1. परिचय एवं सिंहावलोकन

उपयोगकर्ता व्यवहार—कमजोर, अनुमानित और पुनः उपयोग किए गए पासवर्ड चुनने—से उत्पन्न सुविदित कमजोरियों के बावजूद, पासवर्ड ऑनलाइन प्रमाणीकरण का प्रमुख रूप बने हुए हैं। पासवर्ड संरचना नीतियों और मीटरों जैसे पारंपरिक हस्तक्षेपों ने याद रखने की क्षमता को नुकसान पहुंचाए बिना पासवर्ड सामर्थ्य में स्थायी सुधार लाने में सीमित प्रभावशीलता दिखाई है। यह शोध पत्र डीपीएआर (डेटा-संचालित पासवर्ड सिफारिश प्रणाली) का परिचय देता है, जो इस अंतर को पाटने वाला एक नवीन दृष्टिकोण है। यादृच्छिक स्ट्रिंग उत्पन्न करने या अस्पष्ट प्रतिक्रिया देने के बजाय, डीपीएआर उपयोगकर्ता द्वारा प्रारंभ में चुने गए पासवर्ड का विश्लेषण करता है और उसे मजबूत बनाने के लिए विशिष्ट, न्यूनतम बदलाव सुझाता है, जो 90.5 करोड़ वास्तविक दुनिया के लीक पासवर्ड के एक विशाल डेटासेट से सीखे गए पैटर्न का लाभ उठाता है। मूल परिकल्पना यह है कि व्यक्तिगत, वृद्धिशील सुझावों को पूर्ण प्रतिस्थापन की तुलना में अपनाने और याद रखने की संभावना अधिक होती है।

2. डीपीएआर प्रणाली

डीपीएआर निष्क्रिय प्रतिक्रिया से सक्रिय, डेटा-सूचित मार्गदर्शन की ओर एक प्रतिमान परिवर्तन का प्रतिनिधित्व करता है।

2.1 मूल पद्धति एवं डेटा आधार

प्रणाली की बुद्धिमत्ता "क्वर्टी एंड 123" डेटासेट से प्राप्त होती है जिसमें 90.5 करोड़ लीक पासवर्ड शामिल हैं। इस संग्रह का विश्लेषण करके, डीपीएआर सामान्य पासवर्ड संरचनाओं, कमजोर पैटर्न (जैसे "1qaz1qaz"), और प्रतिस्थापन आदतों का एक संभाव्यता मॉडल बनाता है। यह उपयोगकर्ता के पासवर्ड में उन विशिष्ट तत्वों की पहचान करने की अनुमति देता है जो शब्दकोश या पैटर्न-आधारित हमलों के प्रति सबसे अधिक संवेदनशील हैं और लक्षित सुधार सुझाता है। मूलभूत सिद्धांत प्रतिकूल मशीन लर्निंग में तकनीकों को दर्शाता है, जहां एक मॉडल को वास्तविक दुनिया के डेटा (जैसे साइकलजीएएन का अयुग्मित छवि सेट का उपयोग) पर प्रशिक्षित किया जाता है ताकि परिवर्तन नियम सीखे जा सकें जो मुख्य विशेषताओं (याद रखने की क्षमता) को संरक्षित रखते हुए अन्य (सामर्थ्य) को बदलते हैं।

2.2 सिफारिश एल्गोरिदम एवं उपयोगकर्ता प्रवाह

उपयोगकर्ता अनुभव पुनरावृत्त और परामर्शात्मक है। एक उपयोगकर्ता पासवर्ड दर्ज करता है। डीपीएआर इसका मूल्यांकन करता है और एक विशिष्ट परिवर्तन का प्रस्ताव कर सकता है, जैसे किसी वर्ण का प्रतिस्थापन (जैसे, 'a' -> '@'), एक प्रत्यय जोड़ना, या किसी विशिष्ट अक्षर को बड़ा करना। सुझाव उपयोगकर्ता के मूल विचार में एक मामूली संपादन के रूप में प्रस्तुत किया जाता है, न कि एक विदेशी स्ट्रिंग के रूप में। उदाहरण के लिए, कमजोर पासवर्ड "1qaz1qaz" के लिए, डीपीएआर "1q@z1qaz!" सुझा सकता है, जिसमें एक प्रतीक और एक विस्मयादिबोधक चिह्न जोड़ा गया है। यह प्रक्रिया तब तक दोहराई जा सकती है जब तक कि सुरक्षा और उपयोगकर्ता स्वीकृति के बीच संतुलन बनाते हुए एक संतोषजनक सामर्थ्य सीमा पूरी न हो जाए।

