Trenchcoat: मानव मस्तिष्क द्वारा गणनीय हैश एल्गोरिदम पासवर्ड जनरेशन के लिए

सामग्री

1. परिचय

आधुनिक डिजिटल वातावरण व्यक्तियों से बड़ी संख्या में ऑनलाइन खातों के प्रबंधन की मांग करता है, जिनमें से प्रत्येक पासवर्ड द्वारा सुरक्षित है। अद्वितीय, उच्च-शक्ति वाले पासवर्ड बनाने और याद रखने के संज्ञानात्मक भार ने पासवर्ड पुन: उपयोग और सरल रूपांतरों जैसी असुरक्षित प्रथाओं को जन्म दिया है। यह पेपर "Trenchcoat" पेश करता है, जो एकHuman-Computable Hashing Algorithmएक ढांचा जिसका उद्देश्य केवल एक याद रखने में आसान मास्टर कुंजी और मानसिक गणना का उपयोग करके प्रत्येक वेबसाइट के लिए सुरक्षित, अद्वितीय पासवर्ड उत्पन्न करना है।

2. वर्तमान पासवर्ड प्रथाओं में मौजूद समस्याएं

उपयोगकर्ता सुरक्षा आवश्यकताओं (जटिलता नियम, लगातार परिवर्तन) और संज्ञानात्मक सीमाओं के बीच फंस गए हैं। इसके परिणामस्वरूप:

• पासवर्ड पुन: उपयोग:50% से अधिक पासवर्ड कई खातों में दोहराए जाते हैं।
• कमजोर संरचना:पूर्वानुमेय पैटर्न, शब्दकोश शब्दावली और व्यक्तिगत जानकारी पर निर्भरता।
• उपकरण निर्भरता और जोखिम:पासवर्ड मैनेजर सहायक होते हैं, लेकिन वे एकल विफलता बिंदु प्रस्तुत करते हैं और गंभीर कमजोरियों का इतिहास रखते हैं।
• पहुंच अंतराल:कई समाधान न्यूरोडायवर्सिटी या विकलांग उपयोगकर्ताओं के लिए डिज़ाइन नहीं किए गए हैं।

3. The Trenchcoat Framework

Trenchcoat reimagines password generation as a cryptographic process that can be performed by a human.

3.1. मूल अवधारणा: मानव मस्तिष्क-गणनीय हैश फ़ंक्शन

मूल अवधारणा एक फ़ंक्शन $F_R(s, w) \rightarrow y$ है। यह उपयोगकर्ता कामास्टर कुंजी (s) और एकवेबसाइट/खाता पहचानकर्ता (w), एक अद्वितीय उत्पन्न करेंपासवर्ड (y)। महत्वपूर्ण पैरामीटर $R$ उपयोगकर्ता की विशिष्ट संज्ञानात्मक विन्यास का प्रतिनिधित्व करता है।

3.2. साहचर्य स्मृति और अंतर्निहित स्मृति (R) का उपयोग करना

यह ढांचा व्यक्ति-विशिष्ट संज्ञानात्मक विशेषताओं ($R$) का उपयोग करता है, जैसे स्थानिक स्मृति या व्यक्तिगत साहचर्य नेटवर्क। यह फ़ंक्शन को एक प्रकार के"संज्ञानात्मक भौतिक रूप से अप्रतिलिप्य फ़ंक्शन (C-PUF)"यदि आक्रमणकारी उपयोगकर्ता के आंतरिक $R$ से परिचित नहीं है, तो वह $F_R$ की कुशलतापूर्वक गणना या सत्यापन नहीं कर सकता है, जो हार्डवेयर PUF में उपयोग किए जाने वाले डिवाइस प्रमाणीकरण के समान सुरक्षा की एक परत प्रदान करता है। [37]。

4. प्रस्तावित एल्गोरिदम और तकनीकी विवरण

4.1. एल्गोरिदम श्रेणी

यह लेख मूलभूत संचालनों के आधार पर एल्गोरिदम के कई प्रकार प्रस्तावित करता है:

• अंकगणितीय संचालन पर आधारित: मास्टर कुंजी और वेबसाइट नाम पर मॉड्यूलर जोड़, अंकीय संचालन का उपयोग करें।
• स्थान/नेविगेशन पर आधारित: वर्णों को मानसिक ग्रिड या पथ पर बिंदुओं पर मैप करें।
• शब्दावली/खोज पर आधारित: व्यक्तिगत मानसिक शब्दकोश या कहानी संबंधों का उपयोग करें।

