Chagua Lugha

MFDPG: Usimamizi wa Nywila Wenye Sababu Nyingi na Uzalishaji Thabiti Bila Siri Zilizohifadhiwa

Uchambuzi wa mfumo mpya wa usimamizi wa nywila unaotumia utengenezaji wa ufunguo wenye sababu nyingi na uzalishaji thabiti kuondoa uhifadhi wa hati na kuboresha utambulisho wa zamani.
computationalcoin.com | PDF Size: 0.3 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - MFDPG: Usimamizi wa Nywila Wenye Sababu Nyingi na Uzalishaji Thabiti Bila Siri Zilizohifadhiwa
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » MFDPG: Usimamizi wa Nywila Wenye Sababu Nyingi na Uzalishaji Thabiti Bila Siri Zilizohifadhiwa

1. Utangulizi na Muhtasari

Nywila bado ndio utaratibu mkuu wa uthibitishaji, lakini usimamizi wao ni changamoto kubwa ya usalama. Wasimamizi wa nywila wa jadi huunda vituo vya kati vya kushindwa, kama ilivyothibitishwa na uvunjaji kama wa LastPass. Vizalishaji Thabiti vya Nywila (DPG) vimependekezwa kwa zaidi ya miaka ishirini kama njia mbadala, vikitengeneza nywila za kipekee kwa kila tovuti kutoka kwa siri kuu na jina la kikoa, na kuondoa uhifadhi. Hata hivyo, DPG zilizopo zinakabiliwa na kasoro kubwa za usalama, faragha, na utumiaji ambazo zimezuia kupitishwa kwa wingi.

Makala hii inatanguliza Kizalishaji Thabiti cha Nywila chenye Sababu Nyingi (MFDPG), ubunifu mpya unaokabiliana na upungufu huu. MFDPG hutumia utengenezaji wa ufunguo wenye sababu nyingi kuimarisha siri kuu, hutumia miundo ya data ya uwezekano kwa kufutwa kwa nywila kwa usalama, na hutumia uvumbuzi wa otomata thabiti (DFA) kufuata sera ngumu za nywila. Matokeo yake ni mfumo ambao hauhitaji uhifadhi wa siri upande wa mteja au seva huku ukifanya kazi kama uboreshaji upande wa mteja kwa tovuti dhaifu za nywila pekee hadi uthibitishaji wenye nguvu wenye sababu nyingi.

Takwimu Muhimu

  • DPG 45 Zilizopo Zilizochambuliwa: Uchunguzi kamili wa kazi za awali.
  • Uchangamano 100%: MFDPG ilitathminiwa dhidi ya programu 100 bora za wavuti.
  • Siri Zilizohifadhiwa Sifuri: Huondoa udhaifu wa kituo kikuu cha uhifadhi.

2. Uchambuzi wa DPG Zilizopo

Makala hii inachunguza mapendekezo 45 ya awali ya DPG (k.m., PwdHash) kutambua kasoro za kimfumo.

2.1 Kasoro za Usalama na Faragha

Udhaifu Mkuu: DPG nyingi hutumia nywila kuu moja. Ikiwa nywila yoyote iliyotengenezwa kwa tovuti itavunjwa, inaweza kutumika kushambulia moja kwa moja na uwezekano wa kupata nywila kuu kupitia mashambulizi ya nje ya mtandao ya nguvu kali au ya kamusi. Hii inakiuka kanuni ya uhuru wa siri.

Uvujaji wa Faragha: DPG rahisi zinaweza kuvuja mifumo ya matumizi ya huduma. Kitendo cha kutengeneza au kubadilisha nywila kwa kikoa maalum kinaweza kudhaniwa, na kuvunja faragha ya mtumiaji.

2.2 Vikwazo vya Utumiaji

Mzunguko wa Nywila: Kubadilisha nywila kwa tovuti moja kwa kawaida kunahitaji kubadilisha siri kuu, ambayo kisha hubadilisha nywila zote zilizotokana—uzoefu usio wa vitendo wa mtumiaji.

Kufuata Sera: DPG nyingi hutoa nywila za muundo maalum, zisizoweza kukabiliana na sera tofauti na ngumu za nywila za tovuti (k.m., kuhitaji herufi maalum, urefu maalum, au kukataa alama fulani).

3. Ubunifu wa MFDPG

MFDPG inatanguliza uvumbuzi mkuu watatu kuondokana na vikwazo hivi.