3. प्रायोगिक मूल्यांकन

यह शोध पत्र दो मजबूत उपयोगकर्ता अध्ययनों के माध्यम से डीपीएआर को मान्य करता है।

3.1 अध्ययन 1: याद रखने की क्षमता का सत्यापन (n=317)

इस अध्ययन ने परीक्षण किया कि क्या डीपीएआर के नियमों द्वारा संशोधित पासवर्ड याद रखने योग्य बने रहे। प्रतिभागियों ने एक पासवर्ड बनाया, डीपीएआर-संशोधित संस्करण प्राप्त किया, और बाद में स्मरण पर परीक्षण किया गया। परिणामों ने मूल पासवर्ड की तुलना में स्मरण दरों में सांख्यिकीय रूप से महत्वपूर्ण कमी नहीं दर्शाई, जिसने पुष्टि की कि "न्यूनतम बदलाव" का दर्शन सफलतापूर्वक याद रखने की क्षमता को संरक्षित करता है।

3.2 अध्ययन 2: पासवर्ड मीटरों के विरुद्ध सामर्थ्य एवं स्मरण (n=441)

इस यादृच्छिक नियंत्रित परीक्षण ने डीपीएआर की तुलना पारंपरिक पासवर्ड मीटरों से की। प्रतिभागियों को या तो एक मानक मीटर का उपयोग करने वाले समूह या पासवर्ड निर्माण के दौरान डीपीएआर सिफारिशें प्राप्त करने वाले समूह में नियत किया गया।

3.3 प्रमुख परिणाम एवं सांख्यिकीय सारांश

+34.8 बिट्स

डीपीएआर समूह के लिए पासवर्ड सामर्थ्य (एन्ट्रॉपी) में औसत वृद्धि।

36.6%

डीपीएआर की पहली सिफारिश की शब्दशः स्वीकृति दर।

कोई महत्वपूर्ण प्रभाव नहीं

उपयोगकर्ताओं की अपने डीपीएआर-संशोधित पासवर्ड याद रखने की क्षमता पर।

डीपीएआर समूह ने स्मरण को समझौता किए बिना काफी मजबूत अंतिम पासवर्ड प्राप्त किए, केवल-मीटर समूह से बेहतर प्रदर्शन किया। उच्च शब्दशः स्वीकृति दर एक महत्वपूर्ण मापदंड है, जो मार्गदर्शित दृष्टिकोण के साथ उपयोगकर्ता अनुपालन की मजबूती को दर्शाती है।

4. तकनीकी गहन अध्ययन

4.1 गणितीय आधार एवं सामर्थ्य गणना

पासवर्ड सामर्थ्य को एन्ट्रॉपी का उपयोग करके मात्रात्मक रूप से व्यक्त किया जाता है, जिसे बिट्स में मापा जाता है। एक पासवर्ड की एन्ट्रॉपी $H$ की गणना वर्ण सेट के आकार $N$ और लंबाई $L$ के आधार पर की जाती है, जिसका अनुमान $H = L \cdot \log_2(N)$ के रूप में लगाया जाता है। हालांकि, यह यादृच्छिक चयन मानता है। डीपीएआर के मॉडल को अनुमानित पैटर्न के लिए छूट देनी चाहिए। एक अधिक सूक्ष्म मॉडल, जो लीक डेटासेट पर प्रशिक्षित मार्कोव श्रृंखला या संभाव्यता संदर्भ-मुक्त व्याकरण के समान है, अनुक्रम की संभावना पर विचार करके वास्तविक एन्ट्रॉपी $H_{actual}$ का अनुमान लगाता है: $H_{actual} \approx -\log_2(P(password))$, जहां $P(password)$ प्रशिक्षण संग्रह में उस पासवर्ड संरचना के घटित होने की संभावना है। डीपीएआर का लक्ष्य न्यूनतम परिवर्तन सुझाना है जो $H_{actual}$ में वृद्धि को अधिकतम करता है।

