PassTSL: मानव-निर्मित पासवर्ड मॉडलिंग और क्रैकिंग के लिए दो-चरणीय शिक्षण

विषय सूची

1. परिचय

पाठ्य पासवर्ड प्रमुख प्रमाणीकरण तंत्र बने हुए हैं, लेकिन उनकी मानव-निर्मित प्रकृति उन्हें डेटा-संचालित हमलों के प्रति संवेदनशील बनाती है। मार्कोव श्रृंखलाओं, पैटर्न-आधारित मॉडलों, RNNs और GANs सहित मौजूदा अत्याधुनिक (SOTA) मॉडलिंग दृष्टिकोणों में पासवर्ड की जटिल, भाषा-जैसी लेकिन विशिष्ट संरचना को समझने की सीमाएं हैं। प्राकृतिक भाषा प्रसंस्करण (NLP) में परिवर्तनकारी प्रीट्रेनिंग-फाइन-ट्यूनिंग प्रतिमान से प्रेरित होकर, यह शोध पत्र PassTSL (दो-चरणीय शिक्षण के माध्यम से मानव-निर्मित पासवर्ड मॉडलिंग) का परिचय देता है। PassTSL ट्रांसफॉर्मर-आधारित आर्किटेक्चर का लाभ उठाता है ताकि पहले एक बड़े, विविध डेटासेट (प्रीट्रेनिंग) से सामान्य पासवर्ड निर्माण पैटर्न सीखा जा सके और फिर एक छोटे, प्रासंगिक डेटासेट (फाइन-ट्यूनिंग) का उपयोग करके मॉडल को एक विशिष्ट लक्ष्य संदर्भ के लिए विशेषज्ञ बनाया जा सके। यह दृष्टिकोण उन्नत NLP तकनीकों और पासवर्ड मॉडलिंग की अनूठी चुनौतियों के बीच की खाई को पाटने का लक्ष्य रखता है।

2. पद्धति: PassTSL ढांचा

PassTSL की मुख्य नवीनता इसकी संरचित दो-चरणीय शिक्षण प्रक्रिया है, जो BERT और GPT जैसे मॉडलों में सफल रणनीतियों को दर्शाती है।

2.1. प्रीट्रेनिंग चरण

मॉडल को प्रारंभ में एक बड़े, सामान्य पासवर्ड कोष (जैसे, कई उल्लंघनों से संयुक्त डेटा) पर प्रशिक्षित किया जाता है। उद्देश्य मौलिक वर्ण-स्तरीय निर्भरताओं, सामान्य प्रतिस्थापन पैटर्न (जैसे, 'a' -> '@', 's' -> '$'), और संभाव्य संरचनाओं को सीखना है जो विभिन्न पासवर्ड सेटों में सर्वव्यापी हैं। यह चरण मानव पासवर्ड-निर्माण व्यवहार का एक मजबूत आधारभूत मॉडल बनाता है।

2.2. फाइन-ट्यूनिंग चरण

प्रीट्रेन किए गए मॉडल को फिर एक विशिष्ट लक्ष्य पासवर्ड डेटाबेस के अनुकूल बनाया जाता है। लक्ष्य सेट से अपेक्षाकृत छोटे नमूने का उपयोग करके, मॉडल के पैरामीटर समायोजित किए जाते हैं। शोध पत्र प्रीट्रेनिंग और लक्ष्य वितरणों के बीच जेन्सन-शैनन (JS) विचलन के आधार पर फाइन-ट्यूनिंग डेटा चुनने के लिए एक अनुमानी तकनीक का अन्वेषण करता है, जिसका लक्ष्य अनुकूलन के लिए सबसे अधिक सूचनात्मक नमूनों का चयन करना है।

2.3. मॉडल आर्किटेक्चर और तकनीकी विवरण

PassTSL एक ट्रांसफॉर्मर डिकोडर आर्किटेक्चर पर बनाया गया है, जो अगले वर्ण की भविष्यवाणी करते समय एक अनुक्रम में विभिन्न वर्णों के महत्व को तौलने के लिए स्व-ध्यान (self-attention) तंत्र का उपयोग करता है। मॉडल एक पासवर्ड को वर्णों (टोकन) के अनुक्रम के रूप में मानता है। प्रशिक्षण में प्रीट्रेनिंग के दौरान एक मास्क्ड भाषा मॉडलिंग (MLM) शैली का उद्देश्य शामिल है, जहां मॉडल एक पासवर्ड अनुक्रम के भीतर यादृच्छिक रूप से मास्क किए गए वर्णों की भविष्यवाणी करना सीखता है, जिससे द्विदिश संदर्भ को समझा जाता है।

