Kata laluan kekal sebagai mekanisme pengesahan dominan walaupun terdapat kelemahan keselamatan yang diketahui. Pengguna cenderung mencipta kata laluan mengikut corak yang boleh diramal, menjadikannya terdedah kepada serangan tekaan. Keselamatan sistem sedemikian tidak boleh diukur dengan parameter kriptografi tradisional tetapi memerlukan pemodelan tingkah laku penyerang yang tepat. Kertas kerja ini menangani jurang kritikal: bias pengukuran yang ketara diperkenalkan apabila penyelidik menggunakan serangan kamus konfigurasi statik siap pakai yang gagal menangkap strategi dinamik dan berpandukan kepakaran penyerang dunia sebenar.
Penggodam kata laluan dunia sebenar menggunakan serangan kamus pragmatik berprestasi tinggi dengan peraturan ubah suai (contohnya, menggunakan alat seperti Hashcat atau John the Ripper). Keberkesanan serangan ini bergantung pada konfigurasi yang ditala secara pakar—pasangan khusus senarai perkataan dan set peraturan—dicipta melalui pengalaman bertahun-tahun. Analisis keselamatan yang bergantung pada konfigurasi lalai secara serius melebih-lebihkan kekuatan kata laluan, memperkenalkan bias pengukuran yang menjejaskan kesahihan kesimpulan keselamatan.
Masalah teras adalah ketidakselarasan antara model kata laluan akademik dan amalan penggodaman dunia sebenar. Kajian seperti Ur et al. (2017) telah menunjukkan bahawa metrik kekuatan kata laluan sangat sensitif kepada model penyerang yang digunakan. Menggunakan model yang lemah atau generik membawa kepada penganggaran berlebihan keselamatan, mencipta rasa selamat yang palsu.
Serangan kamus tradisional adalah statik. Ia menggunakan set peraturan ubah suai tetap (contohnya, pertuturan leet, penambahan nombor akhiran) kepada senarai perkataan tetap dalam susunan yang telah ditetapkan. Ia kekurangan kebolehsesuaian pakar manusia yang boleh:
Para penulis mencadangkan pendekatan dua hala untuk mengautomasikan strategi tekaan seperti pakar, mengurangkan pergantungan pada konfigurasi manual dan pengetahuan domain.
Rangkaian neural dalam (DNN) dilatih untuk memodelkan taburan kebarangkalian kata laluan. Inovasi utama adalah melatih model ini bukan sahaja pada set data kata laluan mentah, tetapi pada jujukan peraturan ubah suai yang digunakan oleh penggodam pakar kepada perkataan asas. Ini membolehkan DNN mempelajari "kemahiran" penyerang—transformasi berkemungkinan dan susunan berkesannya.
Daripada set peraturan statik, serangan menggunakan strategi tekaan dinamik. DNN membimbing penjanaan calon kata laluan dengan menggunakan transformasi secara berurutan dengan kebarangkalian yang dikondisikan pada keadaan semasa perkataan dan konteks serangan. Ini meniru keupayaan pakar untuk menyesuaikan laluan serangan secara masa nyata.
Sistem ini boleh dikonsepsikan sebagai penjana kebarangkalian. Diberi perkataan asas $w_0$ daripada kamus, model menjana kata laluan $p$ melalui jujukan $T$ transformasi (peraturan ubah suai $r_t$). Kebarangkalian kata laluan dimodelkan sebagai: $$P(p) = \sum_{w_0, r_{1:T}} P(w_0) \prod_{t=1}^{T} P(r_t | w_0, r_{1:t-1})$$ di mana $P(r_t | w_0, r_{1:t-1})$ adalah kebarangkalian menggunakan peraturan $r_t$ berdasarkan perkataan awal dan sejarah peraturan sebelumnya, seperti yang dikeluarkan oleh DNN. Formulasi ini membolehkan penggunaan peraturan yang sedar konteks dan bukan linear.
Eksperimen dijalankan ke atas beberapa set data kata laluan dunia sebenar yang besar (contohnya, RockYou, LinkedIn). Model yang dicadangkan dibandingkan dengan model kata laluan kebarangkalian terkini (contohnya, model Markov, PCFG) dan serangan kamus standard dengan set peraturan popular (contohnya, best64.rule, d3ad0ne.rule).
Metrik utama adalah nombor tekaan—berapa banyak tekaan diperlukan untuk menggodam peratusan kata laluan tertentu. Keputusan menunjukkan bahawa serangan kamus dinamik yang dikuasakan oleh DNN:
Penerangan Carta: Carta garis akan menunjukkan peratusan kumulatif kata laluan yang digodam (paksi-Y) berbanding log nombor tekaan (paksi-X). Lengkung kaedah yang dicadangkan akan meningkat dengan lebih pantas dan tinggi berbanding lengkung untuk PCFG, Markov, dan serangan kamus statik, terutamanya dalam kedudukan tekaan awal (contohnya, 10^9 tekaan pertama).
