Chagua Lugha

AutoPass: Uainishaji na Uchambuzi wa Kizazi cha Nenosiri la Kiotomatiki

Uainishaji wa kina na uchambuzi wa usalama wa AutoPass, kizazi kipya cha nenosiri kinachotumika upande wa mteja kilichoundwa kushughulikia changamoto za usimamizi wa nenosiri zinazohusiana na mtumiaji na huduma.
computationalcoin.com | PDF Size: 0.2 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - AutoPass: Uainishaji na Uchambuzi wa Kizazi cha Nenosiri la Kiotomatiki
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » AutoPass: Uainishaji na Uchambuzi wa Kizazi cha Nenosiri la Kiotomatiki

Yaliyomo

1. Utangulizi

Uthibitishaji wa nenosiri la maandishi bado ndio njia kuu ya kumthibitisha mtumiaji licha ya mapungufu yake yanayojulikana. Kuenea kwa huduma za mtandaoni kumezidisha tatizo hili, na kuwalazimisha watumiaji kusimamia idadi isiyoweza kudumishwa ya nenosiri la pekee na lenye nguvu. Hii husababisha mazoea yasiyo salama kama vile kutumia nenosiri moja mara nyingi na kuunda nenosiri dhaifu. AutoPass imependekezwa kama mpango wa kizazi cha nenosiri kinachotumika upande wa mteja kilichoundwa kuunda na kusimamia nenosiri mahususi za tovuti, lenye nguvu, kwa mahitaji, na kupunguza mzigo wa mtumiaji huku ikishughulikia mapungufu yaliyopatikana katika mipango ya awali.

2. Muundo wa Jumla

Sehemu hii inaweka muundo rasmi wa vizazi vya nenosiri, na kuvitofautisha na vizazi rahisi vya nenosiri bila mpangilio. Muundo huu unafafanua mfumo unaozalisha nenosiri kwa uamuzi kutoka kwa seti ndogo ya pembejeo za mtumiaji (kama siri kuu na kitambulisho cha tovuti), na kuhakikisha nenosiri lile lile linaweza kuzalishwa tena kwa tovuti ile ile.

2.1 Ufafanuzi

Kizazi cha nenosiri, katika muktadha huu, kinafafanuliwa kama mfumo unaoweza kurudiwa, kwa mahitaji. Huchukua pembejeo kama vile siri kuu ya mtumiaji $M$, kitambulisho cha tovuti/huduma $S$ (k.m., jina la kikoa), na vigezo vingine vinavyowezekana $P$ (kama vile kihesabu cha mabadiliko ya nenosiri $i$). Hutoa nenosiri lenye nguvu, mahususi kwa tovuti $PW = G(M, S, P)$. Kazi $G$ lazima iwe kazi ya njia moja ili kuzuia kupatikana kwa $M$ kutoka kwa $PW$ iliyovamiwa.

3. Maelezo ya Juu ya AutoPass

AutoPass imejengwa juu ya muundo wa jumla lakini inaanzisha mbinu mpya za kushughulikia vikwazo vya ulimwengu halisi. Uvumbuzi wake wa msingi upo katika uwezo wake wa kukabiliana na:
1. Mabadiliko ya Lazima ya Nenosiri: Huingiza kihesabu cha mabadiliko $i$ katika mchakato wa uzalishaji.
2. Nenosiri Zilizobainishwa Mapema: Inawaruhusu watumiaji "kufunga" nenosiri maalum lililozalishwa kwa tovuti ikiwa wanataka.
3. Sera Mahususi za Tovuti: Inaweza kubinafsisha muundo wa nenosiri (urefu, seti za herufi) ili kukidhi sheria tofauti za tovuti.
Mfumo huu unafanya kazi upande wa mteja, na hauhitaji mtu wa tatu anayeaminika au hifadhi ya siri upande wa seva.

