PassGPT: बड़े भाषा मॉडल के साथ पासवर्ड मॉडलिंग और निर्देशित जनरेशन - विश्लेषण

1. परिचय

वैकल्पिक प्रमाणीकरण तंत्रों के प्रसार के बावजूद, उनकी सादगी और तैनाती के कारण पासवर्ड प्रमुख विधि बने हुए हैं। यह व्यापकता पासवर्ड लीक को एक गंभीर खतरा वेक्टर बनाती है। मशीन लर्निंग, विशेष रूप से डीप जेनरेटिव मॉडल, गेसिंग हमलों और स्ट्रेंथ एस्टीमेशन दोनों के लिए पासवर्ड लीक का विश्लेषण करने में महत्वपूर्ण रही है। यह पेपर PassGPT का परिचय देता है, एक नवीन दृष्टिकोण जो पासवर्ड मॉडलिंग के लिए बड़े भाषा मॉडल (एलएलएम) का लाभ उठाता है। यह मूल प्रश्न की जांच करता है: मानव-जनित पासवर्ड में जटिल, अक्सर अवचेतन पैटर्न को एलएलएम कितनी प्रभावी ढंग से पकड़ सकते हैं? PassGPT को एक ऑफ़लाइन पासवर्ड-गेसिंग टूल के रूप में स्थापित किया गया है, जो पिछले प्रतिकूल शोध परिदृश्यों के अनुरूप है जहां एक हमलावर के पास हैश किए गए पासवर्ड होते हैं।

2. मूल पद्धति और आर्किटेक्चर

PassGPT डीप जेनरेटिव पासवर्ड मॉडलिंग के प्रतिमान को मौलिक रूप से समग्र जनरेशन से अनुक्रमिक, कैरेक्टर-लेवल भविष्यवाणी की ओर स्थानांतरित करता है।

3. प्रायोगिक परिणाम और प्रदर्शन

4. तकनीकी विवरण और गणितीय ढांचा

PassGPT का मूल ऑटोरेग्रेसिव भाषा मॉडलिंग उद्देश्य है। टोकन (कैरेक्टर या सबवर्ड) के अनुक्रम $x = (x_1, x_2, ..., x_T)$ के रूप में दर्शाए गए पासवर्ड को देखते हुए, मॉडल को संभावना को अधिकतम करने के लिए प्रशिक्षित किया जाता है: $$L = \sum_{t=1}^{T} \log P(x_t | x_{

5. विश्लेषण ढांचा और केस स्टडी

केस स्टडी: नीति-अनुपालन वाले कमजोर पासवर्ड की पहचान
परिदृश्य: एक कंपनी एक पासवर्ड नीति लागू करती है: "कम से कम 12 कैरेक्टर, एक अपरकेस, एक अंक, एक विशेष कैरेक्टर।" इस स्पेस पर एक पारंपरिक ब्रूट-फोर्स हमला विशाल है ($\sim94^{12}$ संभावनाएं)।
PassGPT अनुप्रयोग: निर्देशित जनरेशन का उपयोग करके, एक विश्लेषक इन्हीं बाधाओं के साथ PassGPT से सैंपल ले सकता है। मॉडल, मानवीय प्रवृत्तियों को सीखकर, "Summer2023!Sun", "January01?Rain" जैसे उम्मीदवार जनरेट करेगा, जो नीति का पालन करते हैं लेकिन सामान्य शब्दार्थ पैटर्न के कारण अत्यधिक अनुमानित हैं। यह प्रदर्शित करता है कि कैसे PassGPT सैद्धांतिक रूप से मजबूत नीति-परिभाषित स्पेस के भीतर "कमजोर स्थानों" को कुशलतापूर्वक ढूंढ सकता है, यह कार्य ब्रूट-फोर्स या हैशकैट के मास्क जैसे नियम-आधारित जनरेटर के लिए लगभग असंभव है।

6. भविष्य के अनुप्रयोग और शोध दिशाएं

• सक्रिय पासवर्ड स्ट्रेंथ एस्टीमेशन: PassGPT के संभाव्यता स्कोर को रीयल-टाइम पासवर्ड क्रिएशन चेकर में एकीकृत करना ताकि ML-भेद्य पासवर्ड को चिह्नित किया जा सके जो पारंपरिक नियमों को पार कर जाते हैं।
• प्रतिकूल सिमुलेशन और रेड टीमिंग: बेहतर रक्षात्मक पासवर्ड नीति डिजाइन के लिए परिष्कृत, संदर्भ-जागरूक हमलावरों के सिमुलेशन के लिए निर्देशित PassGPT का उपयोग करना।
• क्रॉस-डोमेन पैटर्न लर्निंग: यह पता लगाना कि क्या पासवर्ड पर प्रशिक्षित एलएलएम विभिन्न सेवाओं में उपयोगकर्ता-विशिष्ट पैटर्न की पहचान कर सकते हैं, जिससे लक्षित हमलों के बारे में चिंताएं बढ़ सकती हैं।
• रक्षात्मक प्रशिक्षण डेटा जनरेशन: वास्तविक उपयोगकर्ता डेटा को उजागर किए बिना रक्षात्मक ML मॉडल को प्रशिक्षित करने के लिए बड़े पैमाने पर, यथार्थवादी सिंथेटिक पासवर्ड डेटासेट जनरेट करने के लिए PassGPT का उपयोग करना।
• बड़े संदर्भ के साथ एकीकरण: भविष्य के मॉडल संदर्भ डेटा (जैसे, उपयोगकर्ता जनसांख्यिकी, सेवा प्रकार) को शामिल कर सकते हैं ताकि पासवर्ड चुनाव को और भी अधिक सटीक रूप से मॉडल किया जा सके, जैसा कि एलएलएम में व्यक्तिगतकरण के रुझानों से संकेत मिलता है।

7. संदर्भ

1. Rando, J., Perez-Cruz, F., & Hitaj, B. (2023). PassGPT: Password Modeling and (Guided) Generation with Large Language Models. arXiv preprint arXiv:2306.01545.
2. Goodfellow, I., et al. (2014). Generative Adversarial Nets. Advances in Neural Information Processing Systems.
3. Hitaj, B., Gasti, P., Ateniese, G., & Perez-Cruz, F. (2019). PassGAN: A Deep Learning Approach for Password Guessing. Applied Cryptography and Network Security.
4. Radford, A., et al. (2019). Language Models are Unsupervised Multitask Learners. OpenAI Blog.
5. Wheeler, D. L. (2016). zxcvbn: Low-Budget Password Strength Estimation. USENIX Security Symposium.
6. Melicher, W., et al. (2016). Fast, Lean, and Accurate: Modeling Password Guessability Using Neural Networks. USENIX Security Symposium.

8. मूल विश्लेषण और विशेषज्ञ टिप्पणी