सभी एल्गोरिदम का उद्देश्य कम संज्ञानात्मक भार और उच्च पहुंच योग्यता प्राप्त करना है।

4.2. गणितीय सूत्रीकरण

अंकगणितीय संक्रियाओं पर आधारित एक सरलीकृत उदाहरण: मान लीजिए $s$ संख्यात्मक मास्टर कुंजी है (उदाहरण के लिए, एक याद रखने में आसान तिथि से व्युत्पन्न)। मान लीजिए $H(w)$ वेबसाइट नाम का एक सरल हैश मान है (उदाहरण के लिए, वर्ण कोडिंग का योग मॉड्यूलो 10)। पासवर्ड अंक $y_i$ इस प्रकार उत्पन्न किए जा सकते हैं:
$y_i = (s_i + H(w)_i + c_i) \mod 10$
जहां $c_i$ पिछले ऑपरेशन से कैरी है, या $R$ द्वारा परिभाषित एक उपयोगकर्ता-विशिष्ट क्रमचय चरण है। पूर्ण पासवर्ड $y_i$ का संयोजन है।

5. सुरक्षा विश्लेषण एवं एन्ट्रॉपी मूल्यांकन

पारंपरिक क्रिप्टैनालिसिस प्रत्यक्ष रूप से लागू करना कठिन है। यह लेख एन्ट्रॉपी-आधारित माप का उपयोग करता है:

• प्रभावी कुंजी स्थान: $s$ और $R$ के लिए अनुमानित हमलावर अनुमान खोज स्थान।
• ज्ञात हमलों के प्रति प्रतिरोध: शब्दकोश हमले, फ़िशिंग हमलों (उत्पन्न पासवर्ड साइट-विशिष्ट हैं) और अवलोकन हमलों (कंधे की झलक) के लिए विश्लेषण।
• R की विशिष्टता: सुरक्षा काफी हद तक संज्ञानात्मक पैरामीटर $R$ की अप्रत्याशितता और व्यक्तिगतता पर निर्भर करती है।

निष्कर्ष यह है कि हालांकि निरपेक्ष बिट सामर्थ्य एल्गोरिदमिक हैश से कम हो सकती है, लेकिन मानव मस्तिष्क तत्व ($R$) का एकीकरण और हमलावर द्वारा इसके मॉडल की आवश्यकता, एक महत्वपूर्ण व्यावहारिक बाधा बनाते हैं।

6. प्रयोगात्मक परिणाम और उपयोगकर्ता सर्वेक्षण

इस अध्ययन में शामिल है134 व्यक्तियों काप्रत्येक व्यक्ति द्वारा प्रस्तावित दो योजनाओं का परीक्षण, और400 वेबसाइटेंपासवर्ड नीति की समीक्षा।

मुख्य निष्कर्ष:

• उपयोगिता: प्रतिभागी अल्पकालिक प्रशिक्षण के बाद विश्वसनीय रूप से पासवर्ड उत्पन्न करने में सक्षम थे। स्थानिक और कथा-आधारित विधियों ने उच्च स्मरण दर प्रदर्शित की।
• स्वीकार्यता: उपयोगकर्ता शुद्ध अंकगणितीय विधि के बजाय "व्यक्तिगत" या "कहानी की तरह" महसूस होने वाले दृष्टिकोण को पसंद करते हैं।
• रणनीति विश्लेषण: वेबसाइट पासवर्ड आवश्यकताओं में उच्च स्तर की असंगति है, जो सार्वभौमिक जनरेटिंग फ़ंक्शन के डिज़ाइन को जटिल बनाती है।

7. विश्लेषणात्मक ढांचा और केस उदाहरण

मानव मस्तिष्क-गणनीय हैश योजनाओं के मूल्यांकन के लिए ढांचा:

