1 Utangulizi

Kupima nguvu ya nywila kwa usahihi ni muhimu kwa kuhakikisha usalama wa mifumo ya uthibitishaji, lakini vipima vya jadi havifai kuwafundisha watumiaji. Karatasi hii inatanguliza kipima cha kwanza cha nguvu ya nywila kinachoeleweka kwa uwezekano kinachotumia kujifunza kina kutoa maoni ya usalama kwa kiwango cha herufi.

2 Kazi Zinazohusiana & Msingi

2.1 Vipima vya Nywila vya Heuristic

Vipima vya awali vya nguvu ya nywila vilitegemea heuristics rahisi kama LUDS (kuhesabu herufi ndogo, herufi kubwa, nambari, alama) au ufafanuzi wa entropy ad-hoc. Mbinu hizi zina kasoro ya msingi kwa sababu hazitumii muundo halisi wa usambazaji wa uwezekano wa nywila na zinahusika na uchezaji na watumiaji.

2.2 Miundo ya Nywila ya Uwezekano

Mbinu za hivi karibuni hutumia miundo ya uwezekano kama minyororo ya Markov, mitandao ya neva, na PCFGs kukadiria uwezekano wa nywila. Ingawa ni sahihi zaidi, miundo hii ni masanduku meusi ambayo hutoa tu alama za usalama zisizoeleweka bila maoni yanayoweza kutekelezwa.

3 Njia: Vipima Vinavyoeleweka Kwa Uwezekano

3.1 Uundaji wa Kihisabati

Ubunifu mkuu ni kugawanya uwezekano wa pamoja wa nywila kuwa michango ya kiwango cha herufi. Kwa kuzingatia nywila $P = c_1c_2...c_n$, uwezekano $Pr(P)$ unakadiriwa kwa kutumia muundo wa uwezekano wa neva. Mchango wa usalama wa herufi $c_i$ unafafanuliwa kama:

$S(c_i) = -\log_2 Pr(c_i | c_1...c_{i-1})$

Hii hupima mshangao (maudhui ya habari) ya kila herufi ikizingatiwa muktadha wake, ikitoa tafsiri ya uwezekano wa nguvu ya herufi.

3.2 Utekelezaji wa Kujifunza Kina

Waandishi wanaitekeleza hii kwa kutumia muundo wa mtandao wa neva mwepesi unaofaa kwa utendakazi wa upande wa mteja. Muundo hutumia ulaji wa herufi na safu za LSTM/Transformer kukamata utegemezi wa mloloto huku ukidumisha ufanisi.

4 Matokeo ya Majaribio & Tathmini

4.1 Seti ya Data & Mafunzo

Majaribio yalifanywa kwenye seti kubwa za data za nywila (RockYou, uvunjaji wa LinkedIn). Muundo ulifunzwa kupunguza uwezekano hasi wa logi huku ukidumisha vikwazo vya uelewevu.

4.2 Uonyeshaji wa Maoni ya Kiwango cha Herufi

Kielelezo 1 kinaonyesha utaratibu wa maoni: "iamsecure!" hapo awali ni dhaifu (herufi nyingi nyekundu). Mtumiaji anapobadilisha herufi kulingana na mapendekezo ("i"→"i", "a"→"0", "s"→"$"), nywila inakuwa imara zaidi na herufi nyingi za kijani kibichi.

Tafsiri ya Kielelezo 1: Maoni yaliyopangiwa rangi yanaonyesha michango ya usalama kwa kiwango cha herufi. Nyekundu inaonyesha muundo unaotabirika (mabadilisho ya kawaida), kijani kibichi kinaonyesha herufi zenye mshangao mkubwa ambazo huboresha usalama kwa kiasi kikubwa.

4.3 Usalama dhidi ya Usawazishaji wa Utumiaji

Mfumo unaonyesha kwamba watumiaji wanaweza kufikia nywila ngumu na mabadiliko madogo (mabadilisho ya herufi 2-3) wanapoelekezwa na maoni ya kiwango cha herufi, ikiboresha sana ikilinganishwa na uzalishaji wa nywila nasibu au utekelezaji wa sera.

5 Mfumo wa Uchambuzi & Uchunguzi wa Kesi

Mtazamo wa Mchambuzi wa Sekta

Uelewa wa Msingi: Karatasi hii inabadilisha kimsingi dhana kutoka kupima nguvu ya nywila hadi kufundisha nguvu ya nywila. Mafanikio makubwa si muundo wa neva—ni kutambua kwamba miundo ya uwezekano kimsingi ina habari inayohitajika kwa maoni ya kina, ikiwa tu tunauliza maswali sahihi. Hii inalingana na harakati pana ya AI inayoelezeka (XAI) inayoonyeshwa na kazi kama za Ribeiro et al. "Kwa Nini Ninapaswa Kukuamini?" (2016), lakini inaitumia kwenye eneo muhimu ambalo halijatumika vya kutosha: usalama wa kila siku wa mtumiaji.