4.2 विश्लेषण ढांचा: डीपीएआर मूल्यांकन मैट्रिक्स

परिदृश्य: पासवर्ड "summer2024" का मूल्यांकन।
डीपीएआर विश्लेषण:

  1. पैटर्न पहचान: एक सामान्य शब्दकोश शब्द ("summer") के बाद एक हाल का वर्ष के रूप में पहचाना गया।
  2. कमजोरी मूल्यांकन: शब्दकोश और संकर हमलों के प्रति अत्यधिक संवेदनशील। बहुत कम $H_{actual}$।
  3. सिफारिश निर्माण (उदाहरण):
    • प्रतिस्थापन: "$ummer2024" ('s' को '$' से बदलें)।
    • अंतर्निवेश जोड़: "summer!2024" ('!' जोड़ें)।
    • नियंत्रित बड़ा करना: "sUmmer2024" ('U' को बड़ा करें)।
  4. सामर्थ्य पुनर्मूल्यांकन: प्रत्येक सुझाव का उसके अनुमानित एन्ट्रॉपी लाभ और याद रखने की क्षमता पर प्रभाव के लिए स्कोर किया जाता है। "$ummer2024" को न्यूनतम संज्ञानात्मक भार के साथ महत्वपूर्ण सामर्थ्य बढ़ाने के लिए प्राथमिकता दी जा सकती है।
यह ढांचा प्रदर्शित करता है कि डीपीएआर निदान से लक्षित नुस्खे की ओर कैसे बढ़ता है।

5. आलोचनात्मक विश्लेषण एवं उद्योग परिप्रेक्ष्य

मूल अंतर्दृष्टि: डीपीएआर केवल एक और पासवर्ड मीटर नहीं है; यह एक व्यवहारिक हस्तक्षेप इंजन है। इसकी प्रतिभा सुरक्षा समस्या को "उपयोगकर्ता शिक्षा" से "उपयोगकर्ता सहयोग" में पुनर्परिभाषित करने में निहित है। उपयोगकर्ता के स्वयं के मानसिक मॉडल में सूक्ष्म, डेटा-समर्थित संपादन करके, यह सिस्टम-जनित अर्थहीन स्ट्रिंग के प्रति मनोवैज्ञानिक प्रतिरोध को दरकिनार कर देता है। 36.6% शब्दशः स्वीकृति दर केवल एक संख्या नहीं है—यह घर्षण से ग्रस्त एक क्षेत्र में एक श्रेष्ठ उपयोगकर्ता अनुभव डिजाइन का प्रमाण है।

तार्किक प्रवाह: शोध तर्क अचूक है। यह मौजूदा उपकरणों (नीतियों, मीटरों) की सुव्याख्यात विफलता से शुरू होता है, यह मानता है कि विशिष्टता और व्यक्तिगतकरण गायब हैं, उपलब्ध सबसे बड़े वास्तविक दुनिया के डेटासेट का उपयोग करके उस परिकल्पना का परीक्षण करने के लिए एक प्रणाली (डीपीएआर) बनाता है, और सुरक्षा (बिट्स) और उपयोगिता (स्मरण, स्वीकृति) दोनों को मापने वाले नियंत्रित प्रयोगों के साथ इसे मान्य करता है। अनुप्रयुक्त साइबर सुरक्षा शोध इसी प्रकार किया जाना चाहिए।

शक्तियां एवं दोष: प्राथमिक शक्ति इसका व्यावहारिक, मानव-केंद्रित दृष्टिकोण है, जो मजबूत डेटा और स्पष्ट परिणामों द्वारा समर्थित है। हालांकि, एक गंभीर दोष इसकी संभावित हमला सतह में निहित है। यदि सिफारिश एल्गोरिदम अनुमानित हो जाता है, तो हमलावर अपनी अनुमान रणनीतियों को परिष्कृत करने के लिए इसे रिवर्स-इंजीनियर कर सकते हैं—प्रतिकूल एआई में देखी गई एक क्लासिक हथियारों की दौड़, जैसा कि "Adversarial Machine Learning at Scale" (गुडफेलो एट अल., आईसीएलआर 2015) जैसे शोध पत्रों में चर्चा की गई है। इसके अलावा, एक स्थिर लीक संग्रह पर इसकी निर्भरता नई सांस्कृतिक प्रवृत्तियों या लक्षित सामाजिक इंजीनियरिंग पैटर्न के लिए तेजी से अनुकूलन नहीं कर सकती है।

