Chagua Lugha

AutoPass: Maelezo ya kina na Uchambuzi wa Kizazi cha Nenosiri la Kiotomatiki

Uchambuzi kamili wa AutoPass, mpango wa kizazi cha nenosiri upande wa mteja ulioundwa kushughulikia matatizo ya usimamizi wa nenosiri yanayohusiana na mtumiaji na huduma kwa kuunda nenosiri thabiti maalum kwa tovuti kulingana na mahitaji.
computationalcoin.com | PDF Size: 0.2 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - AutoPass: Maelezo ya kina na Uchambuzi wa Kizazi cha Nenosiri la Kiotomatiki
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » AutoPass: Maelezo ya kina na Uchambuzi wa Kizazi cha Nenosiri la Kiotomatiki

1. Utangulizi

Uthibitishaji wa nenosiri la maandishi bado ndio njia kuu ya uthibitishaji wa mtumiaji licha ya mapungufu yake yanayojulikana. Kuenea kwa huduma za mtandaoni kumesababisha mzigo usioweza kudumu kwa watumiaji, ambao wanatarajiwa kuunda na kukumbuka idadi kubwa ya nenosiri thabiti, za kipekee. Karatasi hii inatangaza na kufafanua AutoPass, mpango wa kizazi cha nenosiri ulioundwa kushughulikia masuala muhimu ya usimamizi wa nenosiri kwa kuzalisha nenosiri thabiti maalum kwa tovuti kulingana na mahitaji, kutokana na mchango mdogo wa mtumiaji.

2. Mfano wa Jumla

Sehemu hii inaweka mfano rasmi wa mipango ya vizazi vya nenosiri, ikivitofautisha na vizazi vya nenosiri vya nasibu tu. Mfano huu unafafanua mfumo unaoweza kuzalisha upya nenosiri kwa tovuti maalum wakati wowote unapohitajika, kulingana na seti ndogo ya siri za mtumiaji.

2.1 Ufafanuzi

Kizazi cha nenosiri kinafafanuliwa kama mpango upande wa mteja unaorahisisha usimamizi wa nenosiri kwa kutoa nenosiri maalum kwa tovuti kulingana na mahitaji. Hitaji la msingi ni uwezo wa kurudiwa: mchango ule ule (siri ya mtumiaji + kitambulisho cha tovuti) lazima kila wakati uzalishe nenosiri lile lile la pato. Hii ni tofauti na wasimamizi wa nenosiri ambao huhifadhi nenosiri, kwani vizazi hivi huzizalisha kwa kutumia algorithm.

3. Maelezo ya Kiwango cha Juu ya AutoPass

AutoPass ni kizazi cha nenosiri kinachozalishwa kulingana na mahitaji ambacho kinachanganya nguvu kutoka kwa mipango ya awali huku kikiingiza mbinu mpya za kushinda mapungufu yake. Michango yake ya msingi ni siri kuu ya mtumiaji na kitambulisho cha tovuti/huduma (k.m., jina la kikoa). Inatoa nenosiri thabiti, la bandia-linalofanana na tovuti hiyo maalum.

Uvumbuzi Muhimu: AutoPass inashughulikia wazi vikwazo vya ulimwengu halisi vilivyopuuzwa na wengi waliotangulia, kama vile mabadiliko ya nenosiri yanayolazimishwa, hitaji la kujumuisha nenosiri zilizobainishwa awali (k.m., maagizo ya kampuni), na kufuata sera tofauti za nenosiri maalum kwa tovuti (urefu, seti za herufi).

4. Maelezo ya kina ya Uendeshaji wa AutoPass

Mtiririko wa kazi wa AutoPass unajumuisha hatua kadhaa:

  1. Usindikaji wa Mchango: Mtumiaji hutoa nenosiri kuu na kitambulisho cha huduma lengwa.
  2. Utoaji wa Ufunguo: Ufunguo wenye nguvu ya kriptografia hutolewa kutoka kwa nenosiri kuu kwa kutumia Kazi ya Utoaji wa Ufunguo (KDF) kama PBKDF2 au Argon2.
  3. Uundaji wa Nenosiri: Ufunguo uliotolewa, kitambulisho cha huduma, na vigezo vingine (k.m., faharasa ya sera ya nenosiri, kihesabu cha kurudia kwa mabadiliko yanayolazimishwa) huingizwa kwenye kazi ya uthibitishaji (k.m., kulingana na HMAC) ili kutoa mlolongo wa baiti ghafi.
  4. Kufuata Sera: Pato la ghafi hupangwa kwenye seti ya herufi zinazokidhi sera maalum ya tovuti lengwa (k.m., lazima ijumuishe herufi kubwa, herufi ndogo, nambari, alama).
  5. Pato: Nenosiri la mwisho, linalofuata sera, huwasilishwa kwa mtumiaji kwa ajili ya jaribio la kuingia.

