Chagua Lugha

Trenchcoat: Algoriti za Uhesabu-nguvu za Binadamu kwa Uundaji wa Nenosiri

Uchambuzi wa kazi za uhesabu-nguvu za binadamu kwa uundaji wa nenosiri, ukichangia sayansi ya utambuzi na usimbaji fiche kuunda nenosiri salama, zinazokumbukwa bila zana za nje.
computationalcoin.com | PDF Size: 0.9 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - Trenchcoat: Algoriti za Uhesabu-nguvu za Binadamu kwa Uundaji wa Nenosiri
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » Trenchcoat: Algoriti za Uhesabu-nguvu za Binadamu kwa Uundaji wa Nenosiri

Orodha ya Yaliyomo

1. Utangulizi

Mazingira ya kisasa ya kidijitali yanahitaji watu binafsi kudhibiti idadi kubwa ya akaunti za mtandaoni, kila moja ikilindwa na nenosiri. Mzigo wa kiutambuzi wa kuunda na kukumbuka nenosiri zenye nguvu na za kipekee husababisha mazoea yasiyo salama kama vile kutumia nenosiri moja mara nyingi na mabadiliko rahisi. Karatasi hii inatangaza "Trenchcoat," mfumo wa algoriti za uhesabu-nguvu za binadamu zilizoundwa kuzalisha nenosiri salama, za kipekee kwa kila tovuti kwa kutumia siri moja tu ya msingi inayokumbukwa na hesabu ya akili.

2. Tatizo la Mbinu za Sasa za Nenosiri

Watumiaji wamekwama kati ya maagizo ya usalama (kanuni za utata, mabadiliko ya mara kwa mara) na mipaka ya kiutambuzi. Hii husababisha:

  • Matumizi ya Nenosiri Moja Mara Nyingi: Zaidi ya 50% ya nenosiri hutumiwa tena katika akaunti nyingi.
  • Uundaji Dhaifu: Kutegemea muundo unaotabirika, maneno ya kamusi, na taarifa za kibinafsi.
  • Kutegemea Zana na Hatari: Wadhibiti wa nenosiri, ingawa husaidia, huleta sehemu moja ya kushindwa na wamekuwa chini ya udhaifu muhimu.
  • Pengo la Ufikiaji: Suluhisho nyingi hazijaundwa kwa watumiaji wenye utambuzi tofauti au wenye uwezo tofauti.

Takwimu Muhimu

90-130: Wastani wa akaunti za mtandaoni kwa kila mtumiaji.

3 × 1011: Makadirio ya nenosiri zinazotumiwa.

>50%: Kiwango cha matumizi ya nenosiri moja mara nyingi miongoni mwa watu binafsi.

3. Mfumo wa Trenchcoat

Trenchcoat inafikiria upya uundaji wa nenosiri kama mchakato wa usimbaji fiche unaotekelezwa na binadamu.

3.1. Dhana ya Msingi: Kazi za Uhesabu-nguvu za Binadamu

Wazo la msingi ni kazi $F_R(s, w) \rightarrow y$. Inachukua siri ya msingi ya mtumiaji (s) na kitambulisho cha tovuti/akaunti (w) ili kutoa nenosiri la kipekee (y). Kigezo muhimu $R$ kinawakilisha usanidi wa kipekee wa kiutambuzi wa mtumiaji.

3.2. Kuchangia Kumbukumbu ya Uhusiano na ya Ndani (R)

Mfumo huu unatumia sifa za kiutambuzi za kibinafsi ($R$), kama vile kumbukumbu ya anga au mitandao ya kibinafsi ya uhusiano. Hii hufanya kazi iwe kama "Kazi ya Kimwili Isiyoweza Kuigwa ya Kiutambuzi (C-PUF)". Adui hawezi kuhesabu au kuthibitisha $F_R$ kwa ufanisi bila kujua $R$ ya ndani ya mtumiaji, ikitoa safu ya usalama inayofanana na PUF za vifaa zinazotumiwa katika uthibitishaji wa kifaa [37].

4. Algoriti Zilizopendekezwa na Maelezo ya Kiufundi

4.1. Kategoria za Algoriti

Karatasi hii inapendekeza aina kadhaa za algoriti kulingana na shughuli za msingi:

  • Kulingana na Hesabu: Kwa kutumia nyongeza ya moduli, usindikaji wa tarakimu kwenye siri ya msingi na jina la tovuti.
  • Kulingana na Anga/Urambazaji: Kuweka alama za herufi kwenye gridi ya kiakili au njia.
  • Kulingana na Lugha/Utafutaji: Kwa kutumia kamusi za kibinafsi za kiakili au uhusiano wa hadithi.