कार्रवाई योग्य अंतर्दृष्टि: सीआईएसओ और उत्पाद प्रबंधकों के लिए, निष्कर्ष स्पष्ट है: लाल/पीली/हरी पट्टियों पर निर्भर रहना बंद करें। अपने पंजीकरण और पासवर्ड परिवर्तन प्रवाह में तुरंत डीपीएआर जैसी संदर्भ-जागरूक, सुझावात्मक प्रणालियों को एकीकृत करें। खाता अधिग्रहण जोखिम में कमी का आरओआई स्पष्ट है। शोधकर्ताओं के लिए, अगला कदम डीपीएआर को प्रतिकूल विश्लेषण के विरुद्ध मजबूत बनाना और नए पासवर्ड डेटा को केंद्रीकृत किए बिना अपने मॉडल को अद्यतन करने के लिए संघीय लर्निंग तकनीकों का अन्वेषण करना है, इस प्रकार राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) जैसे संस्थानों द्वारा अपने डिजिटल पहचान दिशानिर्देशों में उजागर गोपनीयता चिंताओं का समाधान करना है।

6. भविष्य के अनुप्रयोग एवं शोध दिशाएं

  • सक्रिय पासवर्ड जांच: केवल उल्लंघन चेतावनियों से आगे बढ़कर, संग्रहीत पासवर्डों के लिए समय-समय पर सुदृढ़ीकरण बदलाव सुझाने के लिए पासवर्ड प्रबंधकों में एकीकरण।
  • अनुकूली एवं संदर्भ-जागरूक प्रणालियां: डीपीएआर मॉडल जो खाते के विशिष्ट मूल्य (जैसे, बैंकिंग बनाम फोरम) पर विचार करते हैं, उच्च-मूल्य लक्ष्यों के लिए अधिक आक्रामक परिवर्तन सुझाते हैं।
  • फ़िशिंग प्रतिरोध प्रशिक्षण: सिफारिश इंजन का उपयोग करके उपयोगकर्ताओं को कमजोर पैटर्न के बारे में सिखाना, यह इंटरैक्टिव रूप से दिखाकर कि उनके काल्पनिक पासवर्ड कैसे मजबूत किए जाएंगे।
  • बायोमेट्रिक फॉलबैक के साथ एकीकरण: बहु-कारक प्रमाणीकरण योजनाओं में, जब बायोमेट्रिक्स विफल हो जाते हैं, तो डीपीएआर-संशोधित पासवर्ड एक अधिक मजबूत फॉलबैक के रूप में कार्य कर सकते हैं।
  • गोपनीयता-संरक्षण मॉडल प्रशिक्षण: नए उपयोगकर्ता पासवर्डों से समझौता किए बिना मॉडल के डेटासेट को सुधारने के लिए विभेदक गोपनीयता या डिवाइस पर लर्निंग जैसी तकनीकों का अन्वेषण।

7. संदर्भ

  1. Morag, A., David, L., Toch, E., & Wool, A. (2024). Improving Users' Passwords with DPAR: A Data-Driven Password Recommendation System. arXiv preprint arXiv:2406.03423.
  2. Goodfellow, I., Shlens, J., & Szegedy, C. (2015). Explaining and harnessing adversarial examples. International Conference on Learning Representations (ICLR).
  3. National Institute of Standards and Technology (NIST). (2017). Digital Identity Guidelines (SP 800-63B).
  4. Ur, B., et al. (2016). Design and evaluation of a data-driven password meter. Proceedings of the CHI Conference on Human Factors in Computing Systems.
  5. Zhu, J.-Y., Park, T., Isola, P., & Efros, A. A. (2017). Unpaired image-to-image translation using cycle-consistent adversarial networks. Proceedings of the IEEE International Conference on Computer Vision.
  6. Weir, M., Aggarwal, S., Medeiros, B. D. P., & Glodek, B. (2009). Password cracking using probabilistic context-free grammars. IEEE Symposium on Security and Privacy.