3. प्रायोगिक सेटअप और परिणाम

3.1. डेटासेट और बेसलाइन

प्रयोग छह बड़े, वास्तविक दुनिया के लीक हुए पासवर्ड डेटाबेस पर किए गए। PassTSL की तुलना पांच SOTA पासवर्ड अनुमान उपकरणों के विरुद्ध की गई, जिनमें मार्कोव-आधारित (जैसे, PCFG), RNN-आधारित और GAN-आधारित मॉडल शामिल थे।

3.2. पासवर्ड अनुमान प्रदर्शन

PassTSL ने सभी बेसलाइन मॉडलों को काफी पीछे छोड़ दिया। अधिकतम बिंदु पर अनुमान सफलता दर में सुधार 4.11% से 64.69% तक था, जो दो-चरणीय दृष्टिकोण की प्रभावशीलता को प्रदर्शित करता है। परिणाम बताते हैं कि एक बड़े कोष पर प्रीट्रेनिंग, एकल लक्ष्य सेट पर खरोंच से प्रशिक्षित मॉडलों पर एक पर्याप्त लाभ प्रदान करती है।

SOTA पर प्रदर्शन लाभ

सीमा: 4.11% - 64.69%

संदर्भ: अधिकतम मूल्यांकन बिंदु पर पासवर्ड अनुमान सफलता दर में सुधार।

3.3. पासवर्ड सामर्थ्य मीटर (PSM) मूल्यांकन

PassTSL की संभाव्यता अनुमानों के आधार पर एक PSM लागू किया गया। इसका मूल्यांकन एक तंत्रिका नेटवर्क-आधारित PSM और नियम-आधारित zxcvbn के विरुद्ध किया गया। मुख्य मीट्रिक "सुरक्षित त्रुटियों" (सामर्थ्य को कम आंकना) और "असुरक्षित त्रुटियों" (सामर्थ्य को अधिक आंकना) के बीच का व्यापार था। सुरक्षित त्रुटियों की समान दर पर, PassTSL-आधारित PSM ने कम असुरक्षित त्रुटियां उत्पन्न कीं, जिसका अर्थ है कि यह वास्तव में कमजोर पासवर्डों की पहचान करने में अधिक सटीक था।

3.4. फाइन-ट्यूनिंग डेटा चयन का प्रभाव

अध्ययन में पाया गया कि लक्षित फाइन-ट्यूनिंग डेटा की थोड़ी मात्रा भी (जैसे, प्रीट्रेनिंग डेटा मात्रा का 0.1%) लक्ष्य सेट पर अनुमान प्रदर्शन में 3% से अधिक के औसत सुधार का कारण बन सकती है। JS विचलन-आधारित चयन अनुमानी तकनीक लाभकारी फाइन-ट्यूनिंग नमूनों को चुनने में प्रभावी साबित हुई।

4. प्रमुख अंतर्दृष्टि और विश्लेषण

मूल अंतर्दृष्टि: शोध पत्र की मौलिक सफलता यह पहचानना है कि पासवर्ड निर्माण प्राकृतिक भाषा उत्पादन का एक विशिष्ट, सीमित रूप है। इसे इस रूप में मानकर और आधुनिक NLP टूलकिट—विशेष रूप से ट्रांसफॉर्मर आर्किटेक्चर और दो-चरणीय शिक्षण प्रतिमान—को लागू करके, लेखक मॉडलिंग सटीकता में एक प्रतिमान बदलाव प्राप्त करते हैं। यह केवल एक वृद्धिशील सुधार नहीं है; यह एक पद्धतिगत छलांग है जो संभाव्य पासवर्ड क्रैकिंग में संभव की ऊपरी सीमा को पुनः परिभाषित करती है।

