1. Utangulizi na Muhtasari

Nenosiri bado ndio aina kuu ya uthibitishaji mtandaoni licha ya udhaifu unaojulikana unaotokana na tabia ya watumiaji—kuchagua nenosiri dhaifu, zinazotabirika, na zinazorudiwarudiwa. Uingiliaji wa jadi kama sera za utungaji wa nenosiri na vipima vya nguvu vimeonyesha ufanisi mdogo katika kuunda uboreshaji wa kudumu wa nguvu ya nenosiri bila kudhuru ukumbukaji. Karatasi hii inatangaza DPAR (Mfumo wa Mapendekezo ya Nenosiri Unaotegemea Takwimu), njia mpya inayojaza pengo hili. Badala ya kutoa mfululizo wa herufi nasibu au kutoa maoni ya jumla, DPAR inachambua nenosiri la awali lililochaguliwa na mtumiaji na kupendekeza mabadiliko maalum, madogo madogo ili kuimarisha, ikitumia mifumo iliyojifunza kutoka kwa seti kubwa ya takwimu ya nenosiri milioni 905 zilizovamiwa ulimwenguni. Dhana kuu ni kwamba mapendekezo ya kibinafsi, yanayoongezeka hatua kwa hatua, yana uwezekano mkubwa wa kupitishwa na kukumbukwa kuliko uingizwaji kamili.

2. Mfumo wa DPAR

DPAR inawakilisha mabadiliko ya dhana kutoka kwa maoni ya kipokezi hadi uongozi wa kazi, unaoongozwa na takwimu.

2.1 Mbinu ya Msingi na Msingi wa Takwimu

Ujasusi wa mfumo unatokana na seti ya takwimu ya "Qwerty na 123" iliyo na nenosiri milioni 905 zilizovamiwa. Kwa kuchambua mkusanyiko huu, DPAR hujenga muundo wa uwezekano wa miundo ya kawaida ya nenosiri, mifumo dhaifu (kama "1qaz1qaz"), na tabia za kubadilisha. Hii inairuhusu kutambua vipengele maalum katika nenosiri la mtumiaji ambavyo vina hatari zaidi kwa mashambulizi ya kamusi au yanayotegemea mifumo na kupendekeza uboreshaji unaolengwa. Kanuni ya msingi inafanana na mbinu katika masomo ya mashine ya upinzani, ambapo muundo hufunzwa kwa kutumia takwimu za ulimwengu halisi (kama matumizi ya CycleGAN ya seti za picha zisizolingana) ili kujifunza sheria za mabadiliko zinazohifadhi sifa za msingi (ukumbukaji) wakati zinabadilisha zingine (nguvu).

2.2 Algorithm ya Mapendekezo na Mwendo wa Mtumiaji

Uzoefu wa mtumiaji ni wa kurudia na wa ushauri. Mtumiaji anaingiza nenosiri. DPAR inalitathmini na inaweza kupendekeza mabadiliko maalum, kama kubadilisha herufi (mfano, 'a' -> '@'), kuongeza kiambishi cha mwisho, au kuweka herufi kubwa kwa herufi maalum. Pendekezo hilo linawasilishwa kama marekebisho madogo kwa wazo la asili la mtumiaji, sio mfululizo wa herufi usiojulikana. Kwa mfano, kwa nenosiri dhaifu "1qaz1qaz", DPAR inaweza kupendekeza "1q@z1qaz!", kuongeza alama na alama ya mshangao. Mchakato huu unaweza kurudiwa hadi kizingiti cha kuridhisha cha nguvu kifikie, kusawazisha usalama na ukubali wa mtumiaji.

3. Tathmini ya Majaribio

Karatasi hii inathibitisha DPAR kupitia utafiti mbili thabiti za watumiaji.

3.1 Utafiti 1: Uthibitishaji wa Ukumbukaji (n=317)

Utafiti huu ulijaribu ikiwa nenosiri zilizobadilishwa kwa sheria za DPAR zilibaki kukumbukwa. Washiriki walitengeneza nenosiri, walipokea toleo lililobadilishwa na DPAR, na baadaye walijaribiwa kuhusu kukumbuka. Matokeo yalionyesha hakuna upungufu mkubwa wa kitakwimu katika viwango vya kukumbuka ikilinganishwa na nenosiri asilia, ikithibitisha kwamba falsafa ya "mabadiliko madogo madogo" inafanikiwa kuhifadhi ukumbukaji.

3.2 Utafiti 2: Nguvu na Ukumbukaji dhidi ya Vipima vya Nenosiri (n=441)

Jaribio hili la udhibiti lililochaguliwa kwa nasibu lilinganisha DPAR dhidi ya vipima vya jadi vya nenosiri. Washiriki waligawiwa katika kundi linalotumia kipima cha kawaida au kundi linalopokea mapendekezo ya DPAR wakati wa utengenezaji wa nenosiri.