4. Uainishaji wa kina wa AutoPass

Uainishaji huu unaelezea kwa kina algoriti za:
- Usanidi: Mtumiaji anachagua siri kuu $M$.
- Uzalishaji wa Nenosiri: $PW_{S,i} = H( H(M) \, || \, S \, || \, i )$, ambapo $H$ ni kazi ya kihisabati ya kriptografia (k.m., SHA-256) na $||$ inamaanisha kuunganisha. Matokeo yanabadilishwa kuwa umbo (k.m., kuwekwa kwa msimbo wa Base64, kukatwa) ili kukidhi sera $P_S$.
- Mabadiliko ya Nenosiri: Kuongeza $i$ huzalisha nenosiri jipya, lisilohusiana kwa tovuti $S$.
- Kufunga Nenosiri: Utaratibu wa kuhifadhi thamani ya kihisabati ya $PW_{S,i}$ maalum ili kuzuia mabadiliko ya baadaye isipokuwa ikiwa imefunguliwa wazi.

5. Uchambuzi wa Sifa za AutoPass

Makala hii inachambua AutoPass dhidi ya sifa muhimu za usalama na utumiaji:
- Usalama: Upinzani dhidi ya mashambulizi ya nguvu (nguvu ya $H$), udanganyifu (kufungamana kwa tovuti kupitia $S$), na uvamizi (ujuzi wa $PW$ moja haufichui $M$ au nenosiri za tovuti nyingine).
- Utumiaji: Mzigo mdogo wa kumbukumbu ya mtumiaji ($M$ tu), inashughulikia mabadiliko ya nenosiri kwa urahisi.
- Uhamishaji & Upatanifu: Inafanya kazi kwenye vifaa mbalimbali ikiwa $M$ inapatikana; inaweza kuzalisha nenosiri zinazolingana na sera za tovuti nyingi.
Uchambuzi unahitimisha kuwa AutoPass inashughulikia kwa mafanikio kasoro muhimu katika mipango ya awali, kama vile ukosefu wa usaidizi wa mabadiliko na kutofaa kwa sera.

6. Hitimisho

AutoPass inawakilisha hatua muhimu mbele katika usanifu wa kizazi cha nenosiri. Kwa kuainisha rasmi mpango huu na kuchambua sifa zake, waandishi wanaonyesha suluhisho la vitendo kwa mgogoro wa usimamizi wa nenosiri. Inalinda usawa kati ya usalama, utumiaji, na uzingatiaji wa ulimwengu halisi kwa njia ambayo mapendekezo ya awali ya kitaaluma mara nyingi yaliyapuuza.

7. Uchambuzi wa Asili & Uchambuzi wa Mtaalamu

Uelewa wa Msingi

AutoPass sio tu msimamizi mwingine wa nenosiri; ni uainishaji upya wa kriptografia wa tatizo la nenosiri. Waandishi wametambua kwa usahihi kuwa sababu ya msingi sio uvivu wa mtumiaji, bali mzigo usioweza kubebeka wa kiakili. Suluhisho lao linasogeza mzigo huo kutoka kwenye kumbukumbu ya binadamu hadi kwenye hesabu ya uamuzi—ushindi wa kawaida wa uhandisi wa usalama. Hii inalingana na kanuni za msingi katika utafiti wa usalama unaotumika, kama zile zinazotetea na Kituo cha Carnegie Mellon cha Usiri na Usalama Unaotumika (CUPS), ambacho kinasisitiza kubuni mifumo inayolingana na uwezo wa binadamu.

Mtiririko wa Kimantiki

Mantiki ya makala hii ni safi kwa kustaajabisha: fafanua tatizo (Sehemu ya 1), weka muundo rasmi (Sehemu ya 2), pendekeza suluhisho ndani ya muundo huo (Sehemu ya 3 & 4), na kisha uhakikishe (Sehemu ya 5). Hii inafanana na mbinu madhubuti inayoonwa katika makala muhimu za itifaki za usalama. Matumizi ya kazi ya kihisabati ya kriptografia $H$ kama msingi ni rahisi na imara, ikitumia uchambuzi wa kriptografia wa miongo kadhaa. Hata hivyo, mtiririko huo unakwama kidogo kwa kutofanya kulinganisha kwa kiasi matokeo ya AutoPass dhidi ya miongozo ya NIST SP 800-63B kwa siri zinazokumbukwa, fursa iliyopotea ya kuitegemea katika sera ya kisasa.

