symposium on Security and Privacy.
5. Weir, M., et al. (2009). Password Cracking Using Probabilistic Context-Free Grammars. IEEE Symposium on Security and Privacy.
6. Melicher, W., et al. (2016). Fast, Lean, and Accurate: Modeling Password Guessability Using Neural Networks. USENIX Security Symposium.