विषय सूची
1. Introduction & Overview
पासवर्ड प्रमाणीकरण का प्रमुख तंत्र बने हुए हैं, लेकिन उनका प्रबंधन एक गंभीर सुरक्षा चुनौती प्रस्तुत करता है। पारंपरिक पासवर्ड मैनेजर विफलता के केंद्रीय बिंदु बनाते हैं, जैसा कि LastPass जैसी सुरक्षा भंग घटनाओं से प्रमाणित होता है। नियतात्मक पासवर्ड जनरेटर (DPGs) को एक विकल्प के रूप में दो दशकों से प्रस्तावित किया गया है, जो एक मास्टर सीक्रेट और डोमेन नाम से प्रति साइट अद्वितीय पासवर्ड उत्पन्न करके भंडारण को समाप्त करते हैं। हालाँकि, मौजूदा DPGs महत्वपूर्ण सुरक्षा, गोपनीयता और उपयोगिता संबंधी खामियों से ग्रस्त हैं, जिन्होंने व्यापक अपनाने को रोका है।
यह शोध पत्र मल्टी-फैक्टर डिटरमिनिस्टिक पासवर्ड जनरेटर (MFDPG) का परिचय देता है, जो एक नवीन डिज़ाइन है जो इन कमियों को दूर करता है। MFDPG मास्टर सीक्रेट को मजबूत करने के लिए मल्टी-फैक्टर कुंजी व्युत्पत्ति का लाभ उठाता है, सुरक्षित पासवर्ड निरसन के लिए संभाव्य डेटा संरचनाओं को नियोजित करता है, और जटिल पासवर्ड नीतियों का पालन करने के लिए नियतात्मक परिमित ऑटोमेटन (DFA) ट्रैवर्सल का उपयोग करता है। परिणाम एक ऐसी प्रणाली है जिसे क्लाइंट या सर्वर-साइड गुप्त भंडारण की शून्य आवश्यकता होती है, जबकि यह कमजोर पासवर्ड-केवल वेबसाइटों को मजबूत मल्टी-फैक्टर प्रमाणीकरण में अपग्रेड करने के लिए प्रभावी रूप से क्लाइंट-साइड के रूप में कार्य करती है।
Key Statistics
- 45 Existing DPGs Analyzedपिछले कार्यों का व्यापक सर्वेक्षण।
- 100% संगतताशीर्ष 100 वेब अनुप्रयोगों के विरुद्ध MFDPG का मूल्यांकन।
- शून्य संग्रहीत गुप्त सूचना: केंद्रीय तिजोरी की कमजोरी को समाप्त करता है।
2. विद्यमान DPGs का विश्लेषण
यह शोध पत्र व्यवस्थागत खामियों की पहचान करने के लिए 45 पूर्व DPG प्रस्तावों (जैसे, PwdHash) का सर्वेक्षण करता है।
2.1 Security & Privacy Flaws
मुख्य भेद्यता: अधिकांश DPG एक ही मास्टर पासवर्ड का उपयोग करते हैं। यदि किसी भी जनरेट किए गए साइट पासवर्ड से समझौता हो जाता है, तो इसका उपयोग सीधे हमला करने और ऑफ़लाइन ब्रूट-फोर्स या डिक्शनरी हमलों के माध्यम से मास्टर पासवर्ड को संभावित रूप से पुनर्प्राप्त करने के लिए किया जा सकता है। यह गोपनीयता की स्वतंत्रता के सिद्धांत का उल्लंघन करता है।
गोपनीयता रिसाव: सरल DPG सेवा उपयोग पैटर्न लीक कर सकते हैं। किसी विशिष्ट डोमेन के लिए पासवर्ड जनरेट करने या बदलने की क्रिया का अनुमान लगाया जा सकता है, जिससे उपयोगकर्ता की गोपनीयता से समझौता होता है।
2.2 प्रयोज्यता सीमाएँ
पासवर्ड रोटेशन: किसी एकल साइट के लिए पासवर्ड बदलने के लिए आमतौर पर मास्टर सीक्रेट बदलने की आवश्यकता होती है, जिसके बाद बदल जाता है सभी व्युत्पन्न पासवर्ड—एक अव्यावहारिक उपयोगकर्ता अनुभव।