5. Uchambuzi wa Sifa za AutoPass

AutoPass inachambuliwa dhidi ya seti ya sifa zinazohitajika kwa vizazi vya nenosiri:

  • Usalama: Inapingana na mashambulizi ya nguvu ya kutokuwepo kwa siri kuu. Matumizi ya KDF thabiti ni muhimu hapa.
  • Upekee: Nenosiri za tovuti tofauti hazitegemeani kriptografia.
  • Ubadilishaji wa Sera: Inaweza kubadilisha pato ili kukidhi mahitaji magumu na yanayobadilika ya tovuti.
  • Usaidizi wa Mabadiliko: Inasaidia mabadiliko ya nenosiri yanayolazimishwa kwa kujumuisha kihesabu cha kurudia katika algorithm ya uzalishaji.
  • Uwezo wa Kutumika: Inahitaji kukumbuka siri kuu moja tu.

Karatasi hii inadai kuwa AutoPass inashughulikia vyema udhaifu uliopatikana katika mipango kama PwdHash (ufuataji mdogo wa sera) na SuperGenPass (ukosefu wa usaidizi wa mabadiliko).

6. Hitimisho

AutoPass inawakilisha hatua muhimu mbele katika muundo wa vizazi vya nenosiri vinavyoweza kutekelezika. Kwa kubainisha rasmi mpango huo na kuchambua sifa zake dhidi ya mahitaji ya ulimwengu halisi, waandishi wanatoa mchoro wa zana ambayo inaweza kupunguza mzigo wa usimamizi wa nenosiri wa mtumiaji huku ikidumisha viwango vya juu vya usalama. Kazi ya baadaye inajumuisha utekelezaji, masomo ya watumiaji, na uthibitisho rasmi wa usalama.

7. Uchambuzi wa Asili & Ufahamu wa Mtaalamu

Ufahamu wa Msingi

AutoPass sio mpango mwingine tu wa nenosiri; ni utambuzi wa vitendo kwamba mfano wa nenosiri utaendelea kuwepo na kwamba vita halisi liko katika usimamizi, sio uingizwaji. Waandishi wamebainisha kwa usahihi kwwa mapendekezo ya awali ya kitaaluma mara nyingi yanashindwa katika ukweli mgumu wa sera za nenosiri za kampuni na upyaaji wa lazima. Ufahamu wao wa msingi ni kwamba kizazi lazima kiwe kitafsiri cha kriptografia kinachotambua sera, kikibadilisha siri moja kuwa vitambulisho vinavyofuata muktadha.

Mtiririko wa Mantiki

Mantiki ya karatasi hii ni safi kwa kustaajabisha: 1) Fafanua nafasi ya tatizo (maumivu ya mtumiaji/huduma), 2) Weka mfano rasmi wa kutathmini suluhu, 3) Tambua mapungufu katika mipango iliyopo, 4) Pendekeza muundo mseto (AutoPass) unaojaza mapungufu hayo kwa mbinu mpya kama vile uwekaji faharasa ya sera na vihesabu vya mabadiliko. Hii inakumbusha mbinu ya muundo katika kazi za msingi kama karatasi ya CycleGAN (Zhu et al., 2017), ambayo pia ilijenga mfano mpya kwa kubainisha wazi mapungufu ya mbinu za awali za kutafsiri picha-hadi-picha na kuyashughulikia kwa utaratibu.

Nguvu & Kasoro

Nguvu: Mwelekeo kwenye vikwazo vya ulimwengu halisi ndio kipengele chake kikuu. Muundo wa kiufundi wa kushughulikia mabadiliko ya nenosiri kupitia kihesabu rahisi ni mzuri. Hali yake ya upande wa mteja, ya algorithm pekee, inaepuka hatua moja ya kushindwa na matatizo ya usawazishaji ya wasimamizi wa nenosiri wanaotegemea wingu kama LastPass (kama ilivyoripotiwa katika matukio yaliyoripotiwa na blogu ya Krebs on Security).