तार्किक प्रवाह: तर्क आकर्षक रूप से सरल है: 1) पासवर्ड भाषा के साथ सांख्यिकीय और अर्थगत गुण साझा करते हैं। 2) सबसे सफल आधुनिक भाषा मॉडल विशाल कोषों पर प्रीट्रेनिंग के बाद कार्य-विशिष्ट फाइन-ट्यूनिंग का उपयोग करते हैं। 3) इसलिए, इस ढांचे को पासवर्ड पर लागू करने से श्रेष्ठ मॉडल प्राप्त होने चाहिए। छह विविध डेटासेटों में प्रायोगिक परिणाम इस तर्क को स्पष्ट रूप से मान्य करते हैं, जो मार्कोव श्रृंखलाओं और यहां तक कि RNNs और GANs जैसे पिछली पीढ़ी के तंत्रिका दृष्टिकोणों पर लगातार और अक्सर नाटकीय लाभ दर्शाते हैं।

शक्तियां और कमियां: प्राथमिक शक्ति प्रदर्शित प्रदर्शन है, जो प्रभावशाली है। फाइन-ट्यूनिंग नमूना चयन के लिए JS विचलन का उपयोग एक चतुर, व्यावहारिक अनुमानी तकनीक है। हालांकि, विश्लेषण में कमियां हैं। यह ट्रांसफॉर्मर मॉडलों की कम्प्यूटेशनल और डेटा भूख को नजरअंदाज करता है। प्रीट्रेनिंग के लिए एक विशाल, समग्र पासवर्ड कोष की आवश्यकता होती है, जो डेटा सोर्सिंग के बारे में नैतिक और व्यावहारिक चिंताएं उठाता है। इसके अलावा, हालांकि यह अन्य मॉडलों को हराता है, शोध पत्र गहराई से यह नहीं खोजता कि इस कार्य के लिए ट्रांसफॉर्मर ध्यान तंत्र, मान लीजिए एक LSTM के गेटेड मेमोरी की तुलना में इतना बेहतर क्यों है। क्या यह लंबी दूरी की निर्भरता कैप्चर है, या कुछ और? यह "ब्लैक बॉक्स" पहलू बना रहता है।

कार्रवाई योग्य अंतर्दृष्टि: सुरक्षा व्यवसायियों के लिए, यह शोध एक चेतावनी है। रक्षात्मक पासवर्ड सामर्थ्य मीटरों को शब्दकोश-और-नियम प्रणालियों (जैसे zxcvbn) से आगे बढ़कर ऐसे गहन शिक्षण मॉडलों को शामिल करना चाहिए ताकि जोखिम का सटीक आकलन किया जा सके। शोधकर्ताओं के लिए, आगे का रास्ता स्पष्ट है: अधिक कुशल आर्किटेक्चर (जैसे, आसवित मॉडल) का अन्वेषण करें, संवेदनशील डेटा को केंद्रीकृत किए बिना प्रीट्रेनिंग के लिए संघीय शिक्षण (federated learning) की जांच करें, और इन मॉडलों का उपयोग केवल क्रैकिंग के लिए नहीं बल्कि मजबूत पासवर्ड नीति सुझाव उत्पन्न करने के लिए करें। सरल अनुमानी रक्षा का युग समाप्त हो गया है; हथियारों की होड़ अब दृढ़ता से AI के क्षेत्र में है।

5. तकनीकी विवरण और गणितीय सूत्रीकरण

PassTSL में ट्रांसफॉर्मर मॉडल $N$ समान परतों के एक स्टैक का उपयोग करता है। प्रत्येक परत में दो उप-परतें होती हैं: एक बहु-सिर स्व-ध्यान तंत्र और एक स्थिति-वार पूर्णतः जुड़ा हुआ फीड-फॉरवर्ड नेटवर्क। प्रत्येक उप-परत के चारों ओर अवशिष्ट कनेक्शन और परत सामान्यीकरण का उपयोग किया जाता है।

