Chagua Lugha

MFDPG: Usimamizi wa Nenosiri Lenye Mambo Mengi na Hakuna Siri Zilizohifadhiwa

Uchambuzi wa mfumo mpya wa usimamizi wa nenosiri unaotumia mambo mengi kuzalisha ufunguo na kutoa nenosiri bila kuhifadhi taarifa za utambulisho, na kuboresha mifumo ya zamani ya uthibitishaji.
computationalcoin.com | PDF Size: 0.3 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - MFDPG: Usimamizi wa Nenosiri Lenye Mambo Mengi na Hakuna Siri Zilizohifadhiwa
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » MFDPG: Usimamizi wa Nenosiri Lenye Mambo Mengi na Hakuna Siri Zilizohifadhiwa

1. Utangulizi na Muhtasari

Nenosiri bado ndio njia kuu ya uthibitishaji, lakini usimamizi wake ni changamoto kubwa ya usalama. Wasimamizi wa kawaida wa nenosiri huunda sehemu kuu za kushindwa, kama ilivyoonekana katika uvunjaji kama wa LastPass. Vizalishaji vya Nenosiri Vilivyobainishwa (DPG) vimependekezwa kwa zaidi ya miaka ishirini kama njia mbadala, vikizalisha nenosiri kipekee kwa kila tovuti kutoka kwa siri kuu na jina la kikoa, na hivyo kuondoa uhifadhi. Hata hivyo, DPG zilizopo zina kasoro kubwa za usalama, faragha, na utumiaji ambazo zimezuia kupitishwa kwa wingi.

Karatasi hii inatanguliza Kizalishaji cha Nenosiri Vilivyobainishwa chenye Mambo Mengi (MFDPG), muundo mpya unaokabiliana na mapungufu haya. MFDPG hutumia utoaji wa ufunguo wenye mambo mengi ili kuimarisha siri kuu, inatumia vichujio vya Cuckoo kwa kufuta nenosiri kwa usalama, na inatumia algoriti ya kutembea ya Automaton ya Mwisho Iliyobainishwa (DFA) ili kufuata sera ngumu za nenosiri—yote bila kuhifadhi siri yoyote upande wa mteja au seva.

Michango ya Msingi

  • Uchambuzi wa DPG 45 zilizopo ili kubaini vikwazo vya kupitishwa.
  • Muundo wa MFDPG bila kuhifadhi siri yoyote.
  • Njia ya kuboresha upande wa mteja kwa tovuti zenye nenosiri dhaifu hadi kwenye MFA yenye nguvu.
  • Uthibitishaji wa utangamano na programu 100 bora za wavuti.

2. Uchambuzi wa MFDPG Zilizopo

Uchunguzi wa mipango 45 ya DPG (k.m., PwdHash) ulifunua kasoro muhimu zinazorudiwa.

2.1 Kasoro za Usalama na Faragha

  • Ufichuaji wa Nenosiri Kuu: Kuvunjwa kwa nenosiri moja lililozalishwa kunaweza kurahisisha shambulio dhidi ya nenosiri kuu moja kwa moja.
  • Ukosefu wa Usiri wa Mbele/Kufutwa: Kutoweza kubadilisha nenosiri kwa huduma maalum bila kubadilisha nenosiri kuu kwa huduma zote.
  • Uvujaji wa Mwenendo wa Matumizi: Mipango rahisi inaweza kufichua ni huduma gani mtumiaji ana akaunti nazo.

2.2 Vikwazo vya Utumiaji

  • Kutopatana na Sera: Haiwezi kuzalisha nenosiri zinazokidhi mahitaji maalum ya tovuti (urefu, seti za herufi).
  • Hakuna Ujumuishaji wa Mambo Mengi: Inategemea nenosiri tu, haina uwezo wa kustahimili ikiwa nenosiri kuu limevunjwa.

3. Muundo wa MFDPG

Usanifu wa MFDPG umejengwa juu ya uvumbuzi tatu muhimu.