Nguvu & Kasoro

Nguvu: Ushughulikiaji wa mabadiliko ya lazima kupitia kihesabu $i$ ni mzuri na hufuta kwa ufanisi sehemu kuu ya uchungu wa mtumiaji. Kipengele cha "kufunga nenosiri" ni kutambua kwa vitendo kwamba baadhi ya tovuti (k.m., benki) zinakuwa hati za msingi za ukweli. Hali yake ya upande wa mteja, isiyo na seva, inaepuka hatua moja ya kushindwa na masuala ya uaminio yanayowakera wasimamizi wa nenosiri wanaotegemea wingu, wasiwasi ulioangaziwa katika uvamizi kama vile LastPass (2022).
Kasoro Muhimu: Jambo kubwa linalojitokeza ni usimamizi na urejesho wa siri kuu ($M$). Ikiwa $M$ imepotea, nenosiri zote zilizotokana nazo zinapotea—hali ya kushindwa mbaya ambayo makala hiyo haijazingatia kwa kina. Mapendekezo ya kurejesha $M$ (k.m., kugawanya siri ya Shamir) sio rahisi kwa watumiaji wa mwisho. Zaidi ya hayo, mpango huu hautoa ulinzi dhidi ya kifaa cha kurekodi kibonye cha kukamata $M$ wakati wa uingizaji, njia ya kawaida ya mashambulizi. Ikilinganishwa na suluhisho za kisasa zinazosaidiwa na vifaa kama WebAuthn/Passkeys, ambazo zinapingana na udanganyifu na vifaa vya kurekodi kibonye, AutoPass inaonekana kama suluhisho la kisasa la tatizo ambalo linazidi kupitishwa kupitia viwango vya Shirikisho la FIDO.

Uelewa Unaoweza Kutekelezwa

Kwa wasanifu wa usalama, muundo wa msingi wa kriptografia wa AutoPass—$H(Siri || Muktadha)$—ni kitu cha thamani cha kuchukua kwa ajili ya kupata hati za kuthibitisha nyingi kutoka kwa mzizi mmoja. Inaweza kubadilishwa ili kutumika kwa uzalishaji wa ufunguo wa API au uthibitishaji wa huduma za ndani. Kwa watafiti, hatua inayofuata ni wazi: changanya. Unganisha uzalishaji wa uamuzi wa AutoPass na upinzani wa udanganyifu wa Passkeys. Fikiria mfumo ambapo "kitambulisho cha tovuti" $S$ kinathibitishwa kwa kriptografia (k.m., kupitia cheti cha TLS), na nenosiri lililotokana linatumiwa tu kama njia mbadala kwa tovuti za zamani. Siku zijazi haziko katika kuchagua kati ya nenosiri na vitu vya kuchukua nafasi, bali katika mifumo ya hati za kuthibitisha zenye akili, zenye kuzingatia muktadha, zinazovuka pengo, kama ilivyopendekezwa na utafiti unaokua katika taasisi kama SRI International kuhusu uthibitishaji unaobadilika.

8. Maelezo ya Kiufundi & Muundo wa Kihisabati

Kazi ya msingi ya uzalishaji inaweza kupanuliwa ili kuonyesha vipengele vyake:

$\text{Ufunguo wa Kati: } K = H(M)$
$\text{Mbegu ya Tovuti: } Seed_{S,i} = K \, || \, S \, || \, i$
$\text{Matokeo ya Ghafi: } R = H(Seed_{S,i})$
$\text{Nenosiri la Mwisho: } PW_{S,i} = \text{Umbo}(R, P_S)$

Ambapo $\text{Umbo}()$ inatumia sheria kama: chagua herufi 12 za kwanza, weka kwenye seti ya herufi na nambari/alama, hakikisha kuna herufi kubwa moja, n.k. Usalama unategemea upinzani wa picha ya awali na upinzani wa mgongano wa $H$.

9. Mfumo wa Uchambuzi & Mfano wa Kimawazo

Mfumo: Ili kutathmini kizazi chochote cha nenosiri, tumia orodha hii iliyotokana na makala:
1. Pembejeo: Siri ndogo zaidi ya mtumiaji ni nini? Je, inakumbukika?
2. Uamuzi: Je, nenosiri linaweza kuzalishwa tena kwa usawa kwenye vifaa/vikao tofauti?
3. Upekee wa Tovuti: Je, uvamizi katika Tovuti A unafichua chochote kuhusu nenosiri la Tovuti B?
4. Usaidizi wa Mabadiliko: Je, mpango unaweza kushughulikia mzunguko wa lazima wa nenosiri?
5. Uzingatiaji wa Sera: Je, unaweza kubadilisha matokeo ili kukidhi sheria tofauti za utata?
6. Upinzani wa Udanganyifu: Je, matokeo yamefungamana na huduma maalum, iliyokusudiwa?