3.3 Matokeo Muhimu na Muhtasari wa Takwimu

+34.8 bits

Ongezeko la wastani katika nguvu ya nenosiri (entropy) kwa kundi la DPAR.

36.6%

Kiwango cha kukubali kihalisi cha pendekezo la kwanza la DPAR.

Hakuna Athari Muhimu

Kwa uwezo wa watumiaji kukumbuka nenosiri zao zilizobadilishwa na DPAR.

Kundi la DPAR lilifikia nenosiri za mwisho zenye nguvu zaidi bila kudhuru kukumbuka, likiwapita kundi linalotumia kipima pekee. Kiwango cha juu cha kukubali kihalisi ni kipimo muhimu, kinachoonyesha utiifu mkubwa wa watumiaji kwa njia inayoongozwa.

4. Uchunguzi wa Kiufundi

4.1 Msingi wa Hisabati na Uhesabuji wa Nguvu

Nguvu ya nenosiri inapimwa kwa kutumia entropy, inayopimwa kwa bits. Entropy $H$ ya nenosiri inahesabiwa kulingana na ukubwa wa seti ya herufi $N$ na urefu $L$, ikikadiriwa kama $H = L \cdot \log_2(N)$. Hata hivyo, hii inadhania uteuzi wa nasibu. Muundo wa DPAR lazima upunguze kwa mifumo inayotabirika. Muundo wa kina zaidi, unaofanana na mnyororo wa Markov au sarufi ya muktadha isiyo na uwezekano iliyofunzwa kwenye seti ya takwimu ya uvamizi, inakadiri entropy halisi $H_{actual}$ kwa kuzingatia uwezekano wa mfuatano: $H_{actual} \approx -\log_2(P(nenosiri))$, ambapo $P(nenosiri)$ ni uwezekano wa muundo huo wa nenosiri kutokea katika mkusanyiko wa mafunzo. Lengo la DPAR ni kupendekeza mabadiliko madogo madogo yanayokuza ongezeko la $H_{actual}$.

4.2 Mfumo wa Uchambuzi: Matriki ya Tathmini ya DPAR

Hali: Kutathmini nenosiri "summer2024".
Uchambuzi wa DPAR:

  1. Ugunduzi wa Muundo: Inatambuliwa kama neno la kawaida la kamusi ("summer") linalofuatiwa na mwaka wa hivi karibuni.
  2. Tathmini ya Hatari: Ina hatari kubwa kwa mashambulizi ya kamusi na mseto. $H_{actual}$ ndogo sana.
  3. Uundaji wa Mapendekezo (Mifano):
    • Ubadilishaji: "$ummer2024" (badilisha 's' na '$').
    • Kuongeza Kati: "summer!2024" (ongeza '!').
    • Uwekeaji wa Herufi Kubwa Unaodhibitiwa: "sUmmer2024" (weka herufi kubwa 'U').
  4. Tathmini Upya ya Nguvu: Kila pendekezo linapimwa kwa ongezeko linalokadiriwa la entropy na athari ya ukumbukaji. "$ummer2024" inaweza kupewa kipaumbele kwa kuongeza kwa kiasi kikubwa nguvu yake na mzigo mdogo wa utambuzi.
Mfumo huu unaonyesha jinsi DPAR inavyohama kutoka utambuzi wa ugonjwa hadi utungaji wa dawa unaolengwa.

5. Uchambuzi Muhimu na Mtazamo wa Sekta

Ufahamu wa Msingi: DPAR sio tu kipima kingine cha nenosiri; ni injini ya uingiliaji wa tabia. Uzuri wake upo katika kuibadilisha tatizo la usalama kutoka "elimu ya mtumiaji" hadi "ushirikiano wa mtumiaji." Kwa kufanya marekebisho madogo madogo, yanayothibitishwa na takwimu, kwa muundo wa akili wa mtumiaji mwenyewe, inapita upinzani wa kisaikolojia kwa maneno yasiyo na maana yanayotokana na mfumo. Kiwango cha 36.6% cha kukubali kihalisi sio tu nambari—ni ushahidi wa ubora wa muundo wa uzoefu wa mtumiaji katika eneo linalokumbwa na msuguano.

Mkondo wa Mantiki: Mantiki ya utafiti ni kamili. Inaanza na kushindwa kwa zana zilizopo (sera, vipima) kwa ushahidi, inadhania kwamba usahihi na ubinafsishaji havipo, inajenga mfumo (DPAR) ili kujaribu dhana hiyo kwa kutumia seti kubwa zaidi ya takwimu za ulimwengu halisi zinazopatikana, na kuidhibitisha kwa majaribio yaliyodhibitiwa yanayopima usalama (bits) na utumiaji (ukumbukaji, ukubali). Hivi ndivyo utafiti wa usalama wa mtandaoni unaotumika unapaswa kufanywa.

