Nenosiri bado ndio utaratibu mkuu wa uthibitishaji licha ya udhaifu unaojulikana wa usalama. Watumiaji huwa wanaunda nenosiri kufuata muundo unaotabirika, na kuzifanya ziwe katika hatari ya mashambulizi ya kukisia. Usalama wa mifumo kama hii hauwezi kupimwa kwa vigezo vya jadi vya usimbu fiche, bali unahitaji muundo sahihi wa tabia ya adui. Karatasi hii inashughulikia pengo muhimu: upendeleo mkubwa wa kipimo unaoletwa wakati watafiti wanatumia mashambulizi ya kamusi yaliyotengenezwa tayari na yaliyosanidiwa kwa usawa, ambayo hayashiki mikakati ya kina na inayoendeshwa na ustadi ya washambuliaji wa ulimwengu halisi.
Wavunjaji wa nenosiri wa ulimwengu halisi hutumia mashambulizi ya kimakusudi ya kamusi yenye ufanisi mkubwa na sheria za kubadilisha (kwa mfano, kwa kutumia zana kama Hashcat au John the Ripper). Ufanisi wa mashambulizi haya unategemea usanidi uliotengenezwa kwa ustadi—jozi maalum za orodha za maneno na seti za sheria—zilizoundwa kupitia uzoefu wa miaka mingi. Uchambuzi wa usalama unaotegemea usanidi wa kawaida hukadiria kupita kiasi nguvu ya nenosiri, na kuleta upendeleo wa kipimo unaodhoofisha uhalali wa hitimisho za usalama.
Tatizo kuu ni kutokuwepo kwa uhusiano kati ya miundo ya kitaaluma ya nenosiri na mazoea halisi ya kuvunja. Utafiti kama wa Ur et al. (2017) umeonyesha kuwa vipimo vya nguvu ya nenosiri vina usikivu mkubwa kwa muundo wa washambuliaji uliotumika. Kutumia muundo dhaifu au wa jumla husababisha kukadiria kupita kiasi usalama, na kuunda hisa bandia ya usalama.
Mashambulizi ya jadi ya kamusi yana usawa. Yanatumia seti maalum ya sheria za kubadilisha (kwa mfano, leet speak, kuongeza nambari mwishoni) kwenye orodha maalum ya maneno kwa mpangilio uliowekwa tayari. Hayana uwezo wa kukabiliana kama wataalamu wa kibinadamu ambao wanaweza:
Waandishi wanapendekeza njia yenye pande mbili kuwezesha mikakati ya kukisia kama ya mtaalamu, na hivyo kupunguza utegemezi wa usanidi wa mikono na ujuzi wa kikoa.
Mtandao wa neva wa kina (DNN) unafunzwa kuunda usambazaji wa uwezekano wa nenosiri. Uvumbuzi mkuu ni kufunza muundo huu sio tu kwenye seti za data ghafi za nenosiri, bali pia kwenye mlolongo wa sheria za kubadilisha zinazotumiwa na wavunjaji wataalamu kwa maneno ya msingi. Hii inaruhusu DNN kujifunza "ustadi" wa adui—mabadiliko yanayowezekana na mpangilio wao wenye ufanisi.
Badala ya seti ya sheria zilizowekwa, shambulio linatumia mkakati wa kukisia wa dinamiki. DNN inaongoza uzalishaji wa nenosiri zinazowezekana kwa kutumia mabadiliko kwa mpangilio na uwezekano unaolingana na hali ya sasa ya neno na muktadha wa shambulio. Hii inafanana na uwezo wa mtaalamu wa kurekebisha njia ya shambulio kwa wakati halisi.
Mfumo unaweza kufasiriwa kama kizazi cha uwezekano. Kwa kuzingatia neno la msingi $w_0$ kutoka kwenye kamusi, muundo hutoa nenosiri $p$ kupitia mlolongo wa $T$ mabadiliko (sheria za kubadilisha $r_t$). Uwezekano wa nenosiri unaundwa kama ifuatavyo: $$P(p) = \sum_{w_0, r_{1:T}} P(w_0) \prod_{t=1}^{T} P(r_t | w_0, r_{1:t-1})$$ ambapo $P(r_t | w_0, r_{1:t-1})$ ni uwezekano wa kutumia sheria $r_t$ kwa kuzingatia neno la kwanza na historia ya sheria zilizopita, kama inavyoonyeshwa na DNN. Uundaji huu huruhusu utumiaji wa sheria zisizo za mstari na zenye kuzingatia muktadha.
Majaribio yalifanywa kwenye seti kadhaa kubwa za data za nenosiri za ulimwengu halisi (kwa mfano, RockYou, LinkedIn). Muundo uliopendekezwa ulilinganishwa na miundo ya kisasa ya uwezekano wa nenosiri (kwa mfano, miundo ya Markov, PCFGs) na mashambulizi ya kawaida ya kamusi yenye seti maarufu za sheria (kwa mfano, best64.rule, d3ad0ne.rule).
Kipimo muhimu ni nambari ya kukisia—idadi ya makisio yanayohitajika kuvunja asilimia fulani ya nenosiri. Matokeo yalionyesha kuwa shambulio la kamusi la dinamiki linaloendeshwa na DNN:
Maelezo ya Chati: Chati ya mstari ingeonyesha asilimia ya jumla ya nenosiri zilizovunjwa (mhimili wa Y) dhidi ya logi ya nambari ya kukisia (mhimili wa X). Mkunjo wa njia iliyopendekezwa ungepanda kwa kasi zaidi na juu zaidi kuliko mikunjo ya PCFG, Markov, na mashambulizi ya kamusi yenye usawa, hasa katika makundi ya awali ya kukisia (kwa mfano, makisio ya kwanza 10^9).
