Chagua Lugha

Trenchcoat: Algoriti za Uhesabu-nguvu za Binadamu kwa Uundaji wa Nenosiri

Uchambuzi wa kazi za uhesabu-nguvu za binadamu kwa ajili ya kutengeneza nenosiri, kwa kutumia kumbukumbu ya mshikamano kwa usalama bila meneja wa nenosiri.
computationalcoin.com | PDF Size: 0.9 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - Trenchcoat: Algoriti za Uhesabu-nguvu za Binadamu kwa Uundaji wa Nenosiri
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » Trenchcoat: Algoriti za Uhesabu-nguvu za Binadamu kwa Uundaji wa Nenosiri

1. Utangulizi

Mazingira ya kisasa ya kidijitali yanahitaji watu binafsi kudhibiti idadi kubwa ya akaunti za mtandaoni (90-130 kwa wastani), na kusababisha mazoea yasiyo salama ya nenosiri kama vile kutumia tena na muundo unaotabirika. Suluhisho za jadi—kanuni ngumu za nenosiri na meneja wa nenosiri—mara nyingi hushindwa kwa sababu ya mzigo mkubwa wa utambuzi au udhaifu wa usalama. Karatasi hii inatangaza Trenchcoat, mfano mpya wa kazi za uhesabu-nguvu za binadamu zilizoundwa kutengeneza nenosiri salama na la kipekee kwa kila tovuti kutoka kwa siri kuu moja, ikifanywa kiakili na mtumiaji.

2. Tatizo la Mbinu za Sasa za Nenosiri

Watumiaji wanakabiliwa na mahitaji yanayokinzana: tengeneza nenosiri lisilotabirika, la kipekee kwa mamia ya tovuti huku ukikumbuka yote. Hii husababisha:

  • Kutumia Tena Nenosiri: Zaidi ya 50% ya nenosiri hutumiwa tena kwenye akaunti nyingi.
  • Muundo Unaotabirika: Matumizi ya maneno ya kawaida, majina, na uingizwaji rahisi.
  • Udhaifu wa Meneja: Meneja wa nenosiri ni lengo la mara kwa mara la uvamizi wa siku sifuri.
  • Mzigo Mkubwa wa Utambuzi: Kanuni ngumu hupuuzwa kwa ajili ya urahisi, na kudhoofisha usalama.

Usawazishaji kati ya uwezo wa kukumbuka na usalama bado ndio tatizo kuu lisilosuluhishwa katika uthibitishaji.

3. Mfumo wa Trenchcoat

Trenchcoat inapendekeza kuhama hesabu kutoka kwenye kifaa hadi akilini ya mtumiaji, kwa kutumia kazi zilizoboreshwa kwa utambuzi wa binadamu.

3.1. Dhana ya Msingi: Kazi za Uhesabu-nguvu za Binadamu

Kazi ya msingi imefafanuliwa kama $F_R(s, w) \rightarrow y$, ambapo:

  • $s$: Siri kuu ya mtumiaji (si lazima iwe mfuatano wa herufi).
  • $w$: Kitambulisho cha tovuti/akaunti (mfano: "google.com").
  • $R$: Usanidi wa kipekee wa mtumiaji wa kumbukumbu ya mshikamano na ya ndani.
  • $y$: Nenosiri lililotengenezwa (siri ndogo).

Kazi $F$ imewekwa vigezo na $R$, na kufanya iwe ya kipekee kwa kila mtu na ngumu kwa adui kuiga au kuthibitisha.

3.2. Kuchukua Faida ya Kumbukumbu ya Mshikamano na ya Ndani (R)

Ubunifu mkuu ni kujumuisha $R$—muundo wa kipekee wa kumbukumbu ya mtumiaji, ikiwa ni pamoja na mshikamano wa kibinafsi, ukumbushaji wa anga, na ujuzi wa ndani. Hii hufanya kazi kama Kazi ya Kimwili Isiyoweza Kuigwa (PUF) ya Kiutambuzi. Adui asiye na ujuzi wa $R$ hawezi kuhesabu $F_R$ kwa ufanisi, hata kama $s$ na $w$ zinajulikana.