नीति अनुपालन: अधिकांश DPG एक निश्चित प्रारूप में पासवर्ड उत्पन्न करते हैं, जो विविध और जटिल वेबसाइट पासवर्ड नीतियों के अनुकूल होने में असमर्थ होते हैं (जैसे, विशेष वर्णों की आवश्यकता, विशिष्ट लंबाई, या कुछ प्रतीकों को बाहर रखना)।
3. MFDPG डिज़ाइन
एमएफडीपीजी इन सीमाओं को दूर करने के लिए तीन मुख्य नवाचार प्रस्तुत करता है।
3.1 बहु-कारक कुंजी व्युत्पत्ति
एकल मास्टर पासवर्ड के बजाय, MFDPG एक बहु-कारक कुंजी व्युत्पत्ति फ़ंक्शन (MFKDF) का उपयोग करता है। अंतिम कुंजी $K$ कई कारकों से व्युत्पन्न होती है:
$K = \text{MFKDF}(\text{Password}, \text{TOTP Seed}, \text{Security Key PubKey}, ...)$
यह दृष्टिकोण हमले की लागत को काफी बढ़ा देता है। किसी साइट के पासवर्ड से समझौता करने से TOTP सीड या हार्डवेयर कुंजी के बारे में कुछ भी पता नहीं चलता है, जिससे मास्टर पासवर्ड पर ऑफ़लाइन हमले अव्यवहार्य हो जाते हैं। यह प्रभावी रूप से केवल-पासवर्ड वाली साइटों को MFA में अपग्रेड कर देता है।
3.2 रद्दीकरण के लिए कोयल फ़िल्टर
मास्टर कारकों को बदले बिना व्यक्तिगत साइटों के लिए पासवर्ड रोटेशन को हल करने के लिए, MFDPG एक Cuckoo Filter का उपयोग करता है - एक संभाव्य डेटा संरचना। एक रद्द किए गए पासवर्ड के हैश को क्लाइंट-साइड फ़िल्टर में डाला जाता है। पासवर्ड जनरेशन के दौरान, सिस्टम फ़िल्टर की जांच करता है और यदि कोई टकराव पाया जाता है, तो यह एक काउंटर (जैसे, $\text{Hash}(\text{Domain} || \text{counter})$) को पुनरावृत्त रूप से लागू करता है जब तक कि एक गैर-रद्द किया गया पासवर्ड नहीं मिल जाता। यह उपयोग की गई साइटों की सादा पाठ सूची को संग्रहीत किए बिना प्रति-साइट निरसन की अनुमति देता है, जिससे गोपनीयता बनी रहती है।
3.3 DFA-आधारित पासवर्ड जनरेशन
मनमानी रेगुलर एक्सप्रेशन-आधारित पासवर्ड नीतियों को पूरा करने के लिए, MFDPG नीति को एक निर्धारक परिमित ऑटोमेटन (DFA) के रूप में मॉडल करता है। जनरेटर व्युत्पन्न कुंजी $K$ और डोमेन द्वारा बीजित एक क्रिप्टोग्राफ़िक रूप से सुरक्षित छद्म यादृच्छिक संख्या जनरेटर (CSPRNG) का उपयोग करता है, ताकि DFA को पार किया जा सके और मान्य स्थिति संक्रमणों के अनुरूप वर्ण उत्सर्जित किए जा सकें। यह सुनिश्चित करता है कि आउटपुट पासवर्ड प्रति डोमेन अद्वितीय हो और निर्दिष्ट नीति का अनुपालन करने की गारंटी हो।
4. Evaluation & Results
लेखकों ने MFDPG का एक व्यावहारिक मूल्यांकन किया:
- अनुकूलता: सिस्टम को 100 सबसे लोकप्रिय वेबसाइटों की पासवर्ड नीतियों के विरुद्ध परीक्षण किया गया। DFA-आधारित जनरेटर ने सभी साइटों के लिए अनुपालन पासवर्ड सफलतापूर्वक बनाए, जो सार्वभौमिक व्यावहारिकता प्रदर्शित करता है।
- सुरक्षा विश्लेषण: यह दिखाया गया कि MFKDF का उपयोग मास्टर पासवर्ड हमलों को कम करता है, भले ही कई साइट पासवर्ड लीक हो जाएं। Cuckoo Filter डिज़ाइन एक समायोज्य गलत-सकारात्मक दर के साथ सेवा उपयोग पैटर्न लीक होने से रोकता है।