Karatasi hii hupima kupungua kwa upendeleo wa kipimo. Wakati wa kutathmini nguvu ya sera ya nenosiri, kutumia shambulio lenye usawa kunaweza kuhitimisha kuwa 50% ya nenosiri huzuia makisio 10^12. Shambulio la dinamiki lililopendekezwa, likiunda adui mwenye uwezo zaidi, linaweza kuonyesha kuwa 50% imevunjwa kwa makisio 10^10—makadirio ya kupita kiasi ya mara 100 na muundo wenye usawa. Hii inaangazia umuhimu mkubwa wa kuunda muundo sahihi wa adui kwa maamuzi ya sera.
Hali: Timu ya usalama inataka kutathmini uwezo wa kustahimili wa nenosiri za watumiaji wake dhidi ya shambulio la kina na lenye kulenga.
Njia ya Jadi (Iliyopendelea): Wanaendesha Hashcat kwa orodha ya maneno ya rockyou.txt na seti ya sheria ya best64.rule. Ripoti inasema: "80% ya nenosiri zingesalia hai baada ya makisio bilioni 1."
Mfumo Ulipendekezwa (Ulipunguza Upendeleo):
Ufahamu Mkuu: Karatasi hii inatoa shambulio la upasuaji kwenye kasoro inayojitokeza lakini mara nyingi hupuuzwa katika utafiti wa usalama wa mtandao: upendeleo wa "pengo la ustadi". Kwa miaka mingi, tathmini za kitaaluma za nguvu ya nenosiri zimejengwa kwenye mchanga—kwa kutumia miundo rahisi ya washambuliaji yenye usawa ambayo haifanani na wataalamu wa kibinadamu wenye kukabiliana na wenye zana katika mazingira halisi. Pasquini et al. hawatoi tu algoriti bora; wanalazimisha uwanja huo kukabiliana na upofu wake wa kimethodolojia. Uvumbuzi wa kweli ni kuunda tatizo sio kama "kuvunja nenosiri bora" bali kama "kuiga adui bora," mabadiliko ya mtazamo yasiyo ya moja kwa moja lakini muhimu sawa na harakati kutoka kwa vitambuzi rahisi hadi Mitandao ya Kupingana ya Kizazi (GANs) katika AI, ambapo ubora wa kizazi kinafafanuliwa na uwezo wake wa kumdanganya mtambuzi.
Mtiririko wa Kimantiki: Hoja inavutia kwa mstari. 1) Tishio halisi = mashambulizi ya kina yaliyosanidiwa na wataalamu. 2) Mazoea ya kawaida ya utafiti = mashambulizi yenye usawa, yaliyotengenezwa tayari. 3) Kwa hivyo, kuna upendeleo mkubwa wa kipimo. 4) Suluhisho: Wezesha usanidi na uwezo wa kukabiliana wa mtaalamu kwa kutumia AI. Matumizi ya DNN kuunda mlolongo wa sheria ni mazuri. Inatambua kwamba ujuzi wa mtaalamu sio tu mfuko wa sheria, bali ni mchakato wa uwezekano—sarufi ya kuvunja. Hii inalingana na mafanikio ya miundo ya mlolongo kama Transformers katika NLP, na inapendekeza kwamba waandishi wanatumia masomo kutoka kwenye nyanja za karibu za AI kwa ufanisi.
Nguvu & Kasoro: Nguvu kuu ni athari ya vitendo. Kazi hii ina manufaa ya haraka kwa wapimaji wa uvamizi na wakaguzi wa usalama. Njia yake yenye msingi wa DNN pia ni yenye ufanisi zaidi wa data katika kujifunza muundo tata kuliko njia za zamani za PCFG. Hata hivyo, kasoro muhimu iko kwenye utegemezi wa data ya mafunzo. "Ustadi" wa muundo unajifunza kutoka kwa tabia inayoonekana ya wataalamu (mlolongo wa sheria). Ikiwa data ya mafunzo inatoka kwa jamii maalum ya wavunjaji (kwa mfano, wale wanaotumia Hashcat kwa njia fulani), muundo unaweza kurithi upendeleo wao na kupoteza mikakati mipya. Ni aina ya kuiga, sio akili ya kimkakati ya kweli. Zaidi ya hayo, kama ilivyoelezwa katika fasihi ya kujifunza kwa shirikisho (kwa mfano, kazi ya Google AI), athari za faragha za kukusanya data nyeti kama hiyo ya "ufuatiliaji wa shambulio" kwa mafunzo si ndogo na hazijachunguzwa vya kutosha.
Ufahamu Unaoweza Kutekelezwa: Kwa wafanyabiashara wa tasnia: Acha kutumia seti za kawaida za sheria kwa tathmini ya hatari. Unganisha miundo ya kina na inayozingatia muktadha kama hii kwenye mifumo yako ya upimaji wa usalama. Kwa watafiti: Karatasi hii inaweka kiwango kipya. Miundo ya baadaye ya nenosiri lazima ithibitishwe dhidi ya adui wenye kukabiliana, sio wale wenye usawa. Upeo unaofuata ni kufunga kitanzi—kuunda walinzi wa AI ambao wanaweza kubuni nenosiri au sera thabiti dhidi ya mashambulizi haya ya kina ya dinamiki yanayoendeshwa na AI, na kuelekea kwenye mfumo wa ushirikiano wa kupingana sawa na GANs, ambapo miundo ya washambuliaji na walinzi huboreshwa kwa pamoja. Enzi ya kutathmini nenosiri kwenye utupu wenye usawa imekwisha, au inapaswa kuwa imekwisha.