स्व-ध्यान फ़ंक्शन एक क्वेरी ($Q$), कुंजी-मान जोड़े ($K$, $V$) के एक सेट को एक आउटपुट में मैप करता है। आउटपुट की गणना मानों के भारित योग के रूप में की जाती है, जहां प्रत्येक मान को दिया गया भार संबंधित कुंजी के साथ क्वेरी की संगतता फ़ंक्शन द्वारा निर्धारित किया जाता है। एकल ध्यान हेड के लिए: $$\text{Attention}(Q, K, V) = \text{softmax}\left(\frac{QK^T}{\sqrt{d_k}}\right)V$$ जहां $d_k$ कुंजियों का आयाम है।

प्रीट्रेनिंग उद्देश्य में मास्क किए गए टोकन की भविष्यवाणी शामिल है। एक इनपुट पासवर्ड अनुक्रम $X = (x_1, x_2, ..., x_T)$ दिया गया है, टोकनों का एक यादृच्छिक उपसमूह एक विशेष `[MASK]` टोकन से प्रतिस्थापित किया जाता है। मॉडल को इन मास्क की गई स्थितियों के लिए मूल टोकनों की भविष्यवाणी करने के लिए प्रशिक्षित किया जाता है, लॉग-संभावना को अधिकतम करते हुए: $$\mathcal{L}_{PT} = \sum_{i \in M} \log P(x_i | X_{\backslash M})$$ जहां $M$ मास्क की गई स्थितियों का समूह है।

फाइन-ट्यूनिंग एक लक्ष्य डेटासेट $D_{ft}$ पर मॉडल पैरामीटर $\theta$ को समायोजित करती है ताकि अनुक्रमों की नकारात्मक लॉग-संभावना को कम किया जा सके: $$\mathcal{L}_{FT} = -\sum_{(X) \in D_{ft}} \log P(X | \theta)$$

6. विश्लेषण ढांचा: एक गैर-कोड केस स्टडी

परिदृश्य: एक बड़ी टेक कंपनी में एक सुरक्षा टीम कर्मचारी पासवर्डों के एक अत्याधुनिक हमले के प्रति लचीलापन का आकलन करना चाहती है।

डेटा तैयारी: टीम कानूनी रूप से कई सार्वजनिक, अनामित उल्लंघन स्रोतों से एक बड़ा, सामान्य पासवर्ड कोष (प्रीट्रेनिंग के लिए) एकत्र करती है। वे अपनी कंपनी के पासवर्ड हैशों का एक छोटा, शुद्ध किया गया नमूना (फाइन-ट्यूनिंग के लिए) भी प्राप्त करते हैं, यह सुनिश्चित करते हुए कि विश्लेषकों को कोई सादा पाठ पासवर्ड उजागर न हो।
मॉडल अनुप्रयोग: वे एक PassTSL-जैसा ढांचा तैनात करते हैं।
- चरण A (प्रीट्रेनिंग): सामान्य कोष पर आधार ट्रांसफॉर्मर मॉडल को प्रशिक्षित करें। मॉडल वैश्विक पैटर्न सीखता है जैसे "password123", "qwerty", और सामान्य लीटस्पीक प्रतिस्थापन।
- चरण B (फाइन-ट्यूनिंग): JS विचलन अनुमानी तकनीक का उपयोग करके, प्रीट्रेनिंग डेटा के उस 0.1% का चयन करें जो सांख्यिकीय रूप से अपनी कंपनी के पासवर्ड नमूने के सबसे समान है। इस चयनित उपसमूह को अपने कंपनी के नमूने के साथ मिलाकर प्रीट्रेन किए गए मॉडल को फाइन-ट्यून करें। यह मॉडल को कंपनी-विशिष्ट पैटर्न (जैसे, आंतरिक उत्पाद नामों का उपयोग, विशिष्ट तिथि प्रारूप) के अनुकूल बनाता है।
मूल्यांकन: फाइन-ट्यून किया गया मॉडल एक अनुमान सूची उत्पन्न करता है। टीम अपनी मौजूदा रक्षाओं (जैसे, मानक नियम सेट के साथ hashcat) के विरुद्ध क्रैक दर की तुलना करती है। उन्हें पता चलता है कि PassTSL पहले 10^9 अनुमानों के भीतर 30% अधिक पासवर्ड क्रैक करता है, जो एक महत्वपूर्ण कमजोरी को उजागर करता है जिसे पारंपरिक तरीकों ने छोड़ दिया था।
कार्रवाई: मॉडल के आउटपुट के आधार पर, वे सबसे अधिक बार अनुमानित पैटर्नों की पहचान करते हैं और एक लक्षित पासवर्ड नीति परिवर्तन लागू करते हैं (जैसे, कंपनी के नाम वाले पासवर्डों पर प्रतिबंध लगाना) और एक केंद्रित उपयोगकर्ता शिक्षा अभियान शुरू करते हैं।