3.1 Utengenezaji wa Ufunguo Wenye Sababu Nyingi

Badala ya nywila kuu moja, MFDPG hutumia kitendakazi cha utengenezaji wa ufunguo chenye sababu nyingi (MFKDF). Ufunguo wa mwisho $K$ unatokana na sababu nyingi:

$K = \text{MFKDF}(\text{Nywila}, \text{Mbegu ya TOTP}, \text{Ufunguo wa Usalama PubKey}, ...)$

Njia hii inainua gharama ya shambulio kwa kiasi kikubwa. Kuvunja nywila ya tovuti hakufunuhi chochote kuhusu mbegu ya TOTP au ufunguo wa vifaa, na kufanya mashambulizi ya nje ya mtandao dhidi ya nywila kuu kuwa yasiyowezekana. Kwa ufanisi, huboresha tovuti za nywila pekee hadi MFA.

3.2 Vichujio vya Cuckoo kwa Kufutwa

Ili kutatua mzunguko wa nywila kwa tovuti binafsi bila kubadilisha sababu kuu, MFDPG hutumia Kichujio cha Cuckoo—muundo wa data wa uwezekano. Hashi ya nywila iliyofutwa huwekwa kwenye kichujio cha upande wa mteja. Wakati wa kutengeneza nywila, mfumo hukagua kichujio na, ikiwa mgongano umepatikana, hutumia kiwango kwa mfululizo (k.m., $\text{Hash}(\text{Kikoa} || \text{kiwango})$) hadi nywila isiyofutwa ipatikane. Hii inaruhusu kufutwa kwa kila tovuti bila kuhifadhi orodha ya maandishi wazi ya tovuti zilizotumiwa, na kuhifadhi faragha.

3.3 Uzalishaji wa Nywila Kulingana na DFA

Ili kukidhi sera za kiholela za nywila zinazotegemea usemi wa kawaida, MFDPG inaiga sera kama Otomata Thabiti (DFA). Kizalishaji hutumia kizalishaji cha nambari bandia chenye usalama wa kriptografia (CSPRNG), kilichopandwa na ufunguo uliotokana $K$ na kikoa, kuvumbua DFA, na kutoa herufi zinazolingana na mabadiliko halali ya hali. Hii inahakikisha nywila ya pato ni ya kipekee kwa kila kikoa na inahakikishwa kufuata sera maalum.

4. Tathmini na Matokeo

Waandishi walifanya tathmini ya vitendo ya MFDPG:

  • Uchangamano: Mfumo ulijaribiwa dhidi ya sera za nywila za tovuti 100 maarufu zaidi. Kizalishaji kinachotegemea DFA kiliunda kwa mafanikio nywila zinazofuata kwa tovuti zote, na kuonyesha utendaji wa ulimwengu wote.
  • Uchambuzi wa Usalama: Matumizi ya MFKDF yalionyesha kupunguza mashambulizi ya nywila kuu hata ikiwa nywila nyingi za tovuti zimevujwa. Ubunifu wa Kichujio cha Cuckoo huzuia uvujaji wa mifumo ya matumizi ya huduma kwa kiwango cha makosa kinachoweza kurekebishwa.
  • Utendaji: Shughuli kwenye kifaa (utengenezaji wa ufunguo, ukaguzi wa kichujio, uvumbuzi wa DFA) huongeza ucheleweshaji usio na maana (milisekunde) kwenye mchakato wa kuingia, na kuifanya ifae kwa matumizi ya ulimwengu halisi.

Maana ya Chati: Chati ya mfano ya mhimili ingeonyesha gharama ya shambulio (katika miaka ya kompyuta) kwenye mhimili wa Y, ikilinganisha "DPG ya Jadi (Sababu Moja)" na "MFDPG (Sababu Nyingi)". Mhimili wa MFDPG ungekuwa wa juu zaidi kwa maagizo mengi, na kuonyesha wazi uboreshaji wake wa usalama.

5. Uelewa Mkuu wa Mchambuzi

Uelewa Mkuu: MFDPG sio tu msimamizi mwingine wa nywila; ni njia ya kimkakati ya kuzunguka kushindwa kwa kimfumo kwa kupitishwa kwa uthibitishaji wa wavuti. Wakati Muungano wa FIDO unasukuma kuelekea siku zijazo bila nywila, MFDPG inakubali kwa vitendo kwamba nywila za zamani zitaendelea kuwepo kwa miongo kadhaa. Ujanja wake upo katika kuruhusu mtumiaji kutekeleza MFA kwa tovuti yoyote, bila kusubiri mtoa huduma kuboresha miundombinu yao—mfano wa kawaida wa uvumbuzi upande wa mteja unaolazimisha viwango vya ukweli, kama ilivyokuwa na HTTPS Everywhere ilivyosukuma kupitishwa kwa usimbuaji.