3.3. Mifano ya Kazi na Shughuli za Msingi

Algoriti zilizopendekezwa zinahitaji shughuli za msingi tu, zinazoweza kufikiwa:

  • Hesabu: Nyongeza rahisi, shughuli za modulo kwenye tarakimu zinazotokana na $s$ na $w$.
  • Usafiri wa Anga: Kupitia kiakili nyumba ya kumbukumbu ya kibinafsi au gridi.
  • Utafutaji wa Muundo: Kutafuta mfuatano ndani ya maandishi au picha ya kiakili ya kibinafsi.

Hizi hufanya mfumo uweze kufikiwa na watu wenye utambuzi tofauti na wenye uwezo tofauti.

4. Uchambuzi wa Usalama na Mbinu

Uchambuzi wa kawaida wa usimbuaji hautoshi. Trenchcoat inatumia mbinu anuwai:

4.1. Tathmini Kulingana na Entropi

Usalama hupimwa kwa entropi bora inayoletwa na kazi $F_R$ na siri kuu $s$. Lengo ni kuhakikisha nafasi ya matokeo ya $y$ ni kubwa ya kutosha kukinga mashambulizi ya nguvu na ya kamusi, kwa kuzingatia vikwazo vya hesabu ya binadamu.

4.2. Ulinganisho na Usimbuaji wa Kawaida na PUFs

Mfumo huu unafanana na PUF [37], ambapo $R$ ndio msingi wa "kimwili" usioweza kuigwa. Tofauti na PUFs za dijiti, $R$ ni muundo wa kiutambuzi. Hii hutoa usalama kupitia utata wa mchakato badala ya siri ya algoriti, mfano unaogombwa lakini unaoweza kufanya kazi kwa mfano huu maalum wa tishio (wavamiaji wa mbali).

5. Matokeo ya Majaribio na Utafiti wa Watumiaji

5.1. Mbinu ya Uchunguzi (n=134)

Utafiti wa watumiaji ulifanywa ambapo washiriki 134 kila mmoja alijaribu mipango miwili ya Trenchcoat. Utafiti ulitathmini uwezo wa kukumbuka siri kuu, muda wa kutengeneza nenosiri, viwango vya makosa, na uwezo wa matumizi wa kibinafsi.

5.2. Matokeo ya Utendaji na Uwezo wa Matumizi

Matokeo ya awali yalionyesha kuwa watumiaji wangeweza kutengeneza nenosiri kwa uaminifu baada ya kipindi kifupi cha mafunzo. Mipango kulingana na kumbukumbu ya anga ilionyesha viwango vya chini vya makosa kwa baadhi ya watumiaji. Mzigo wa utambuzi uliripotiwa kuwa chini sana kuliko kudhibiti nenosiri nyingi za kipekee, lakini juu kuliko kutumia tena nenosiri rahisi.

Ufahamu wa Chati (Dhana): Chati ya mfano ya baa ingeonyesha "Muda wa Kutengeneza Nenosiri" ukipungua kwa mazoezi katika majaribio 5 kwa mbinu za Trenchcoat, huku "Usahihi wa Kukumbuka" ukibaki juu (>90%). Mstari wa kulinganisha wa "Kukumbuka Nenosiri la Kawaida Lisilotabirika" ungeonyesha kupungua kwa kasi kwa kipindi cha siku 7.

5.3. Uchunguzi wa Sera za Nenosiri za Tovuti (n=400)

Uchunguzi wa tovuti 400 ulifunua sera za nenosiri zisizo sawa na mara nyingi zinazokinzana, na kuimarisha ugumu wa mtumiaji katika kufuata na kuhalalisha hitaji la mbinu ya uundaji ya umoja, inayolenga mtumiaji kama Trenchcoat.