Mtiririko wa Kimantiki: Hoja inaendelea kwa ustadi: (1) Vipima vya sasa vya uwezekano ni sahihi lakini ni masanduku meusi yasiyoeleweka; (2) Uzito wa uwezekano unaokadiriwa sio wa umoja—inaweza kugawanywa kwenye mloloto; (3) Mgawanyiko huu unalingana moja kwa moja na michango ya usalama ya kiwango cha herufi; (4) Michango hii inaweza kuonyeshwa kwa urahisi. Uundaji wa kihisabati $S(c_i) = -\log_2 Pr(c_i | context)$ ni mzuri sana—hubadilisha hali ya ndani ya muundo kuwa akili inayoweza kutekelezwa.

Nguvu & Kasoro: Nguvu haiwezi kukataliwa: kuunganisha usahihi na uelewevu kwenye kifurushi cha upande wa mteja. Ikilinganishwa na vipima vya heuristic vinavyoshindwa dhidi ya washambuliaji wanaoendana (kama inavyoonyeshwa katika utafiti wa Ur et al. wa 2012 SOUPS), mbinu hii inadumisha ukali wa uwezekano. Hata hivyo, karatasi haionyeshi kwa kiasi kikubwa kasoro muhimu: uelewevu wa adui. Ikiwa washambuliaji wanaelewa kinachofanya herufi ziwe "kijani kibichi," wanaweza kucheza mfumo. Utaratibu wa maoni unaweza kuunda muundo mpya unaotabirika—suala lile lile analokusudia kutatua. Waandishi wanataja mafunzo kwenye seti kubwa za data, lakini kama utafiti wa Bonneau wa 2012 Cambridge ulivyoonyesha, usambazaji wa nywila hubadilika, na muundo thabiti unaweza kuwa hatari ya usalama.

Uelewa Unaoweza Kutekelezwa: Timu za usalama zinapaswa kuona hii sio tu kama kipima bora, lakini kama zana ya mafunzo. Itekelezee katika mazingira ya hatua ya maandalizi ili kuwafundisha watumiaji kabla ya kutumika kwenye uzalishaji. Iunganishe na hifadhidata za uvunjaji (kama HaveIBeenPwned) kwa maoni ya nguvu. Muhimu zaidi, chukua upangaji rangi kama hatua ya kuanzia—badilisha kulingana na jinsi washambuliaji wanavyojikimu. Siku zijazi sio tu vipima vinavyoeleweka, lakini vipima vinavyoeleweka vinavyojikimu vinavyojifunza kutokana na muundo wa mashambulizi.

Uchambuzi wa Mfano: Nywila "Secure123!"

Kwa kutumia mfumo, tunachambua muundo wa kawaida wa nywila:

  • S: Usalama wa wastani (herufi kubwa ya kuanzia ni ya kawaida)
  • ecure: Usalama wa chini (neno la kawaida la kamusi)
  • 123: Usalama wa chini sana (mloloto wa nambari unaotumika sana)
  • !: Usalama wa chini (nafasi ya kawaida ya alama)

Mfumo ungependekeza: badilisha "123" na nambari nasibu (mfano, "409") na usogeze "!" kwenye nafasi isiyo ya kawaida, ikiboresha nguvu kwa kiasi kikubwa na mzigo mdogo wa kukumbuka.

6 Matumizi ya Baadaye & Mwelekeo wa Utafiti

  • Maoni ya Nguvu Yanayojikimu: Vipima vinavyosasisha mapendekezo kulingana na muundo unaoibuka wa mashambulizi
  • Ujumuishaji wa Sababu Nyingi: Kuchanganya maoni ya nywila na biometriki ya tabia
  • Matumizi ya Biashara: Miundo maalum iliyofunzwa kwenye sera maalum za nywila za shirika
  • Ujumuishaji wa Msimamizi wa Nywila: Mifumo ya mapendekezo ya kutabiri ndani ya wasimamizi wa nywila
  • Ubadilishaji wa Lugha Nyingi: Miundo iliyoboreshwa kwa muundo wa nywila zisizo za Kiingereza

7 Marejeo

  1. Pasquini, D., Ateniese, G., & Bernaschi, M. (2021). Interpretable Probabilistic Password Strength Meters via Deep Learning. arXiv:2004.07179.
  2. Ribeiro, M. T., Singh, S., & Guestrin, C. (2016). "Why Should I Trust You?": Explaining the Predictions of Any Classifier. Proceedings of the 22nd ACM SIGKDD International Conference on Knowledge Discovery and Data Mining.
  3. Ur, B., et al. (2012). How Does Your Password Measure Up? The Effect of Strength Meters on Password Creation. USENIX Security Symposium.
  4. Bonneau, J. (2012). The Science of Guessing: Analyzing an Anonymized Corpus of 70 Million Passwords. IEEE Symposium on Security and Privacy.
  5. Weir, M., et al. (2009). Password Cracking Using Probabilistic Context-Free Grammars. IEEE Symposium on Security and Privacy.
  6. Melicher, W., et al. (2016). Fast, Lean, and Accurate: Modeling Password Guessability Using Neural Networks. USENIX Security Symposium.