Mfano wa Kimawazo (Hakuna Msimbo): Fikiria mtumiaji, Alice.
- Siri yake kuu $M$ ni usemi wa nenosiri: "correct horse battery staple@2024".
- Kwa tovuti $S$="example.com" na matumizi ya kwanza ($i=1$), AutoPass inahesabu thamani ya kihisabati ya mchanganyiko huu.
- Matokeo ya thamani ya kihisabati (k.m., mfuatano wa herufi za heksadesimali) yanabadilishwa kuwa nenosiri la herufi 16 linalokidhi sera ya example.com: "X7@!qF9*Kp2$wL5".
- Wakati example.com inalazimisha mabadiliko baada ya siku 90, Alice (au mteja wake wa AutoPass) anaweka $i=2$. Thamani ya kihisabati mpya huzalisha nenosiri tofauti kabisa: "gT8#mY3&Zn6%vR1".
- Kwa benki yake, anatumia kipengele cha "kufunga" kwenye nenosiri la kwanza lililozalishwa, na kuzuia mabadiliko ya baadaye isipokuwa akifungua kwa mikono.

10. Matumizi ya Baadaye & Mwelekeo wa Utafiti

1. Unganisho na Wasimamizi wa Nenosiri: Algoriti ya AutoPass inaweza kuwa injini ya msingi kwa wasimamizi wa nenosiri wa programu huria (k.m., programu-jalizi za KeePass), na kutoa njia ya kawaida, inayoweza kukaguliwa ya uzalishaji.
2. Kriptografia ya Baada ya Quantum (PQC): Kazi ya kihisabati $H$ lazima iwe imara dhidi ya mashambulizi ya quantum. Toleo la baadaye linaweza kubainisha kutumia kazi za kihisabati za PQC zilizomalizika kama SHA-3 au viwango vya baadaye vya NIST.
3. Utambulisho Usio na Kituo Kimoja (DID): Muundo wa kupata hati za kuthibitisha kutoka kwa siri kuu unalingana na dhana za DID. AutoPass inaweza kubadilishwa ili kuzalisha vitambulisho visivyo na kituo kimoja au funguo za kriptografia kwa matumizi ya Web3.
4. Usimamizi wa Siri wa Makampuni: Muundo huu unaweza kuongezeka kwa ajili ya DevOps, na kuzalisha funguo za API za kipekee au nenosiri za hifadhi data kwa huduma ndogo tofauti kutoka kwa funguo moja ya mzizi inayosimamiwa katika Moduli ya Usalama ya Vifaa (HSM).
5. Unganisho wa Kipimo cha Kimwili: Utafiti unaweza kuchunguza kutumia kielelezo thabiti cha kipimo cha kimwili (kinachoshughulikiwa ndani) kama sehemu ya pembejeo kwa $M$, na kuongeza urahisi huku ukidumisha sifa ya uamuzi.

11. Marejeo

  1. Al Maqbali, F., & Mitchell, C. J. (2017). AutoPass: An Automatic Password Generator. arXiv preprint arXiv:1703.01959v2.
  2. Bonneau, J., Herley, C., van Oorschot, P. C., & Stajano, F. (2012). The quest to replace passwords: A framework for comparative evaluation of web authentication schemes. IEEE Symposium on Security and Privacy.
  3. NIST. (2020). Digital Identity Guidelines: Authentication and Lifecycle Management (SP 800-63B).
  4. FIDO Alliance. (2022). FIDO2: WebAuthn & CTAP Specifications. Retrieved from https://fidoalliance.org/fido2/
  5. Florêncio, D., & Herley, C. (2007). A large-scale study of web password habits. Proceedings of the 16th international conference on World Wide Web.
  6. Krombholz, K., et al. (2015). "I have no idea what I'm doing" - On the Usability of Deploying HTTPS. USENIX Security Symposium.