Kasoro Muhimu: Udhaifu mkubwa wa karatasi hii ni ukosefu wa utekelezaji halisi, uliochunguzwa na uthibitisho rasmi wa usalama. Ni maelezo, sio zana iliyothibitishwa. Kutegemea sana siri kuu moja huunda hali ya kushindwa mbaya—ikiwa itatendewa vibaya, nenosiri zote zilizotolewa zitakosekana. Hii ni tofauti na vitambulisho vya vifaa au viwango vya FIDO2/WebAuthn, ambavyo vinatoa upinzani dhidi ya udanganyifu wa nenosiri. Zaidi ya hayo, kama ilivyobainishwa na watafiti wa NIST, kizazi chochote cha uthibitishaji kinakabiliwa na changamoto ikiwa sera ya nenosiri ya tovuti itabadilika kwa kurudi nyuma, na kwa uwezekano kuwafunga nje watumiaji.

Ufahamu Unaoweza Kutekelezwa

Kwa timu za usalama: Mantiki ya AutoPass inafaa kuigwa kwa ajili ya zana za ndani za kusaidia wafanyikazi kusimamia mzunguko wa nenosiri uliolazimishwa bila kutumia vibandiko vya kukumbukiza. Dhana ya uwekaji faharasa ya sera inaweza kuunganishwa katika vyumba vya nenosiri vya makampuni.

Kwa watafiti: Hatua inayofuata lazima iwe uthibitisho rasmi wa kupunguza usalama, labda kwa kuiga kizazi kama Kazi ya Bandia (PRF). Masomo ya watumiaji ni muhimu—je, mtumiaji wa kawaida anaamini algorithm "kukumbuka" nenosiri lake? Mgogoro wa uwezo wa kutumia na usalama bado upo.

Kwa tasnia: Ingawa AutoPass ni kiraka chenye akili, haipaswi kuvuruga kutoka kwa dharura ya kuacha nenosiri kabisa. Inatumika kama usanifu bora wa mpito wakati FIDO2 na ufunguo wa nenosiri zinapokubalika. Fikiria kama mkongojo wa kriptografia—muhimu sasa, lakini lengo ni kuponya mguu uliovunjika (mfumo wa nenosiri wenyewe).

8. Maelezo ya Kiufundi & Msingi wa Hisabati

Kiini cha kriptografia cha AutoPass kinaweza kuchukuliwa kama kazi ya uthibitishaji. Acha:

  • $S$ = Siri Kuu ya Mtumiaji (nenosiri)
  • $D$ = Kitambulisho cha Huduma (k.m., "example.com")
  • $i$ = Kihesabu cha kurudia (kwa mabadiliko ya nenosiri, kuanzia 0)
  • $P$ = Faharasa inayowakilisha sera ya nenosiri ya tovuti lengwa

Hatua ya msingi ya uzalishaji hutumia Kazi ya Utoaji wa Ufunguo (KDF) na Msimbo wa Uthibitishaji wa Ujumbe (MAC):

$ K = KDF(S, chumvi) $
$ R = HMAC(K, D \,||\, i \,||\, P) $
Ambapo $||$ inamaanisha kuunganisha.

Pato la ghafi $R$ (mnyororo wa baiti) halafu hubadilishwa na kazi ya uchoraji ramani inayofuata sera $M(P, R)$ ambayo inahakikisha nenosiri la mwisho lina aina za herufi zinazohitajika (herufi kubwa, herufi ndogo, nambari, alama) kwa njia ya uthibitishaji. Kwa mfano, $M$ inaweza kuchukua baiti kutoka $R$ modulo ukubwa wa seti ya herufi inayofuata sera ili kuchagua herufi, ikihakikisha angalau moja kutoka kila darasa linalohitajika.

9. Mfumo wa Uchambuzi & Mfano wa Kufikiri

Mfumo wa Kutathmini Vizazi vya Nenosiri:

  1. Kiolesura cha Mchango: Mtumiaji anahitaji kutoa nini? (AutoPass: Siri kuu + jina la tovuti).
  2. Injini ya Uthibitishaji: Uwezo wa kurudiwa unapatikanaje? (AutoPass: KDF + HMAC).
  3. Tabaka la Sera: Sheria maalum za tovuti zinakabiliwaje? (AutoPass: Kazi ya uchoraji ramani yenye faharasa ya sera $M$).
  4. Usimamizi wa Hali: Mabadiliko ya nenosiri yanashughulikiwaje? (AutoPass: Kihesabu cha kurudia $i$).
  5. Hali za Kushindwa: Nini hufanyika ikiwa siri kuu inapotea, au sera ya tovuti inabadilika? (AutoPass: Hasara kamili; uwezekano wa kufungwa nje).

