डीप लर्निंग के माध्यम से व्याख्यायोग्य संभाव्य पासवर्ड स्ट्रेंथ मीटर

1 परिचय

प्रमाणीकरण प्रणालियों को सुरक्षित करने के लिए सटीक पासवर्ड स्ट्रेंथ मापन महत्वपूर्ण है, लेकिन पारंपरिक मीटर उपयोगकर्ताओं को शिक्षित करने में विफल रहते हैं। यह शोध पत्र डीप लर्निंग का उपयोग करके वर्ण-स्तरीय सुरक्षा प्रतिक्रिया प्रदान करने वाला पहला व्याख्यायोग्य संभाव्य पासवर्ड स्ट्रेंथ मीटर प्रस्तुत करता है।

2 संबंधित कार्य एवं पृष्ठभूमि

2.1 अनुमानी पासवर्ड मीटर

प्रारंभिक पासवर्ड स्ट्रेंथ मीटर सरल अनुमानों पर निर्भर थे, जैसे कि LUDS (लोअरकेस, अपरकेस, अंक, प्रतीकों की गिनती) या तदर्थ एंट्रॉपी परिभाषाएँ। ये दृष्टिकोण मूल रूप से त्रुटिपूर्ण हैं क्योंकि वे वास्तविक पासवर्ड संभाव्यता वितरण को मॉडल नहीं करते हैं और उपयोगकर्ताओं द्वारा गेमिंग के प्रति संवेदनशील हैं।

2.2 संभाव्य पासवर्ड मॉडल

अधिक हाल के दृष्टिकोण पासवर्ड संभावनाओं का अनुमान लगाने के लिए मार्कोव चेन, न्यूरल नेटवर्क और PCFG जैसे संभाव्य मॉडल का उपयोग करते हैं। हालाँकि अधिक सटीक, ये मॉडल ब्लैक बॉक्स हैं जो केवल अस्पष्ट सुरक्षा स्कोर प्रदान करते हैं, कार्रवाई योग्य प्रतिक्रिया के बिना।

3 पद्धति: व्याख्यायोग्य संभाव्य मीटर

3.1 गणितीय सूत्रीकरण

मुख्य नवाचार एक पासवर्ड की संयुक्त संभावना को वर्ण-स्तरीय योगदान में विघटित करना है। एक पासवर्ड $P = c_1c_2...c_n$ दिया गया है, संभावना $Pr(P)$ का अनुमान एक न्यूरल संभाव्य मॉडल का उपयोग करके लगाया जाता है। वर्ण $c_i$ का सुरक्षा योगदान इस प्रकार परिभाषित किया गया है:

$S(c_i) = -\log_2 Pr(c_i | c_1...c_{i-1})$

यह प्रत्येक वर्ण के आश्चर्य (सूचना सामग्री) को उसके संदर्भ के आधार पर मापता है, जो वर्ण स्ट्रेंथ की एक संभाव्य व्याख्या प्रदान करता है।

3.2 डीप लर्निंग कार्यान्वयन

लेखक इसे क्लाइंट-साइड संचालन के लिए उपयुक्त एक हल्के न्यूरल नेटवर्क आर्किटेक्चर का उपयोग करके कार्यान्वित करते हैं। मॉडल दक्षता बनाए रखते हुए अनुक्रमिक निर्भरताओं को पकड़ने के लिए वर्ण एम्बेडिंग और LSTM/ट्रांसफॉर्मर परतों का उपयोग करता है।

4 प्रायोगिक परिणाम एवं मूल्यांकन

4.1 डेटासेट एवं प्रशिक्षण

प्रयोग बड़े पासवर्ड डेटासेट (RockYou, LinkedIn ब्रीच) पर किए गए। मॉडल को व्याख्यायोग्यता बाधाओं को बनाए रखते हुए नकारात्मक लॉग-संभावना को कम करने के लिए प्रशिक्षित किया गया था।

4.2 वर्ण-स्तरीय प्रतिक्रिया विज़ुअलाइज़ेशन

चित्र 1 प्रतिक्रिया तंत्र प्रदर्शित करता है: "iamsecure!" प्रारंभ में कमजोर है (ज्यादातर लाल वर्ण)। जैसे ही उपयोगकर्ता सुझावों के आधार पर वर्णों को बदलता है ("i"→"i", "a"→"0", "s"→"$"), पासवर्ड अधिक हरे वर्णों के साथ मजबूत हो जाता है।

4.3 सुरक्षा बनाम उपयोगिता समझौता

सिस्टम प्रदर्शित करता है कि उपयोगकर्ता वर्ण-स्तरीय प्रतिक्रिया द्वारा निर्देशित होने पर न्यूनतम परिवर्तनों (2-3 वर्ण प्रतिस्थापन) के साथ मजबूत पासवर्ड प्राप्त कर सकते हैं, जो यादृच्छिक पासवर्ड जनरेशन या नीति प्रवर्तन पर महत्वपूर्ण सुधार करता है।

5 विश्लेषण फ्रेमवर्क एवं केस स्टडी

6 भविष्य के अनुप्रयोग एवं शोध दिशाएँ

• रियल-टाइम अनुकूली प्रतिक्रिया: मीटर जो उभरते हमले के पैटर्न के आधार पर सुझाव अपडेट करते हैं
• मल्टी-फैक्टर एकीकरण: पासवर्ड प्रतिक्रिया को व्यवहारिक बायोमेट्रिक्स के साथ जोड़ना
• एंटरप्राइज़ तैनाती: संगठन-विशिष्ट पासवर्ड नीतियों पर प्रशिक्षित कस्टम मॉडल
• पासवर्ड मैनेजर एकीकरण: पासवर्ड मैनेजर के भीतर सक्रिय सुझाव प्रणाली
• क्रॉस-लिंगुअल अनुकूलन: गैर-अंग्रेजी पासवर्ड पैटर्न के लिए अनुकूलित मॉडल

7 संदर्भ

1. Pasquini, D., Ateniese, G., & Bernaschi, M. (2021). Interpretable Probabilistic Password Strength Meters via Deep Learning. arXiv:2004.07179.
2. Ribeiro, M. T., Singh, S., & Guestrin, C. (2016). "Why Should I Trust You?": Explaining the Predictions of Any Classifier. Proceedings of the 22nd ACM SIGKDD International Conference on Knowledge Discovery and Data Mining.
3. Ur, B., et al. (2012). How Does Your Password Measure Up? The Effect of Strength Meters on Password Creation. USENIX Security Symposium.
4. Bonneau, J. (2012). The Science of Guessing: Analyzing an Anonymized Corpus of 70 Million Passwords. IEEE Symposium on Security and Privacy.
5. Weir, M., et al. (2009). Password Cracking Using Probabilistic Context-Free Grammars. IEEE Symposium on Security and Privacy.
6. Melicher, W., et al. (2016). Fast, Lean, and Accurate: Modeling Password Guessability Using Neural Networks. USENIX Security Symposium.