3.1 Utoaji wa Ufunguo Unaotumia Mambo Mengi

MFDPG hutumia kitendakazi cha utoaji wa ufunguo chenye mambo mengi (MFKDF) kuchanganya siri nyingi: nenosiri lililokaririwa ($P$), tokeni ya vifaa ($T$), na kipengele cha kibayometriki ($B$). Ufunguo $K$ uliotolewa ni:

$K = \text{MFKDF}(P, T, B, \text{salt})$

Hii inahakikisha kuwa kuvunjwa kwa kipengele chochote kimoja (k.m., nenosiri lililonyonywa) hakufichui ufunguo kuu, na hivyo kuboresha tovuti zinazotumia nenosiri tu kusaidia MFA yenye nguvu upande wa mteja.

3.2 Vichujio vya Cuckoo kwa Kufuta Nenosiri

Ili kutatua mzunguko wa nenosiri kwa tovuti iliyovunjwa bila mabadiliko ya kimataifa, MFDPG hutumia kichujio cha Cuckoo—muundo wa data wenye uwezekano. Kichujio kinahifadhi vitambulisho vya tovuti vilivyofutwa (k.m., kikoa kilichohashwa + kihesabu cha kurudia). Wakati wa kuzalisha nenosiri, mfumo huangalia kichujio. Ikiwa tovuti iko kwenye orodha, inaongeza kihesabu cha ndani, na kutolea nenosiri jipya: $Password = \text{KDF}(K, \text{domain} || \text{counter})$. Hii inaruhusu kufutwa kwa tovuti maalum bila kuhifadhi orodha ya wazi ya akaunti za mtumiaji.

3.3 Uzalishaji wa Nenosiri Kulingana na DFA

Ili kufuata sera za nenosiri za usemi wa kawaida wa kiholela (k.m., ^(?=.*[A-Z])(?=.*\d).{12,}$), MFDPG inaiga sera kama Automaton ya Mwisho Iliyobainishwa (DFA). Kizalishaji hutembea DFA, kikitumia chaguo la nasibu lenye usalama wa kisimbiosisimba kwa kila mpito wa hali ili kutoa nenosiri ambalo linakubaliana na sera na pia limebainishwa kulingana na ufunguo wa pembejeo na kikoa.

4. Tathmini na Matokeo

Kielelezo cha MFDPG kilitathminiwa kwa utangamano na tovuti 100 maarufu zaidi (kulingana na nafasi za Alexa).

Matokeo ya Utangamano

  • Kiwango cha Mafanikio: Tovuti 100% zilizojaribiwa zilikubali nenosiri zilizozalishwa na algoriti ya MFDPG.
  • Ushughulikiaji wa Sera: Kizalishaji kinachotegemea DFA kiliweza kukidhi sera zote za nenosiri zilizokutana nazo, ikiwa ni pamoja na kanuni ngumu za herufi maalum, urefu, na mlolongo uliopigwa marufuku.
  • Utendaji: Muda wa kuzalisha nenosiri ulikuwa chini ya sekunde, unaofaa kwa mwingiliano wa mtumiaji wa wakati halisi.

Maelezo ya Chati: Chati ya baa ingeonyesha usambazaji wa aina za sera za nenosiri zilizokutana (k.m., "Urefu wa Chini Pekee," "Inahitaji Herufi Kubwa na Nambari," "Regex Ngumu") na baa ya mafanikio 100% kwa utii wa MFDPG katika jamii zote, ikilinganishwa na baa ya chini kwa DPG rahisi ya msingi ya hash.

5. Uchunguzi wa Kina wa Kiufundi

Utoaji wa Ufunguo: Usalama wa msingi unategemea usanidi thabiti wa MFKDF, kama ule unaotegemea OPAQUE au itifaki nyingine zisizo na ulinganifu za PAKE, ili kuzuia mashambulio ya nje ya mtandao hata ikiwa nenosiri maalum la tovuti lililotolewa limevuja.