Zote zimeundwa kwa mzigo mdogo wa kiutambuzi na ufikiaji.

4.2. Uundaji wa Kihisabati

Mfano rahisi unaotegemea hesabu: Acha $s$ iwe siri ya msingi ya nambari (kwa mfano, inayotokana na tarehe inayokumbukwa). Acha $H(w)$ iwe uhesabu rahisi (kwa mfano, jumla ya misimbo ya herufi mod 10) ya jina la tovuti. Tarakimu ya nenosiri $y_i$ inaweza kuzalishwa kama:
$y_i = (s_i + H(w)_i + c_i) \mod 10$
ambapo $c_i$ ni mzigo kutoka kwa operesheni iliyopita au hatua ya kibinafsi ya mtumiaji ya kubadilisha iliyofafanuliwa na $R$. Nenosiri kamili ni muunganisho wa $y_i$.

5. Uchambuzi wa Usalama na Tathmini ya Entropi

Uchambuzi wa kawaida wa usimbaji fiche ni ngumu kutumika moja kwa moja. Karatasi hii inatumia vipimo vya entropi:

  • Nafasi ya Ufunguo Inayofaa: Kukadiria nafasi ya utafutaji kwa adui anayekisia $s$ na $R$.
  • Upinzani dhidi ya Mashambulio Yanayojulikana: Uchambuzi dhidi ya mashambulio ya kamusi, udanganyifu (nenosiri lililozalishwa ni la tovuti maalum), na mashambulio ya uchunguzi (kutazama bega).
  • Upekee wa R: Usalama unategemea sana kutabirika na ubinafsi wa kigezo cha kiutambuzi $R$.

Hitimisho ni kwamba ingawa nguvu kamili ya biti inaweza kuwa chini kuliko uhesabu wa algoriti, ujumuishaji wa kipengele cha kibinadamu ($R$) na hitaji la adui kuiga hilo huunda kikwazo kikubwa cha vitendo.

6. Matokeo ya Majaribio na Uchunguzi wa Watumiaji

Utafiti huu ulijumuisha uchunguzi wa watu 134, kila mmoja akijaribu mipango miwili iliyopendekezwa, na ukaguzi wa sera za nenosiri kwenye tovuti 400.

Matokeo Muhimu:

  • Uwezo wa Kutumika: Washiriki waliweza kuzalisha nenosiri kwa uaminifu baada ya kipindi kifupi cha mafunzo. Mbinu za anga na zenye msingi wa hadithi zilionyesha viwango vya juu vya kukumbuka.
  • Kukubalika: Watumiaji walipendelea mbinu ambazo zilihisi "za kibinafsi" au "kama hadithi" kuliko zile za hesabu tu.
  • Uchambuzi wa Sera: Mahitaji ya nenosiri ya tovuti hayalingani kabisa, na hii inachanganya muundo wa kazi ya jumla ya uzalishaji.

Ufahamu wa Chati (Dhana): Chati ya kinadharia ya mipango ingeonyesha "Usahihi wa Kukumbuka Nenosiri" kwenye mhimili wa Y dhidi ya "Aina ya Algoriti" kwenye mhimili wa X. Algoriti za "Anga/Simulizi" zingeweza kuonyesha safu ya usahihi wa juu zaidi (~90%) ikilinganishwa na algoriti za "Hesabu Safi" (~70%), ikionyesha faida ya kuchangia uwezo wa kiutambuzi wa binadamu.

7. Mfumo wa Uchambuzi na Mfano wa Kesi

Mfumo wa Kutathmini Mpango wa Uhesabu-nguvu wa Binadamu:

  1. Ufafanuzi wa Ingizo: Fafanua wazi umbizo la $s$ (kwa mfano, nambari ya tarakimu 6, kifungu) na $w$ (kwa mfano, jina kamili la kikoa, lebo iliyochaguliwa na mtumiaji).
  2. Uwekaji wa Operesheni: Fafanua mlolongo wa shughuli za kiakili (kwa mfano, "chukua herufi ya 3 na ya 5 ya w, badilisha kuwa nambari, ongeza kwenye tarakimu ya 2 ya s...").
  3. Ujumuishaji wa R: Bainisha jinsi $R$ inavyojumuishwa (kwa mfano, "tumia nambari ya eneo la simu yako ya utotoni kuweka muundo wa kubadilisha herufi").
  4. Umbizo la Matokeo: Eleza jinsi ya kukutana na kanuni za kawaida za nenosiri (kwa mfano, "ikiwa tarakimu ya tatu ya matokeo ni sawa, weka herufi kubwa ya kwanza ya jina la tovuti na uiunge").