1. इनपुट परिभाषा: $s$ के प्रारूप (उदाहरण के लिए, एक 6-अंकीय संख्या, एक वाक्यांश) और $w$ के प्रारूप (उदाहरण के लिए, पूर्ण डोमेन नाम, उपयोगकर्ता द्वारा चुना गया लेबल) को स्पष्ट रूप से परिभाषित करें।
2. ऑपरेशन मैपिंग: मानसिक संक्रियाओं के अनुक्रम को परिभाषित करें (उदाहरण के लिए, "w के तीसरे और पांचवें अक्षर लें, उन्हें संख्याओं में बदलें, और s के दूसरे अंक में जोड़ें...")।
3. R एकीकरण: निर्दिष्ट करें कि $R$ को कैसे एकीकृत किया जाए (उदाहरण के लिए, "अपने बचपन के फोन नंबर के एरिया कोड को अक्षर शिफ्ट पैटर्न के बीज के रूप में उपयोग करें")।
4. आउटपुट स्वरूपण: सामान्य पासवर्ड नियमों को कैसे पूरा किया जाए, इसका वर्णन करें (उदाहरण के लिए, "यदि तीसरा आउटपुट अंक सम है, तो वेबसाइट नाम का पहला अक्षर बड़ा करें और उसे पीछे जोड़ दें")।

केस उदाहरण (बिना कोड के): Alice 选择她的主密钥 $s$ 为数字“1984”。她的 $R$ 涉及总是以相反顺序思考字母表（Z=1, Y=2...）。对于网站“bank.com”，她取第一个和最后一个字母（B, K），通过她的反向字母表映射它们（B->25, K->16），将它们加到她的密钥数字上（25+1=26, 16+9=25），应用模26，再映射回字母（26->A, 25->B）。然后她应用一个个人规则 ($R$) 在元音后插入一个符号。她为 bank.com 生成的最终密码可能是“A!B”。

8. भविष्य के अनुप्रयोग और अनुसंधान संभावनाएं

• हाइब्रिड सिस्टम: एन्ट्रॉपी बढ़ाने के लिए अंतिम रूपांतरण चरण में मानव मस्तिष्क की कम्प्यूटेशनल कोर को एक अत्यंत सरल सुरक्षा उपकरण (जैसे स्मार्ट रिंग) के साथ एकीकृत करना।
• मानकीकरण एवं सुलभता: विभिन्न संज्ञानात्मक विशेषताओं और क्षमताओं के लिए प्रमाणित एल्गोरिदम का एक सेट विकसित करना, जो संभवतः ऑपरेटिंग सिस्टम लॉगिन फ्रेमवर्क में एकीकृत किया जा सके।
• निरंतर प्रमाणीकरण: एक बार के कोड या व्यवहारिक बायोमेट्रिक बीज उत्पन्न करने के लिए कोर फ़ंक्शंस में सूक्ष्म भिन्नताओं का उपयोग करना।
• पोस्ट-क्वांटम विचार: यह पता लगाना कि क्या लैटिस समस्याओं या अन्य पोस्ट-क्वांटम कठिन समस्याओं पर आधारित मानव-मस्तिष्क द्वारा गणना योग्य कार्यों को डिजाइन किया जा सकता है, जैसा कि"Human Proof of Work"जैसा कि संस्थान ने सुझाव दिया है।

9. संदर्भ सूची

1. [3] लोकप्रिय पासवर्ड मैनेजरों की सुरक्षा विश्लेषण। USENIX Security।
2. [4] B. Ross et al. "Stronger Password Authentication Using Browser Extensions." USENIX Security 2005.
3. [10] Verizon Data Breach Investigations Report. 2023.
4. [15] "Zero-Day Vulnerabilities in Password Managers." Cybersecurity and Infrastructure Security Agency (CISA).
5. [16] Google / Harris Poll। "ऑनलाइन सुरक्षा सर्वेक्षण।" 2022।
6. [17] डिजिटल पहचान रुझान। Dashlane। 2023।
7. [30] "विश्व के सबसे सामान्य पासवर्ड।" NordPass। 2023।
8. [34] S. Gaw और E. W. Felten। "ऑनलाइन खातों के लिए पासवर्ड प्रबंधन रणनीतियाँ।" SOUPS 2006।
9. [37] B. Gassend et al। "सिलिकॉन भौतिक यादृच्छिक कार्य।" CCS 2002। (PUF मूलभूत पत्र)
10. [43] FTC. "Consumer Sentinel Network Data Book." 2022.
11. NIST Special Publication 800-63B: Digital Identity Guidelines.
12. Isola, P. et al. "Image-to-Image Translation with Conditional Adversarial Networks." CVPR 2017. (For learning complex mappings by analogy).

10. विशेषज्ञ विश्लेषण एवं आलोचनात्मक समीक्षा