PESrank: تخمین آنلاین حدس‌پذیری رمز عبور از طریق تخمین رتبه چندبعدی

1. مقدمه

این مقاله PESrank را معرفی می‌کند، یک برآوردگر نوین قدرت رمز عبور که برای مدل‌سازی دقیق رفتار یک کرکر قدرتمند رمز عبور، با محاسبه رتبه یک رمز عبور در یک ترتیب بهینه احتمال، طراحی شده است. این روش به نیاز حیاتی برای برآوردگرهای عملی و قابلیت آنلاین که فراتر از اکتشافات ساده‌ای مانند شمارش LUDS (حروف کوچک، بزرگ، ارقام، نمادها) می‌روند، می‌پردازد.

1.1. پیشینه

علیرغم آسیب‌پذیری‌های شناخته شده، رمزهای عبور متنی همچنان روش اصلی احراز هویت هستند. کاربران اغلب رمزهای عبور ضعیف و قابل پیش‌بینی انتخاب می‌کنند که سیستم‌ها را در برابر حملات حدسی آسیب‌پذیر می‌سازد. قدرت دقیق به عنوان تعداد تلاش‌هایی که یک مهاجم برای حدس زدن آن نیاز دارد تعریف می‌شود. برآوردگرهای قبلی مبتنی بر کرکر از مدل‌های مارکوف، PCFG و شبکه‌های عصبی استفاده می‌کردند، اما اغلب از زمان‌های طولانی آموزش رنج می‌بردند یا فاقد قابلیت بلادرنگ بودند.

1.2. دستاوردها

نوآوری اصلی PESrank، بازتعریف تخمین رتبه رمز عبور درون یک چارچوب احتمالاتی برگرفته از تحلیل رمزنگاری کانال جانبی است. این روش رمزهای عبور را به عنوان نقاطی در یک فضای جستجوی d-بعدی (مانند کلمه پایه، پسوند، الگوی بزرگ‌نویسی) در نظر می‌گیرد و توزیع احتمال هر بعد را به طور مستقل یاد می‌گیرد. این امر امکان تخمین رتبه سریع و آنلاین بدون شمارش، شخصی‌سازی کارآمد مدل و بازخورد قابل توضیح را فراهم می‌کند.

2. روش‌شناسی PESrank

PESrank یک رمز عبور را به ابعاد قابل تفسار تجزیه می‌کند و مسئله تخمین قدرت را به یک کار تخمین رتبه چندبعدی تبدیل می‌کند.

2.1. نمایش چندبعدی رمز عبور

یک رمز عبور مانند "P@ssw0rd2024!" ممکن است در ابعاد زیر نمایش داده شود: کلمه پایه ("password")، الگوی جایگزینی L33t، پسوند ("2024") و افزودن کاراکتر ویژه. هر بعد دارای یک تابع جرم احتمال مرتبط است که از داده‌های آموزشی یاد گرفته می‌شود.

2.2. چارچوب تخمین رتبه

به جای شمارش تمام رمزهای عبور ممکن، PESrank رتبه R(p) یک رمز عبور خاص p را با جمع‌آوری احتمالات تمام رمزهای عبوری که احتمال بیشتری نسبت به p دارند، در فضای ترکیبی تعریف شده توسط ابعاد محاسبه می‌کند. این مشابه تخمین رتبه یک کلید مخفی در تحلیل کانال جانبی است.

3. پیاده‌سازی فنی و مدل ریاضی

3.1. چارچوب احتمالاتی

فرض کنید یک رمز عبور p به عنوان یک بردار (x₁, x₂, ..., x_d) در d بعد مستقل نمایش داده شود. احتمال p به صورت زیر تقریب زده می‌شود: $$P(p) \approx \prod_{i=1}^{d} P_i(x_i)$$ که در آن P_i(x_i) احتمال حاشیه‌ای مؤلفه x_i در بعد i است. رتبه R(p) مجموع احتمالات تمام رمزهای عبور q با P(q) > P(p) است.

3.2. محاسبه کارآمد رتبه

PESrank از الگوریتم‌های کارآمد برای محاسبه این مجموع بدون شمارش استفاده می‌کند. برای هر بعد، لیست‌های مرتب‌شده‌ای از مؤلفه‌ها بر اساس احتمال نگهداری می‌کند. محاسبه رتبه شامل پیمایش این لیست‌ها و تجمیع حاصل‌ضرب‌های جزئی است که حتی با مدلی که بر روی 905 میلیون رمز عبور آموزش دیده، عملکرد زیر ثانیه‌ای را به دست می‌آورد.