Kertas kerja ini mengukur pengurangan dalam bias pengukuran. Apabila menilai kekuatan dasar kata laluan, menggunakan serangan statik mungkin menyimpulkan bahawa 50% kata laluan menahan 10^12 tekaan. Serangan dinamik yang dicadangkan, memodelkan penyerang yang lebih berkemampuan, mungkin menunjukkan bahawa 50% digodam oleh 10^10 tekaan—penganggaran berlebihan 100x oleh model statik. Ini menekankan kepentingan kritikal pemodelan penyerang yang tepat untuk keputusan dasar.
Senario: Pasukan keselamatan ingin menilai ketahanan kata laluan pengguna mereka terhadap serangan canggih dan bersasaran.
Pendekatan Tradisional (Berbias): Mereka menjalankan Hashcat dengan senarai perkataan rockyou.txt dan set peraturan best64.rule. Laporan menyatakan: "80% kata laluan akan bertahan 1 bilion tekaan."
Kerangka yang Dicadangkan (Berkurang Bias):
Pandangan Teras: Kertas kerja ini memberikan serangan tepat pada kelemahan yang meluas tetapi sering diabaikan dalam penyelidikan keselamatan siber: bias "jurang kepakaran". Selama bertahun-tahun, penilaian kekuatan kata laluan akademik dibina atas pasir—menggunakan model penyerang statik yang terlalu ringkas dan tidak menyerupai pakar manusia yang boleh menyesuaikan diri dan dibantu alat di alam sebenar. Pasquini et al. bukan sahaja menawarkan algoritma yang lebih baik; mereka memaksa bidang ini menghadapi titik buta metodologinya sendiri. Kejayaan sebenar adalah membingkaikan masalah bukan sebagai "penggodaman kata laluan yang lebih baik" tetapi sebagai "simulasi penyerang yang lebih baik," peralihan perspektif yang halus tetapi kritikal, serupa dengan peralihan daripada pengelas ringkas kepada Rangkaian Adversarial Generatif (GAN) dalam AI, di mana kualiti penjana ditakrifkan oleh keupayaannya untuk memperdayakan diskriminator.
Aliran Logik: Hujahnya linear dan meyakinkan. 1) Ancaman sebenar = serangan dinamik konfigurasi pakar. 2) Amalan penyelidikan biasa = serangan statik siap pakai. 3) Oleh itu, wujud bias pengukuran yang besar. 4) Penyelesaian: Mengautomasikan konfigurasi dan kebolehsesuaian pakar menggunakan AI. Penggunaan DNN untuk memodelkan jujukan peraturan adalah elegan. Ia mengakui bahawa pengetahuan pakar bukan sekadar beg peraturan, tetapi proses kebarangkalian—tatabahasa penggodaman. Ini selaras dengan kejayaan model jujukan seperti Transformer dalam NLP, mencadangkan penulis menggunakan pelajaran daripada bidang AI bersebelahan dengan berkesan.
Kekuatan & Kelemahan: Kekuatan utama adalah kesan praktikal. Kerja ini mempunyai utiliti segera untuk penguji penembusan dan juruaudit keselamatan. Pendekatan berasaskan DNNnya juga lebih cekap data dalam mempelajari corak kompleks berbanding kaedah PCFG lama. Walau bagaimanapun, kelemahan ketara tersembunyi dalam kebergantungan data latihan. "Kemahiran" model dipelajari daripada tingkah laku pakar yang diperhatikan (jujukan peraturan). Jika data latihan datang daripada komuniti penggodam tertentu (contohnya, mereka yang menggunakan Hashcat dengan cara tertentu), model mungkin mewarisi bias mereka dan terlepas strategi baharu. Ia adalah bentuk peniruan, bukan kecerdasan strategik sebenar. Tambahan pula, seperti yang dinyatakan dalam literatur pembelajaran gabungan (contohnya, kerja Google AI), implikasi privasi mengumpul data "jejak serangan" sensitif sedemikian untuk latihan adalah tidak remeh dan kurang diterokai.
Pandangan Boleh Tindak: Untuk pengamal industri: Berhenti menggunakan set peraturan lalai untuk penilaian risiko. Integrasikan model dinamik sedar konteks seperti ini ke dalam saluran paip ujian keselamatan anda. Untuk penyelidik: Kertas kerja ini menetapkan penanda aras baharu. Model kata laluan masa depan mesti disahkan terhadap penyerang yang boleh menyesuaikan diri, bukan yang statik. Sempadan seterusnya adalah menutup gelung—mencipta pembela AI yang boleh mereka bentuk kata laluan atau dasar yang teguh terhadap serangan dinamik berkuasa AI ini, bergerak ke arah kerangka evolusi bersama adversarial serupa dengan GAN, di mana model penyerang dan pembela bertambah baik secara serentak. Era menilai kata laluan dalam vakum statik sudah, atau sepatutnya, berakhir.