- प्रदर्शन: डिवाइस पर संचालन (कुंजी व्युत्पत्ति, फ़िल्टर जांच, DFA traversal) लॉगिन प्रक्रिया में नगण्य विलंबता (मिलीसेकंड) जोड़ते हैं, जिससे यह वास्तविक दुनिया के उपयोग के लिए उपयुक्त बनता है।
चार्ट निहितार्थ: एक काल्पनिक बार चार्ट Y-अक्ष पर हमले की लागत (कम्प्यूटेशनल वर्षों में) दिखाएगा, जो "पारंपरिक DPG (एकल कारक)" और "MFDPG (बहु-कारक)" की तुलना करेगा। MFDPG के लिए बार कई गुना अधिक ऊंचा होगा, जो दृष्टिगत रूप से इसकी सुरक्षा सुधार को रेखांकित करेगा।
5. Core Analyst Insight
कोर अंतर्दृष्टि: MFDPG केवल एक और पासवर्ड मैनेजर नहीं है; यह वेब प्रमाणीकरण अपनाने की प्रणालीगत विफलता के चारों ओर एक रणनीतिक अंतिम दौड़ है। जबकि FIDO Alliance एक पासवर्ड-रहित भविष्य के लिए धक्का दे रही है, MFDPG व्यावहारिक रूप से स्वीकार करता है कि पुराने पासवर्ड दशकों तक बने रहेंगे। इसकी प्रतिभा इस बात में है कि यह उपयोगकर्ता को किसी भी साइट पर एकतरफा रूप से MFA लागू करने की अनुमति देता है, सेवा प्रदाता के अपने बुनियादी ढांचे को अपग्रेड करने की प्रतीक्षा किए बिना—क्लाइंट-साइड नवाचार द्वारा वास्तविक मानकों को लागू करने का एक उत्कृष्ट उदाहरण, जैसे कि HTTPS Everywhere ने एन्क्रिप्शन अपनाने को आगे बढ़ाया था।
Logical Flow: पेपर का तर्क प्रभावशाली है: 1) संग्रहीत क्रेडेंशियल्स एक दायित्व हैं (उल्लंघनों द्वारा सिद्ध)। 2) पिछले DPG सैद्धांतिक रूप से ठोस थे लेकिन व्यावहारिक रूप से त्रुटिपूर्ण। 3) इसलिए, समाधान आधुनिक क्रिप्टोग्राफिक निर्माणों (MFKDF) और डेटा संरचनाओं (Cuckoo Filters) के साथ DPG प्रतिमान को बढ़ाना है। तर्क स्पष्ट है, समस्या के निदान से लेकर एक संश्लेषित समाधान तक जो प्रत्येक निदान की गई खामी को सीधे संबोधित करता है।
Strengths & Flaws: प्राथमिक शक्ति इसका सुरुचिपूर्ण खतरा मॉडल बदलाव है। गुप्त जानकारी को कई कारकों से बांधकर, यह हमले की सतह को "एक पासवर्ड चुराओ" से "कई स्वतंत्र कारकों से समझौता करो" में स्थानांतरित कर देता है, जो NIST के Digital Identity Guidelines (SP 800-63B) में उल्लिखित एक कहीं अधिक कठिन कार्य है। रद्दीकरण के लिए Cuckoo Filter का उपयोग एक चतुर, गोपनीयता-संरक्षण सुधार है। हालाँकि, एक गंभीर खामी क्लाइंट-साइड नीति जागरूकता पर निर्भरता है। DFA के काम करने के लिए उपयोगकर्ता को प्रत्येक साइट की पासवर्ड नीति जाननी/इनपुट करनी होगी, जिससे एक संभावित उपयोगिता बाधा और प्रारंभिक सेटअप लागत पैदा होती है। यह पूरी तरह से स्वचालित आदर्श के विपरीत है। इसके अलावा, हालांकि यह क्लाइंट-साइड सुरक्षा को उन्नत करता है, यह सर्वर-साइड फ़िशिंग के खिलाफ कुछ नहीं करता है - एक चोरी हुआ MFDPG-जनरेटेड पासवर्ड रद्द होने तक हमलावर द्वारा अभी भी उपयोग योग्य है।