Algoriti ya Kutembea DFA (Kifikra):

  1. Weka sera ya nenosiri ya tovuti kama DFA $A$.
  2. Panda mbegu ya CSPRNG na $\text{HMAC}(K, \text{domain})$.
  3. Kuanzia katika hali ya awali, tumia CSPRNG kuchagua kwa nasibu mpito halali (ukitoa herufi) hadi kwenye hali inayofuata.
  4. Rudia hadi hali ya kukubalika ifikiwe, ukihakikisha mlolongo wa mwisho ni neno halali katika lugha ya $A$.
Hii inahakikisha matokeo yaliyobainishwa kwa pembejeo sawa hali inakidhi sera.

6. Mtazamo wa Mchambuzi: Uelewa wa Msingi, Mtiririko wa Mantiki, Nguvu na Kasoro, Uelewa Unaoweza Kutekelezwa

Uelewa wa Msingi: MFDPG sio tu msimamizi mwingine wa nenosiri; ni njia ya kimkakati ya kuzunguka mwendo wa polepole wa mageuzi ya uthibitishaji wa wavuti. Uzuri wa karatasi hii uko katika kuibadilisha tatizo: badala ya kungojea tovuti zipitishie FIDO2 au funguo za kupita, MFDPG humpa mtumiaji uwezo wa kulazimisha usalama wenye mambo mengi kwa upande wa mteja kwa huduma yoyote ya zamani inayotegemea nenosiri. Hii inageuza kiungo dhaifu zaidi—nenosiri linaloweza kutumika tena—kuwa tokeni inayotolewa, inayotumika mara moja na kulindwa na vifaa na vipengele vya kibayometriki. Ni utambuzi wa kimatendo kwamba nenosiri halitakufa hivi karibuni, kwa hivyo lazima tulilinde kwa njia ya kisimbiosisimba.

Mtiririko wa Mantiki: Hoja hiyo ni ya kulazimisha. 1) DPG za sasa zimevunjwa kimsingi (ufichuaji wa ufunguo kuu, hakuna mzunguko). 2) Kwa hivyo, tunahitaji msingi ulioimarishwa kwa kisimbiosisimba (MFKDF). 3) Lakini kuimarisha haitoshi; tunahitaji matumizi ya ulimwengu halisi (utii wa sera, kufutwa). 4) Suluhisho zilizopendekezwa (vichujio vya Cuckoo, kutembea kwa DFA) zinakusudia moja kwa moja mapungufu haya ya matumizi. 5) Matokeo yake ni mfumo ambao sio tu unarekebisha DPG bali pia unaboresha kwa siri mazingira yote ya uthibitishaji kutoka chini kwenda juu. Mantiki ni safi, na kila chaguo la muundo ni pigo la moja kwa moja dhidi ya kasoro iliyorekodiwa.

Nguvu na Kasoro: Nguvu yake ni usanifu wake mzuri, usio na uhifadhi, na uwezo wake wa uboreshaji wa hatua kwa hatua. Inajifunza kutokana na kushindwa kwa waliotangulia kama PwdHash. Hata hivyo, kasoro ziko katika muundo wa utekelezaji. Kasoro Muhimu: Urejeshaji wa mtumiaji ni ndoto ya kutisha. Umpoteze tokeni yako ya vifaa? Umefungiwa nje ya kila kitu mara moja—hatua moja ya kushindwa ya msiba ambayo inafanya hatari za uhifadhi wingu zionekane kuwa nyepesi. Karatasi hii haijazungumzia hili kwa kina. Zaidi ya hayo, usalama wake unategemea sana utekelezaji wa MFKDF, ambao ni msingi tata wa kisimbiosisimba unaoelekea kufanya makosa ya utekelezaji. Kama uchambuzi wa Usenix Security 2023 wa mipango ya MFA unavyoonyesha, mifumo halisi ya MFA mara nyingi ina udhaifu wa hila. Kupitishwa kwa wingi kungehitaji utaratibu wa urejeshaji usio na makosa, unaofaa kwa mtumiaji, ambao unaonekana kinyume na falsafa yake ya "hakuna siri zilizohifadhiwa".