6. Maelezo ya Kiufundi na Mfumo wa Kihisabati

Fikiria kazi rahisi ya Trenchcoat inayotegemea hesabu:

  1. Panga siri kuu $s$ na tovuti $w$ kwenye mfuatano wa nambari (mfano: kwa kutumia siri ya kibinafsi).
  2. Fanya mfululizo wa shughuli zilizowekwa mapema, zinazotegemea $R$. Mfano: $y_i = (s_i + w_i + k_i) \mod 10$, ambapo $k_i$ ni tarakimu inayotokana na nafasi ya $i^{th}$ ya kichocheo cha kumbukumbu ya kibinafsi (sehemu ya $R$).
  3. Unganisha matokeo $y_i$ na utumie kanuni ya mwisho ya kibinafsi (mfano: herufi kubwa inayolingana na jumla ya tarakimu zote).

Usalama unategemea entropi ya $s$ na mchanganyiko usio wa mstari, maalum kwa mtumiaji unaoletwa na $R$.

7. Mfumo wa Uchambuzi na Kesi ya Mfano

Kesi ya Utafiti: Kutathmini Kazi ya Trenchcoat ya Usafiri wa Anga

Mfumo: Tumia miongozo ya NIST SP 800-63B kwa siri zilizokumbukwa kama msingi, lakini ongeza na vipimo vya saikolojia ya utambuzi.

  1. Mfano wa Tishio: Mvamiaji wa mbali anaye na mkusanyiko mkubwa wa uvamizi. Hawezi kuona mchakato wa kiakili wa mtumiaji ($R$).
  2. Kadirio la Entropi: Hesabu entropi ya Shannon ya matokeo $y$ si kutoka kwa algoriti pekee, bali kutoka kwa mtazamo wa mvamiaji, ambaye lazima akisadiki $R$. Mfano $R$ kama uteuzi kutoka kwa nafasi kubwa ya muundo wa utambuzi.
  3. Kupima Uwezo wa Matumizi: Pima kiwango cha mafanikio baada ya wiki 1 bila mazoezi. Linganisha na kukumbuka meneja wa nenosiri na kukumbuka nenosiri wazi.
  4. Uchambuzi wa Ustahimilivu: Jaribu ikiwa kuvamiwa kwa $y$ kwa tovuti moja $w_1$ kunatoa taarifa kuhusu $s$ au $R$ ambayo inadhoofisha $y$ kwa tovuti nyingine $w_2$. Hii ndio hitaji la msingi la kriptografia ya kazi ya uhesabu-nguvu.

Hakuna msimbo unaohitajika kwa uchambuzi huu; ni mbinu ya tathmini iliyopangwa.

8. Uchambuzi Muhimu na Mtazamo wa Sekta

Ufahamu wa Msingi: Trenchcoat sio mpango mwingine tu wa nenosiri; ni dau kali kwamba utofauti wa utambuzi unaweza kuwa msingi wa kriptografia. Inajaribu kuweka rasmi "algoriti ya kibinafsi" ambayo watumiaji wengi wenye ufahamu wa usalama tayari wanatumia kwa njia isiyoeleweka, na kugeuza udhaifu (utabiri wa binadamu) kuwa nguvu (umakini wa binadamu).

Mkondo wa Mantiki: Mantiki inavutia lakini inategemea mnyororo dhaifu. 1) Watumiaji lazima waunde $s$ yenye nguvu, inayokumbukika—tatizo la zamani kabisa lisilosuluhishwa. 2) Usanidi wa $R$ lazima uwe thabiti kwa muda na katika mazingira tofauti (msongo, uchovu). Sayansi ya neva inaonyesha ukumbushaji wa kumbukumbu sio kazi ya lazima [kama changamoto-jibu ya PUF ya dijiti]; ina kelele na inategemea mazingira. 3) Hoja ya usalama inategemea kutowezekana kwa kuiga $R$. Hata hivyo, uchambuzi wa tabia na AI zinazoboresha uwezo wa kuiga muundo wa utambuzi wa kibinafsi kutoka kwa alama za dijiti.