4. نتایج آزمایشی و ارزیابی

4.1. معیارهای عملکرد

مقاله یک ارزیابی گسترده را گزارش می‌دهد. نتایج کلیدی شامل:

• سرعت: زمان پاسخ "به خوبی زیر 1 ثانیه" برای پرس‌وجوهای آنلاین.
• دقت: تخمین‌های رتبه با حاشیه حداکثر 1 بیت بین کران بالا و پایین، که نشان‌دهنده دقت بالا است.
• زمان آموزش: "به طور چشمگیری کوتاه‌تر" از روش‌های قبلی (که ممکن است روزها طول بکشد).

توضیح نمودار (مفهومی): یک نمودار میله‌ای که زمان آموزش PESrank (در حد ساعت) را در مقابل یک مدل شبکه عصبی (در حد روز) و یک مدل PCFG (در حد ده‌ها ساعت) مقایسه می‌کند. یک نمودار خطی روی هم نشان می‌دهد که تأخیر پرس‌وجوی PESrank با افزایش اندازه مدل (تعداد رمزهای عبور در مجموعه آموزشی) از 10 میلیون به 1 میلیارد، پایدار و زیر 1 ثانیه باقی می‌ماند.

4.2. مقایسه با روش‌های موجود

PESrank با برآوردگرهای اکتشافی (LUDS)، مارکوف و مبتنی بر PCFG مقایسه شد. این روش همبستگی برتر با ترتیب کرک واقعی از ابزارهایی مانند Hashcat را نشان داد که هدف طراحی "مبتنی بر کرکر" آن را تأیید می‌کند. ویژگی قابل توضیح بودن آن، که دلایل رتبه پایین را ارائه می‌دهد (مانند "کلمه پایه در فهرست 100 کلمه رایج قرار دارد")، یک مزیت متمایز نسبت به شبکه‌های عصبی جعبه سیاه است.

5. بینش‌های کلیدی و چارچوب تحلیلی

6. چشم‌انداز کاربردی و جهت‌های آینده

بررسی پیشگیرانه رمز عبور: ادغام در صفحات ثبت‌نام وب‌سایت‌ها و برنامه‌ها به عنوان یک مشاور بلادرنگ، ارائه بازخورد فوری و قابل توضیح.

سیستم‌های احراز هویت سازگار: امتیازدهی ریسک پویا که در آن رتبه یک رمز عبور بر نیاز به عوامل احراز هویت اضافی تأثیر می‌گذارد (مثلاً یک رمز عبور با رتبه پایین، احراز هویت دو مرحله‌ای اجباری را فعال می‌کند).

سیاست‌های امنیتی شخصی‌شده: سیستم‌های سازمانی می‌توانند مدل‌های شخصی‌شده‌ای برای هر کارمند نگهداری کنند و به طور خودکار رتبه رمزهای عبور حاوی اطلاعات خاص کارمند (نام، شناسه، بخش) را پایین بیاورند.

تحقیقات آینده: گسترش مدل برای مدیریت عبارت‌های عبور، بررسی ترکیب‌های یادگیری عمیق برای ثبت همبستگی‌های ظریف ابعاد، و توسعه معیارهای استاندارد برای برآوردگرهای قدرت رمز عبور مشابه دستورالعمل‌های رمز عبور NIST اما برای ارزیابی الگوریتمی.

7. مراجع

1. David, L., & Wool, A. (2020). Online Password Guessability via Multi-Dimensional Rank Estimation. arXiv preprint arXiv:1912.02551.
2. Weir, M., Aggarwal, S., Medeiros, B., & Glodek, B. (2009). Password cracking using probabilistic context-free grammars. In 2009 30th IEEE Symposium on Security and Privacy.
3. Melicher, W., Ur, B., Segreti, S. M., Komanduri, S., Bauer, L., Christin, N., & Cranor, L. F. (2016). Fast, lean, and accurate: Modeling password guessability using neural networks. In 25th USENIX Security Symposium.
4. NIST. (2017). Digital Identity Guidelines: Authentication and Lifecycle Management. NIST Special Publication 800-63B.
5. Bonneau, J. (2012). The science of guessing: analyzing an anonymized corpus of 70 million passwords. In 2012 IEEE Symposium on Security and Privacy.