Uelewa Unaoweza Kutekelezwa: Kwa timu za usalama, dhana za msingi za MFDPG zina thamani ya haraka. Uzalishaji unaokubaliana na sera kulingana na DFA unaweza kuanzishwa ndani kwa nenosiri za akaunti za huduma. Matumizi ya vichujio vya Cuckoo kwa kufutwa ni mbinu ya hila ya kulinda faragha inayoweza kutumika zaidi ya nenosiri (k.m., kusimamia orodha za kuzuia tokeni). Somo kubwa ni kutenganisha uhifadhi wa siri na utoaji wa siri. Badala ya vyumba vya hazina, fikiria juu ya kuunganisha kwa kisimbiosisimba mambo mengi katika ufunguo mmoja wa utoaji wa muda mfupi. Kampuni zinapaswa kuwekeza katika Utafiti na Uendelezaji kwa mizizi ya imani yenye mambo mengi inayoshikiliwa na mtumiaji, inayoweza kurejeshwa—kipande kinachokosekana ambacho MFDPG kinadokeza lakini hakitatui. Siku zijazi sio katika vyumba bora vya hazina; ni katika kufanya chumba cha hazina kisihitajike, na MFDPG inaelekeza moja kwa moja kwenye mwelekeo huo.

7. Matumizi ya Baadaye na Mwelekeo

  • Ujumuishaji bila Nenosiri: Nenosiri maalum za tovuti zilizotolewa na MFDPG zinaweza kutumika kama "kitu ulichonacho" katika mtiririko kama wa FIDO2, na kuunganisha ulimwengu wa nenosiri na ule usio na nenosiri.
  • Utambulisho Uliosambazwa: Muundo usio na uhifadhi, unaozingatia mtumiaji, unalingana na kanuni za Web3 na utambulisho uliosambazwa (k.m., GNAP ya IETF). Ufunguo kuu wenye mambo mengi unaweza kuzalisha vitambulisho vilivyosambazwa (DID) na uthibitisho.
  • Usimamizi wa Siri wa Biashara: Ilibadilishwa kwa vitambulisho vya mashine, ikizalisha funguo/ siri za API kipekee kwa huduma tofauti kutoka kwa mzizi wa kati, na mzunguko wa kiotomatiki kupitia kichujio cha kufutwa.
  • Mwelekeo wa Utafiti: Kuendeleza uthibitisho rasmi wa usalama kwa mfumo uliochanganywa wa MFKDF+DFA+Kichujio. Kuchunguza miundo ya MFKDF ya baada ya quantum. Kubuni itifaki za urejeshaji zinazofaa kwa binadamu, zenye usalama ambazo hazikompromisi muundo wa siri-sifuri.

8. Marejeo

  1. Nair, V., & Song, D. (Mwaka). MFDPG: Usimamizi wa Nenosiri Ulioidhinishwa kwa Mambo Mengi Bila Siri Zilizohifadhiwa. Jina la Mkutano.
  2. Ross, B., Jackson, C., Miyake, N., Boneh, D., & Mitchell, J. C. (2005). Uthibitishaji wa Nguvu za Nenosiri Kwa Kutumia Viongezi vya Kivinjari. Mkutano wa Usalama wa USENIX. (PwdHash)
  3. Ghalwash, H., et al. (2023). SoK: Uthibitishaji wa Mambo Mengi. Mkutano wa Usalama wa USENIX.
  4. Jarecki, S., Krawczyk, H., & Xu, J. (2018). OPAQUE: Itifaki ya PAKE Isiyo na Ulinganifu Salama Dhidi ya Mashambulio ya Kukokotoa Mapema. EUROCRYPT.
  5. Fan, B., Andersen, D. G., Kaminsky, M., & Mitzenmacher, M. (2014). Kichujio cha Cuckoo: Bora Zaidi Kuliko Bloom Kimatendo. CoNEXT.
  6. Muungano wa FIDO. (2023). FIDO2: Vipimo vya WebAuthn & CTAP. https://fidoalliance.org/fido2/