Mfano wa Kesi (Hakuna Msimbo): Alice anachagua siri yake ya msingi $s$ kama tarakimu "1984". $R$ yake inahusisha kufikiria alfabeti kila wakati kwa mpangilio wa nyuma (Z=1, Y=2...). Kwa tovuti "bank.com", anachukua herufi ya kwanza na ya mwisho (B, K), anaziweka kupitia alfabeti yake ya nyuma (B->25, K->16), anaziongeza kwenye tarakimu zake za siri (25+1=26, 16+9=25), anatumia mod 26, na kuziweka tena kwenye herufi (26->A, 25->B). Kisha anatumia kanuni yake ya kibinafsi ($R$) ya kuingiza alama baada ya irabu. Nenosiri lake la mwisho kwa bank.com linaweza kuwa "A!B".

8. Matumizi ya Baadaye na Mwelekeo wa Utafiti

  • Mifumo ya Mseto: Kuchanganya kiini kilichohesabiwa na binadamu na kifaa kidogo, salama (kwa mfano, pete ya kisasa) kwa hatua ya mabadiliko ya mwisho, ikiboresha entropi.
  • Uwekaji wa Kawaida na Ufikiaji: Kuunda seti ya algoriti zilizothibitishwa kwa wasifu tofauti wa kiutambuzi na uwezo, zinazoweza kujumuishwa katika mifumo ya kuingia ya mfumo wa uendeshaji.
  • Uthibitishaji Endelevu: Kwa kutumia tofauti ndogo za kazi ya msingi kwa kuzalisha misimbo ya wakati mmoja au mbegu za kibayometriki za tabia.
  • Fikira za Baada ya Quantum: Kuchunguza ikiwa kazi za uhesabu-nguvu za binadamu zinazotegemea matatizo ya kimiani au matatizo mengine magumu ya PQ zinaweza kuundwa, kama ilivyopendekezwa na utafiti wa "ushahidi wa kazi ya binadamu".

9. Marejeo

  1. [3] Uchambuzi wa Usalama wa Wadhibiti Maarufu wa Nenosiri. USENIX Security.
  2. [4] B. Ross, et al. "Uthibitishaji wa Nguvu zaidi wa Nenosiri Kwa Kutumia Viongezi vya Kivinjari." USENIX Security 2005.
  3. [10] Ripoti ya Uchunguzi wa Uvunjaji wa Data ya Verizon. 2023.
  4. [15] "Udhaifu wa Siku Sifuri katika Wadhibiti wa Nenosiri." Wakala wa Usalama wa Kidijitali na Miundombinu (CISA).
  5. [16] Uchunguzi wa Google / Harris Poll. "Uchunguzi wa Usalama Mtandaoni." 2022.
  6. [17] Mienendo ya Utambulisho wa Kidijitali. Dashlane. 2023.
  7. [30] "Nenosiri za Kawaida Zaidi Duniani." NordPass. 2023.
  8. [34] S. Gaw na E. W. Felten. "Mikakati ya Usimamizi wa Nenosiri kwa Akaunti za Mtandaoni." SOUPS 2006.
  9. [37] B. Gassend, et al. "Kazi za Nasibu za Kimwili za Silikoni." CCS 2002. (Karatasi ya msingi ya PUF)
  10. [43] FTC. "Kitabu cha Data cha Mtandao wa Sentinel wa Watumiaji." 2022.
  11. NIST Chapisho Maalum 800-63B: Miongozo ya Utambulisho wa Kidijitali.
  12. Isola, P., et al. "Tafsiri ya Picha-hadi-Picha na Mitandao ya Mashindano ya Masharti." CVPR 2017. (Kwa mlinganisho wa kujifunza uwekaji tata).

10. Uchambuzi wa Mtaalamu na Ukaguzi Muhimu

Ufahamu wa Msingi

Trenchcoat sio mpango mwingine tu wa nenosiri; ni mabadiliko makubwa kutoka kwa usalama wa kibinafsi unaotegemea uhifadhi hadi unaotegemea hesabu. Ufahamu wake wa msingi ni kwamba ubongo wa binadamu, na usanidi wake wa kipekee, usioigwa ($R$), unaweza kuwa "mkoba wa vifaa" salama zaidi wa kutokana na siri—ikiwa tutaunda programu sahihi. Hii inapinga moja kwa moja imani ya kawaida ya tasnia kwamba watumiaji ndio kiungo dhaifu zaidi na lazima waondolewe kwenye mchakato wa usalama kupitia wadhibiti wa nenosiri. Badala yake, inasema kwa kuwapa nguvu mtumiaji kama kochipu ya usimbaji fiche.