कार्रवाई योग्य अंतर्दृष्टि: सुरक्षा टीमों के लिए, MFDPG आंतरिक उद्यम पासवर्ड प्रबंधन, विशेष रूप से सेवा खातों के लिए, क्रेडेंशियल वॉल्ट्स को समाप्त करते हुए एक व्यवहार्य खाका प्रस्तुत करता है। उत्पाद प्रबंधकों के लिए, यह शोध एक अल्पसेवित बाजार को उजागर करता है: उपयोगकर्ता-पक्ष प्रमाणीकरण वर्धक। अगला तार्किक उत्पाद एक ब्राउज़र एक्सटेंशन है जो MFDPG को लागू करता है, साथ ही वेबसाइट पासवर्ड नीतियों (जैसे W3C से "Password Rules") के क्राउडसोर्स्ड डेटाबेस के साथ जुड़ा होता है ताकि DFA सेटअप को स्वचालित किया जा सके। निवेश उन उपकरणों में प्रवाहित होना चाहिए जो MFDPG जैसे अत्याधुनिक शैक्षणिक रचनाओं और परिनियोज्य, उपयोगकर्ता-अनुकूल अनुप्रयोगों के बीच की खाई को पाटते हैं।
6. Technical Deep Dive
कुंजी व्युत्पत्ति सूत्र: मूल MFKDF को इस प्रकार समझा जा सकता है:
$K = \text{HKDF-Expand}(\text{HKDF-Extract}(salt, F_1 \oplus F_2 \oplus ... \oplus F_n), \text{info}, L)$
जहाँ $F_1, F_2, ..., F_n$ प्रत्येक प्रमाणीकरण कारक (पासवर्ड हैश, TOTP कोड, सुरक्षा कुंजी प्रमाणन, आदि) से मानकीकृत आउटपुट ("फैक्टर शेयर्स") हैं। यह में रेखांकित मॉड्यूलर डिज़ाइन सिद्धांतों का अनुसरण करता है HKDF RFC 5869.
DFA Traversal Algorithm (Pseudocode):
function generatePassword(key, domain, policyDFA):
prng = ChaCha20(key, domain) // बीज CSPRNG
state = policyDFA.startState
password = ""
while not policyDFA.isAccepting(state):
transitions = policyDFA.getValidTransitions(state)
choice = prng.next() % len(transitions)
selectedTransition = transitions[choice]
password += selectedTransition.character
state = selectedTransition.nextState
return password
7. Analysis Framework & Case Study
ढांचा: सुरक्षा-उपयोगिता-गोपनीयता (SUP) ट्रेड-ऑफ विश्लेषण। यह ढांचा प्रमाणीकरण प्रणालियों का तीन अक्षों पर मूल्यांकन करता है। आइए इसे MFDPG बनाम LastPass पर लागू करते हैं:
- सुरक्षा: LastPass: उच्च, लेकिन एक विनाशकारी केंद्रीय विफलता मोड के साथ। MFDPG: बहुत उच्च, बहु-कारक व्युत्पत्ति के माध्यम से वितरित जोखिम, कोई केंद्रीय तिजोरी नहीं। (MFDPG Wins)
- उपयोगिता: LastPass: उच्च, स्वत: भरना, क्रॉस-डिवाइस सिंक। MFDPG: मध्यम-उच्च, निर्बाध जनरेशन लेकिन नीति सेटअप और फैक्टर प्रबंधन की आवश्यकता है। (LastPass Wins)
- गोपनीयता: LastPass: कम, सेवा आपकी सभी साइटों को जानती है। MFDPG: उच्च, डिज़ाइन द्वारा शून्य ज्ञान। (MFDPG Wins)
केस स्टडी - द लास्टपास ब्रीच: 2022 की सुरक्षा भंग में, एन्क्रिप्टेड पासवर्ड वॉल्ट चुरा लिए गए थे। हमलावर तब ऑफ़लाइन मास्टर पासवर्ड को निशाना बना सकते थे। यदि उपयोगकर्ताओं ने MFDPG का उपयोग किया होता, तो चोरी के लिए कोई वॉल्ट नहीं होतायहां तक कि अगर किसी साइट का पासवर्ड कहीं और लीक हो गया होता, तो भी MFKDF संरचना ने मास्टर सीक्रेट तक पहुंच को रोक दिया होता। यह मामला स्पष्ट रूप से दर्शाता है कि MFDPG किस प्रकार का बदलाव लाता है।