Nguvu na Kasoro: Nguvu yake kubwa ni kupita eneo la mashambulizi la meneja wa nenosiri. Hakuna hifadhidata ya kuibiwa, hakuna nenosiri kuu la kudanganywa. Kasoro yake ni kutokubaliwa na urejeshaji. Ikiwa mtumiaji anasahau mchakato wao wa $R$ baada ya jeraha la kichwa au tu baada ya muda, nenosiri zote zilizotokana zinapoteza kabisa—janga ikilinganishwa na chaguzi za kurejesha meneja wa nenosiri. Zaidi ya hayo, kama ilivyoelezwa katika utafiti wa msingi wa usalama wa utambuzi, "kipengele cha kazi" kwa binadamu kimewekwa na ni cha chini, na kuzuia kuongezeka kwa entropi ikilinganishwa na kriptografia inayotegemea silikoni.

Ufahamu Unaoweza Kutekelezwa: Kwa wasanifu wa usalama wa biashara, Trenchcoat sio suluhisho tayari kutumika bali ni mwelekeo muhimu wa utafiti. Jaribu katika mazingira ya ndani yenye hatari ya chini ili kukusanya data ya muda mrefu juu ya uthabiti wa utambuzi. Kwa watafiti, kipaumbele ni kupima kwa ukali entropi ya $R$. Shirikiana na wanasayansi wa neva kubuni majaribio yanayopima uthabiti na umakini wa kazi zilizopendekezwa zinazotegemea kumbukumbu. Sekta lazima iende zaidi ya uchunguzi rahisi wa watumiaji hadi majaribio yaliyodhibitiwa ambayo yanaweka eneo halisi la mashambulizi, labda kwa kutumia mifumo kutoka kwa masomo ya mashine ya adui kuiga mvamiaji anayejaribu kukisia $R$.

9. Matumizi ya Baadaye na Mwelekeo wa Utafiti

  • Mifumo ya Mseto: Unganisha matokeo ya Trenchcoat yenye entropi ya chini na ufunguo wa entropi ya juu ulio na kifaa kwa suluhisho la sababu nyingi.
  • Biometriki ya Utambuzi: Tumia mchakato wa kutekeleza $F_R$ kama kipengele cha uthibitishaji endelevu, kugundua mabadiliko ikiwa "sahihi" ya utambuzi inabadilika.
  • Uandali wa Baada ya Quantum: Chunguza ikiwa kazi za uhesabu-nguvu za binadamu zinazotegemea matatizo magumu kwa AI lakini rahisi kwa binadamu (kazi fulani za mantiki ya anga) zinaweza kutoa usalama wa muda mrefu.
  • Usanifu Unaolenga Ufikiaji: Unda kazi maalum kwa watumiaji wenye wasifu maalum wa utambuzi au kimwili, na kugeuza mahitaji ya ufikiaji kuwa vipengele vya usalama.
  • Juhudi za Kuanzisha Viwango: Anza kazi kwenye mfumo wa kuelezea na kutathmini kazi za uhesabu-nguvu za binadamu, sawa na jukumu la NIST katika kriptografia ya kawaida.

10. Marejeo

  1. Rooparaghunath, R. H., Harikrishnan, T. S., & Gupta, D. (2023). Trenchcoat: Human-Computable Hashing Algorithms for Password Generation. arXiv preprint arXiv:2310.12706.
  2. Bonneau, J., Herley, C., van Oorschot, P. C., & Stajano, F. (2012). The quest to replace passwords: A framework for comparative evaluation of web authentication schemes. IEEE Symposium on Security and Privacy.
  3. NIST. (2017). Digital Identity Guidelines: Authentication and Lifecycle Management (SP 800-63B).
  4. Ur, B., et al. (2016). Design and evaluation of a data-driven password meter. CHI.
  5. Pearman, S., et al. (2017). Let's go in for a closer look: Observing passwords in their natural habitat. CCS.
  6. Garfinkel, S. (2005). Design Principles and Patterns for Computer Systems That Are Simultaneously Secure and Usable. PhD Thesis.
  7. M'Raihi, D., et al. (2011). TOTP: Time-Based One-Time Password Algorithm (RFC 6238).
  8. Neuroscience of Memory Review. (2022). Annual Review of Psychology.
  9. Pappas, C., et al. (2022). On the Stability of Behavioral Biometrics. IEEE Transactions on Biometrics, Behavior, and Identity Science.