Nguvu na Kasoro: Nguvu kuu ni njia yake ya vitendo, inayolenga binadamu, ikitiliwa mkazo na takwimu thabiti na matokeo wazi. Hata hivyo, kasoro muhimu iko katika eneo lake linaloweza kushambuliwa. Ikiwa algorithm ya mapendekezo itakuwa inayotabirika, washambuliaji wanaweza kuibadilisha ili kuboresha mikakati yao ya kukisia—mbio za silaha za jadi zinazoonekana katika AI ya upinzani, kama ilivyojadiliwa katika karatasi kama "Adversarial Machine Learning at Scale" (Goodfellow et al., ICLR 2015). Zaidi ya hayo, utegemezi wake kwenye mkusanyiko wa takwimu za uvamizi zisizobadilika hauwezi kukabiliana haraka na mienendo mpya ya kitamaduni au mifumo ya uhandisi wa kijamii inayolengwa.

Ufahamu Unaoweza Kutekelezwa: Kwa CISOs na wasimamizi wa bidhaa, hitimisho ni wazi: Acha kutegemea mistari nyekundu/ya manjano/kijani. Unganisha mifumo ya kupendekeza, inayotambua muktadha kama DPAR, katika mchakato wako wa usajili na mabadiliko ya nenosiri mara moja. Faida ya uwekezaji katika kupunguza hatari ya kuchukuliwa kwa akaunti ni dhahiri. Kwa watafiti, hatua inayofuata ni kuimarisha DPAR dhidi ya uchambuzi wa upinzani na kuchunguza mbinu za kujifunza kwa shirikisho ili kusasisha muundo wake bila kuweka takwimu mpya za nenosiri katikati, na hivyo kushughulikia maswala ya faragha yaliyobainishwa na taasisi kama Taasisi ya Kitaifa ya Viwango na Teknolojia (NIST) katika Mwongozo wao wa Utambulisho wa Dijitali.

6. Matumizi ya Baadaye na Mwelekeo wa Utafiti

  • Ukaguzi wa Nenosiri Unaotangulia: Ujumuishaji katika wasimamizi wa nenosiri ili kupendekeza mara kwa mara mabadiliko ya kuimarisha kwa nenosiri zilizohifadhiwa, kukwenda zaidi ya tahadhari za uvamizi tu.
  • Mifumo Inayobadilika na Inayotambua Muktadha: Miundo ya DPAR inayozingatia thamani maalum ya akaunti (mfano, benki dhidi ya jukwaa), ikipendekeza mabadiliko makali zaidi kwa malengo ya thamani ya juu.
  • Mafunzo ya Upinzani wa Uvujaji wa Taarifa: Kutumia injini ya mapendekezo kufundisha watumiaji kuhusu mifumo dhaifu kwa kuonyesha kwa kushirikiana jinsi nenosiri zao za kinadharia zingeweza kuimarishwa.
  • Ujumuishaji na Njia Mbadala ya Kibiometriki: Katika mipango ya uthibitishaji wa sababu nyingi, nenosiri zilizobadilishwa na DPAR zinaweza kutumika kama njia mbadala imara zaidi wakati kibiometriki inaposhindwa.
  • Mafunzo ya Muundo Yanayohifadhi Faragha: Kuchunguza mbinu kama faragha tofauti au kujifunza kwenye kifaa ili kuboresha seti ya takwimu ya muundo bila kudhuru nenosiri mpya za watumiaji.

7. Marejeo

  1. Morag, A., David, L., Toch, E., & Wool, A. (2024). Improving Users' Passwords with DPAR: A Data-Driven Password Recommendation System. arXiv preprint arXiv:2406.03423.
  2. Goodfellow, I., Shlens, J., & Szegedy, C. (2015). Explaining and harnessing adversarial examples. International Conference on Learning Representations (ICLR).
  3. National Institute of Standards and Technology (NIST). (2017). Digital Identity Guidelines (SP 800-63B).
  4. Ur, B., et al. (2016). Design and evaluation of a data-driven password meter. Proceedings of the CHI Conference on Human Factors in Computing Systems.
  5. Zhu, J.-Y., Park, T., Isola, P., & Efros, A. A. (2017). Unpaired image-to-image translation using cycle-consistent adversarial networks. Proceedings of the IEEE International Conference on Computer Vision.
  6. Weir, M., Aggarwal, S., Medeiros, B. D. P., & Glodek, B. (2009). Password cracking using probabilistic context-free grammars. IEEE Symposium on Security and Privacy.