Mfano wa Kufikiri (Hakuna Msimbo):
Fikiria mtumiaji, Alice. Siri yake kuu ni "BlueSky42!@#".
Hali ya 1 - Kuingia kwa mara ya kwanza kwenye `bank.com`:
Michango: $S$="BlueSky42!@#", $D$="bank.com", $i=0$, $P$="Sera_B: Herufi 12, aina zote za herufi".
AutoPass ndani yake huhesabu $R$ na kutumia $M(Sera_B, R)$ ili kutoa: `gH7@kL2!qW9#`.
Hali ya 2 - Mabadiliko yanayolazimishwa kwenye `bank.com` baada ya siku 90:
Michango ni sawa isipokuwa $i=1$. Pato jipya ni nenosiri tofauti kabisa, linalofuata sera: `T5!mR8@yV3#j`.
Hali ya 3 - Kuingia kwenye `news.site` kwa sera rahisi:
$D$="news.site", $i=0$, $P$="Sera_A: Herufi 8, herufi na nambari pekee".
Pato: `k9mF2nL8`.

10. Matumizi ya Baadaye & Mwelekeo wa Utafiti

  • Ujumuishaji na WebAuthn/Ufunguo wa Nenosiri: AutoPass inaweza kutumika kama njia ya dharura au msaidizi katika mpangilio wa sababu nyingi, ikizalisha siri thabiti kwa tovuti ambazo bado hazisaidii uthibitishaji bila nenosiri.
  • Usimamizi wa Siri wa Makampuni: Algorithm ya msingi inaweza kubadilishwa ili kuzalisha ufunguo wa API wa kipekee, unaozunguka au nenosiri za akaunti za huduma ndani ya usanifu wa huduma ndogo, ikisimamiwa na seva kuu ya sera.
  • Kriptografia ya Baada ya Quantum (PQC): Kadiri kompyuta za quantum zinavyokua, kazi za KDF na MAC ndani ya AutoPass zitahitaji kubadilishwa na algorithm zinazopingana na PQC (k.m., kulingana na matatizo ya kimiani). Utafiti wa vizazi vya nenosiri vinavyoweza kutumika na PQC ni eneo wazi.
  • Uzalishaji Ulioimarishwa na Kibayometriki: Toleo la baadaye linaweza kutumia ufunguo uliotolewa kutoka kwa kibayometriki kama sehemu ya $S$, na kuongeza safu ya ziada ya "kitu ulichokua," ingawa hii inainua changamoto kubwa za faragha na kufutwa.
  • Uwekaji wa Kawaida: Mwelekeo mkubwa ni kupendekeza mfano wa AutoPass kwa vyombo vya viwango kama IETF au W3C, na kuunda kiwango wazi, kinachoweza kukaguliwa cha kizazi cha nenosiri upande wa mteja ili kuhakikisha ushirikiano na ukaguzi wa usalama.

11. Marejeo

  1. Al Maqbali, F., & Mitchell, C. J. (2017). AutoPass: An Automatic Password Generator. arXiv preprint arXiv:1703.01959v2.
  2. Bonneau, J., Herley, C., van Oorschot, P. C., & Stajano, F. (2012). The quest to replace passwords: A framework for comparative evaluation of web authentication schemes. IEEE Symposium on Security and Privacy.
  3. Zhu, J., Park, T., Isola, P., & Efros, A. A. (2017). Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks. IEEE International Conference on Computer Vision (ICCV).
  4. Krebs, B. (2022). LastPass Breach May Have Exposed Password Vault Data. Krebs on Security. [Online]
  5. National Institute of Standards and Technology (NIST). (2017). Digital Identity Guidelines: Authentication and Lifecycle Management. NIST Special Publication 800-63B.
  6. Ross, B., Jackson, C., Miyake, N., Boneh, D., & Mitchell, J. C. (2005). Stronger Password Authentication Using Browser Extensions. USENIX Security Symposium. (PwdHash)
  7. FIDO Alliance. (2022). FIDO2: WebAuthn & CTAP Specifications. [Online]