Mtiririko wa Mantiki: Hoja ya makala ni ya kulazimisha: 1) Hati zilizohifadhiwa ni mzigo (kama ilivyothibitishwa na uvunjaji). 2) DPG za zamani zilikuwa na mantiki ya kinadharia lakini zilikuwa na kasoro za vitendo. 3) Kwa hivyo, suluhisho ni kuongeza mfano wa DPG na miundo ya kisasa ya kriptografia (MFKDF) na miundo ya data (Vichujio vya Cuckoo). Mantiki ni safi, ikisonga kutoka utambuzi wa shida hadi suluhisho lililounganishwa ambalo linakabiliana moja kwa moja na kila kasoro iliyotambuliwa.

Nguvu na Kasoro: Nguvu kuu ni mabadiliko yake mazuri ya mfano wa tishio. Kwa kuunganisha siri kwa sababu nyingi, inasogeza eneo la shambulio kutoka "kuiba nywila moja" hadi "kuvunja sababu nyingi huru," jukumu gumu zaidi kama ilivyoelezwa katika Mwongozo wa Utambulisho wa Dijital wa NIST (SP 800-63B). Matumizi ya Kichujio cha Cuckoo ni urekebishaji mwembamba, unaohifadhi faragha kwa kufutwa. Hata hivyo, kasoro muhimu ni kutegemea ufahamu wa sera upande wa mteja. Mtumiaji lazima ajue/aanzishe sera ya nywila ya kila tovuti kwa DFA kufanya kazi, na kuunda kikwazo cha utumiaji na gharama ya awali ya kuanzisha. Hii inapingana na bora la kiotomatiki kabisa. Zaidi ya hayo, ingawa inaboresha usalama upande wa mteja, haifanyi chochote dhidi ya udukuzi upande wa seva—nywila iliyotengenezwa na MFDPG iliyobiwa bado inaweza kutumika na mshambuliaji hadi ifutwe.

Uelewa Unaoweza Kutekelezwa: Kwa timu za usalama, MFDPG inawasilisha mfano unaoweza kutekelezeka wa usimamizi wa nywila wa ndani wa biashara, hasa kwa akaunti za huduma, na kuondoa vituo vya uhifadhi vya hati. Kwa wasimamizi wa bidhaa, utafiti huu unaangazia soko lisilohudumiwa vizuri: viboreshaji vya uthibitishaji upande wa mtumiaji. Bidhaa inayofuata ya mantiki ni kiongeza kivinjari kinachotekeleza MFDPG, pamoja na hifadhidata ya umma ya sera za nywila za tovuti (kama "Kanuni za Nywila" kutoka W3C) ili kufanya kiotomatiki usanidi wa DFA. Uwekezaji unapaswa kuelekezwa kwenye zana zinazojaza pengo kati ya miundo ya kikadini ya kitaaluma kama MFDPG na programu zinazoweza kusanikishwa na zinazofaa kwa mtumiaji.

6. Uchunguzi wa Kiufundi wa Kina

Fomula ya Utengenezaji wa Ufunguo: MFKDF mkuu unaweza kufasiriwa kama:
$K = \text{HKDF-Expand}(\text{HKDF-Extract}(chumvi, F_1 \oplus F_2 \oplus ... \oplus F_n), \text{habari}, L)$
Ambapo $F_1, F_2, ..., F_n$ ni matokeo yaliyosanifishwa ("sehemu za sababu") kutoka kwa kila sababu ya uthibitishaji (hashi ya nywila, msimbo wa TOTP, uthibitishaji wa ufunguo wa usalama, n.k.). Hii inafuata kanuni za ubunifu wa moduli zilizoelezewa katika HKDF RFC 5869.

Algorithm ya Uvumbuzi wa DFA (Msimbo wa Uongo):
function generatePassword(key, domain, policyDFA):
  prng = ChaCha20(key, domain) // Panda CSPRNG
  state = policyDFA.startState
  password = ""
  while not policyDFA.isAccepting(state):
    transitions = policyDFA.getValidTransitions(state)
    choice = prng.next() % len(transitions)
    selectedTransition = transitions[choice]
    password += selectedTransition.character
    state = selectedTransition.nextState
  return password

7. Mfumo wa Uchambuzi na Uchunguzi wa Kesi

Mfumo: Uchambuzi wa Usalama-Ujumla-Faragha (SUP). Mfumo huu hutathmini mifumo ya uthibitishaji katika mihimili mitatu. Hebu tuutumie kwa MFDPG dhidi ya LastPass:

  • Usalama: LastPass: Juu, lakini kwa hali ya kushindwa kikubwa ya kati. MFDPG: Juu Sana, hatari iliyosambazwa kupitia utengenezaji wenye sababu nyingi, hakuna kituo kikuu cha uhifadhi. (MFDPG Inashinda)
  • Ujumla: LastPass: Juu, kujaza kiotomatiki, usawazishaji kwenye vifaa mbalimbali. MFDPG: Wastani-Juu, uzalishaji usio na shida lakini unahitaji usanidi wa sera na usimamizi wa sababu. (LastPass Inashinda)
  • Faragha: LastPass: Chini, huduma inajua tovuti zako zote. MFDPG: Juu, hakuna ujuzi kwa muundo. (MFDPG Inashinda)

Uchunguzi wa Kesi - Uvunjaji wa LastPass: Katika uvunjaji wa 2022, vituo vya uhifadhi vya nywila vilivyosimbwa vilitolewa nje. Washambuliaji wangeweza kushambulia nywila kuu nje ya mtandao. Ikiwa watumiaji wangetumia MFDPG, kusingekuwa na kituo cha uhifadhi cha kuibiwa. Hata kama nywila ya tovuti ilivujwa mahali pengine, ujenzi wa MFKDF ungezuia kuongezeka kwa siri kuu. Kesi hii inaonyesha wazi mabadiliko ya mfano ambayo MFDPG inatoa.

8. Matumizi ya Baadaye na Mwelekeo

1. Ujumuishaji wa Kriptografia ya Baada ya Quantum (PQC): Muundo wa MFKDF haujali kriptografia ya msingi. Kama kompyuta za quantum zinakitishia vitendakazi vya hashi vya sasa (kama SHA-256), MFDPG inaweza kujumuisha algoriti zilizosanifishwa za PQC (k.m., SPHINCS+, LMS) kwa ulinzi wa siku zijazo, mwelekeo unaolingana na mradi wa kusanifisha PQC wa NIST.

2. Utambulisho Uliosambazwa na Web3: Falsafa ya MFDPG ya "siri zilizohifadhiwa sifuri" inalingana na utambulisho uliosambazwa (k.m., Hati za Kuthibitishwa za W3C). Inaweza kutengeneza hati za kipekee, thabiti za kupata programu zilizosambazwa (dApps) au kusaini manunuzi, na kufanya kazi kama msimamizi wa maneno ya mwanzo unaofaa kwa mtumiaji.

3. Usimamizi wa Siri wa Biashara: Zaidi ya nywila za watumiaji, kanuni za MFDPG zinaweza kutumika kwa uthibitishaji wa mashine-kwa-mashine, kutengeneza funguo za API za kipekee au nywila za akaunti za huduma kutoka kwa siri kuu ya kampuni na kitambulisho cha huduma, na kurahisisha mzunguko na ukaguzi.

4. Ujumuishaji wa Sababu ya Kibayometriki: Marekebisho ya baadaye yanaweza kujumuisha vielelezo vya kibayometriki vya ndani (k.m., kupitia uthibitishaji wa kibayometriki wa WebAuthn) kama sababu iliyotokana, na kuboresha urahisi huku ukihifadhi sifa ya uhifadhi-sifuri, mradi data ya kibayometriki haitoki kwenye kifaa.

9. Marejeo

  1. Nair, V., & Song, D. (Mwaka). MFDPG: Usimamizi wa Nywila Uliothibitishwa Wenye Sababu Nyingi Bila Siri Zilizohifadhiwa. [Jina la Mkutano/Jarida].
  2. Grassi, P., et al. (2017). Mwongozo wa Utambulisho wa Dijital: Uthibitishaji na Usimamizi wa Mzunguko wa Maisha. Uchapishaji Maalum wa NIST 800-63B.
  3. Krawczyk, H., & Eronen, P. (2010). Kitendakazi cha Utengenezaji wa Ufunguo cha Kutoa na Kupanua Kulingana na HMAC (HKDF). RFC 5869, IETF.
  4. Ross, B., et al. (2005). Uthibitishaji wa Nguvu zaidi wa Nywila Kwa Kutumia Viendelezi vya Kivinjari. Mkutano wa Usalama wa USENIX. (PwdHash)
  5. Fan, B., et al. (2014). Kichujio cha Cuckoo: Bora Zaidi Kuliko Bloom Kwa Vitendo. Matukio ya Mkutano wa 10 wa ACM wa Kimataifa kuhusu Majaribio na Teknolojia Zinazoibuka za Mtandao.
  6. Muungano wa FIDO. (2022). FIDO2: Vipimo vya WebAuthn & CTAP. https://fidoalliance.org/fido2/
  7. Taasisi ya Kitaifa ya Viwango na Teknolojia. (2022). Kusanifisha Kriptografia ya Baada ya Quantum. https://csrc.nist.gov/projects/post-quantum-cryptography