7. भविष्य के अनुप्रयोग और शोध दिशाएं

सक्रिय रक्षा और पासवर्ड स्वच्छता: PassTSL मॉडलों को अति-सटीक सामर्थ्य मीटर के रूप में वास्तविक समय पासवर्ड निर्माण इंटरफेस में एकीकृत किया जा सकता है, जिससे उपयोगकर्ताओं को उन पासवर्डों को चुनने से रोका जा सके जिन्हें मॉडल आसानी से अनुमान लगा सकता है। यह स्थिर नियमों से आगे बढ़कर गतिशील, संभाव्य अस्वीकृति की ओर जाता है।
प्रतिकूल पासवर्ड उत्पादन: सीखे गए वितरण के अनुसार अधिकतम असंभाव्य पासवर्ड उत्पन्न करने के लिए मॉडल को उल्टा करें, जिससे उपयोगकर्ताओं को वास्तव में मजबूत पासवर्ड सुझाए जा सकें, जैसे कि CycleGAN जैसे जनरेटिव मॉडल डोमेन के बीच अनुवाद करना सीखते हैं।
संघीय और गोपनीयता-संरक्षण शिक्षण: भविष्य के कार्य को डेटा गोपनीयता चुनौती का समाधान करना चाहिए। संघीय शिक्षण जैसी तकनीकें, जहां मॉडल को कच्चे पासवर्डों का आदान-प्रदान किए बिना विकेंद्रीकृत डेटा स्रोतों में प्रशिक्षित किया जाता है, या प्रशिक्षण के दौरान विभेदक गोपनीयता का उपयोग करना, नैतिक अपनाने के लिए महत्वपूर्ण हैं।
क्रॉस-मोडल पासवर्ड विश्लेषण: ढांचे का विस्तार करके अन्य उपयोगकर्ता डेटा (जैसे, उपयोगकर्ता नाम, सुरक्षा प्रश्न) से जुड़े पासवर्डों को मॉडल करें ताकि लक्षित हमलों के लिए या, इसके विपरीत, बहु-कारक जोखिम आकलन के लिए अधिक व्यापक उपयोगकर्ता प्रोफाइलिंग मॉडल बनाए जा सकें।
दक्षता अनुकूलन: मॉडल आसवन, परिमाणीकरण और अधिक कुशल ध्यान तंत्र (जैसे, Linformer, Performer) में शोध करें ताकि इन शक्तिशाली मॉडलों को एज डिवाइसों पर या कम विलंबता वाले वेब अनुप्रयोगों में तैनात किया जा सके।

8. संदर्भ

Vaswani, A., et al. (2017). Attention Is All You Need. Advances in Neural Information Processing Systems 30 (NIPS 2017).
Weir, M., et al. (2009). Password Cracking Using Probabilistic Context-Free Grammars. IEEE Symposium on Security and Privacy.
Melicher, W., et al. (2016). Fast, Lean, and Accurate: Modeling Password Guessability Using Neural Networks. USENIX Security Symposium.
Hitaj, B., et al. (2019). PassGAN: A Deep Learning Approach for Password Guessing. Applied Intelligence.
Wheeler, D. L. (2016). zxcvbn: Low-Budget Password Strength Estimation. USENIX Security Symposium.
Devlin, J., et al. (2018). BERT: Pre-training of Deep Bidirectional Transformers for Language Understanding. arXiv preprint arXiv:1810.04805.
Zhu, J.Y., et al. (2017). Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks. IEEE International Conference on Computer Vision (ICCV). (CycleGAN reference for generative concept).
National Institute of Standards and Technology (NIST). (2017). Digital Identity Guidelines (SP 800-63B). (For authoritative context on authentication).