Mtiririko wa Kimantiki

Mantiki ya karatasi hii ni ya kulazimisha lakini inafunua mvutano wake mwenyewe. Inaanza kutoka kwa kushindwa kwa mazoea ya sasa (matumizi ya nenosiri moja mara nyingi, nenosiri dhaifu). Inatambua kwa usahihi mzigo wa kiutambuzi kama chanzo cha tatizo. Suluhisho lake—kazi za uhesabu-nguvu za binadamu—ni zuri kwa nadharia: punguza mzigo wa kukumbuka hadi siri moja, weka upekee kwenye hesabu. Hata hivyo, mtiririko huo unakwama unapokabiliwa na tathmini ya adui. Waandishi wanakubali uchambuzi wa kawaida wa usimbaji fiche hautoshi, wakirudi nyuma kwenye makadirio ya entropi. Hii sio kasoro ndogo; ni changamoto kuu. Usalama wa mfumo mzima unategemea ugumu wa kuiga $R$ ya mtu binafsi, madai yanayotegemea zaidi sayansi ya utambuzi kuliko usimbaji fiche unaothibitika. Inakumbusha hoja za mapema za kibayometriki—upekee haufanani moja kwa moja na usalama thabiti, unaoweza kuchambuliwa chini ya shambulio.

Nguvu na Kasoro

Nguvu: Mwelekeo wa ufikiaji na utofauti wa kiutambuzi ni mchango mkubwa, ambao mara nyingi hauangaliwi. Kwa kuunda kwa shughuli za msingi, inaweza kujumuisha watumiaji waliotengwa na kiolesura chenye maandishi mengi au ngumu. Dhana ya PUF ya Kiutambuzi (C-PUF) ni yenye tija kiakili, ikitoa mtazamo mpya wa uthibitishaji wa kipengele cha kibinadamu. Utafiti wa watumiaji, ingawa wa kiasi cha wastani, hutoa uthibitisho muhimu wa ulimwengu halisi ambao haupo katika mapendekezo mengi ya kinadharia tu.

Kasoro: "Sanduku la weusi" la R ni upanga wenye makali mawili. Ikiwa $R$ ni rahisi sana au inatabirika (kwa mfano, "Mimi hutumia siku yangu ya kuzaliwa kila wakati"), usalama unaporomoka. Ikiwa ni ngumu sana, kukumbuka kunashindwa. Hakuna mwongozo kwa watumiaji kuchagua $R$ "yenye nguvu". Kutopatana kwa Sera ni kifo cha vitendo. Ikiwa tovuti inahitaji nenosiri la herufi 16 na alama mbili, je, algoriti ya kiakili ya mtumiaji inaweza kurekebishwa kwa uaminifu? Karatasi hii haiangalii hili. Hatimaye, uvumilivu wa makosa ni sifuri. Kosa katika hatua moja ya kiakili kwa uwezekano mkubwa huleta nenosiri lisilo sahihi lisiloweza kurekebishwa, tofauti na nakala-pepsi ya msimamizi.

Ufahamu Unaotekelezeka

Kwa Wasanifu wa Usalama: Usipuuze hii kama ya kitaaluma. Anza mbinu iliyochochewa na Trenchcoat kwa akaunti za ndani za majaribio ambapo wadhibiti wa nenosiri wanakatazwa. Tumia ili kujaribu dhana ya nguvu ya "siri ya kiutambuzi". Kwa Watafiti wa UX: Algoriti hapa ni hazina ya dhahabu ya kujifunza jinsi mitindo tofauti ya kiutambuzi inavyokaribia utatuzi wa matatizo. Shirikiana ili kuunda tasnifu ya aina za $R$. Kwa Miili ya Viwango (NIST, FIDO): Angalia nafasi hii. Kizazi kijacho cha miongozo ya uthibitishaji lazima kizingatie miundo mseto. Anzisha kikundi cha kazi kuhusu "Vitu vya Msingi vya Usimbaji Fiche Vinavyosaidiwa na Binadamu" ili kuanzisha mifumo ya tathmini, ukiondoka zaidi ya entropi hadi miundo thabiti ya vitisho inayojumuisha uhandisi wa kijamii na uvujaji wa sehemu ya $R$. Hitimisho la mwisho: Trenchcoat huenda isiwe jibu la mwisho, lakini inaweka upya swali kwa ustadi. Mustakabali wa uthibitishaji wa kibinafsi haupo katika kuondoa binadamu, lakini katika kubuni upya kiolesura kati ya usimbaji fiche na utambuzi.