8. Future Applications & Directions
1. पोस्ट-क्वांटम क्रिप्टोग्राफी (PQC) एकीकरण: MFKDF संरचना अंतर्निहित क्रिप्टो के प्रति उदासीन है। जैसे-जैसे क्वांटम कंप्यूटर वर्तमान हैश फ़ंक्शंस (जैसे SHA-256) के लिए खतरा बनते हैं, भविष्य के लिए सुरक्षा प्रदान करने हेतु MFDPG PQC-मानकीकृत एल्गोरिदम (जैसे, SPHINCS+, LMS) को एकीकृत कर सकता है, यह दिशा NIST के PQC मानकीकरण परियोजना के अनुरूप है।
2. Decentralized Identity & Web3: MFDPG का "शून्य संग्रहीत गुप्त जानकारी" दर्शन विकेंद्रीकृत पहचान (जैसे, W3C सत्यापन योग्य क्रेडेंशियल्स) के अनुरूप है। यह विकेंद्रीकृत अनुप्रयोगों (dApps) तक पहुंचने या लेनदेन पर हस्ताक्षर करने के लिए अद्वितीय, नियतात्मक क्रेडेंशियल्स उत्पन्न कर सकता है, जो एक उपयोगकर्ता-अनुकूल सीड वाक्यांश प्रबंधक के रूप में कार्य करता है।
3. उद्यम गुप्त जानकारी प्रबंधन: उपयोगकर्ता पासवर्ड से परे, MFDPG के सिद्धांतों को मशीन-टू-मशीन प्रमाणीकरण पर लागू किया जा सकता है, एक मास्टर कॉर्पोरेट सीक्रेट और सेवा पहचानकर्ता से अद्वितीय API कुंजियाँ या सेवा खाता पासवर्ड उत्पन्न करके, रोटेशन और ऑडिट को सरल बनाता है।
4. बायोमेट्रिक फैक्टर इंटीग्रेशन: भविष्य के संस्करण स्थानीय बायोमेट्रिक टेम्प्लेट्स (जैसे, WebAuthn के बायोमेट्रिक असेर्शन के माध्यम से) को एक व्युत्पन्न कारक के रूप में शामिल कर सकते हैं, सुविधा बढ़ाते हुए जीरो-स्टोरेज गुण को बनाए रखते हुए, बशर्ते कि बायोमेट्रिक डेटा डिवाइस को कभी न छोड़े।
9. References
- Nair, V., & Song, D. (Year). MFDPG: Multi-Factor Authenticated Password Management With Zero Stored Secrets. [सम्मेलन/पत्रिका नाम].
- Grassi, P., et al. (2017). डिजिटल पहचान दिशानिर्देश: प्रमाणीकरण और जीवनचक्र प्रबंधन. NIST Special Publication 800-63B.
- Krawczyk, H., & Eronen, P. (2010). HMAC-आधारित निष्कर्षण-और-विस्तार कुंजी व्युत्पत्ति फलन (HKDF). RFC 5869, IETF.
- Ross, B., et al. (2005). ब्राउज़र एक्सटेंशन का उपयोग करके मजबूत पासवर्ड प्रमाणीकरण। USENIX Security Symposium. (PwdHash)
- Fan, B., et al. (2014). Cuckoo Filter: Practically Better Than Bloom. Proceedings of the 10th ACM International on Conference on emerging Networking Experiments and Technologies।
- FIDO Alliance. (2022)। FIDO2: WebAuthn & CTAP Specifications. https://fidoalliance.org/fido2/
- राष्ट्रीय मानक एवं प्रौद्योगिकी संस्थान। (2022)। पोस्ट-क्वांटम क्रिप्टोग्राफी मानकीकरण। https://csrc.nist.gov/projects/post-quantum-cryptography