Chagua Lugha

Vizushi vya Nenosiri: Mtindo Kamili na Uchambuzi

Uchambuzi wa mifumo ya vizushi vya nenosiri kama mbadala ya wasimamizi wa nenosiri, kupendekeza mtindo wa jumla, kutathmini chaguzi za muundo, na kuanzisha mpango wa AutoPass.
computationalcoin.com | PDF Size: 0.2 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - Vizushi vya Nenosiri: Mtindo Kamili na Uchambuzi
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » Vizushi vya Nenosiri: Mtindo Kamili na Uchambuzi

1. Utangulizi

Makala haya yanashughulikia changamoto muhimu ya usimamizi wa nenosiri katika uthibitishaji wa kisasa cha kidijital. Licha ya udhaifu unaojulikana wa usalama, nenosiri bado zinaenea kila mahali. Tunazingatia vizushi vya nenosiri—mifumo inayounda nenosiri za kipekee, maalum kwa tovuti, kwa mahitaji kutoka kwa mchanganyiko wa vipengele vya mtumiaji na data ya muktadha—kama mbadala unaotumainiwa wa wasimamizi wa jadi wa nenosiri. Mchango mkuu wa makala ni mtindo wa kwanza wa jumla wa mifumo kama hii, unaowezesha uchambuzi wa kimuundo wa chaguzi za muundo na kumalizika kwa pendekezo la mpango mpya, AutoPass.

2. Usuli na Motisha

Uhitaji wa kuboresha mifumo ya nenosiri unatokana na mzigo wa kiakili kwa watumiaji na kasoro za usalama za mazoea ya sasa.

2.1. Kudumu kwa Nenosiri

Kama ilivyobainishwa na Herley, van Oorschot, na Patrick, nenosiri zinadumu kutokana na gharama zake za chini, unyenyekevu, na uzoefu wa mtumiaji. Mbadala kama vile biometriki au vibali vya vifaa (mfano, FIDO) vinakabiliwa na vikwazo vya kupitishwa. Uchunguzi, kama ule wa Florêncio na Herley uliotajwa kwenye PDF, unaonyesha watumiaji husimamia makumi ya akaunti, na kusababisha matumizi ya nenosiri tena na uchaguzi dhaifu wa nenosiri—hatari ya msingi ya usalama.

2.2. Vikwazo vya Wasimamizi wa Nenosiri

Wasimamizi wa nenosiri, ingawa wanaweza kusaidia, wana mapungufu makubwa. Wasimamizi wa ndani (mfano, wale wanaotumika kwenye kivinjari) wanaweza kudhibiti uhamaji. Wasimamizi wanaotumika kwenye wingu huleta sehemu kuu za kushindwa, na uvunjaji wa ulimwengu halisi umeandikwa (mfano, [3, 13, 18, 19]). Pia mara nyingi hutegemea nenosiri moja kuu, na hivyo kuunda lengo la thamani kubwa.

3. Mtindo wa Jumla wa Vizushi vya Nenosiri

Tunapendekeza mtindo rasmi ili kuchambua na kulinganisha mipango ya vizushi vya nenosiri kwa utaratibu.

3.1. Vipengele vya Mtindo

Mtindo wa msingi unajumuisha:

  • Siri ya Mtumiaji (S): Siri kuu inayojulikana tu na mtumiaji (mfano, kifungu cha nenosiri).
  • Maelezo ya Tovuti (D): Data ya umma ya kipekee inayotambulisha huduma (mfano, jina la kikoa).
  • Utendakazi wa Uzushi (G): Algorithm ya uthibitishaji: $P = G(S, D, C)$, ambapo $C$ inawakilisha vigezo vya hiari (hesabu, toleo).
  • Nenosiri la Matokeo (P): Nenosiri lililozushwa maalum kwa tovuti.

3.2. Vipengele vya Kuingiza na Matokeo

Usalama unategemea ubora wa $S$, upekee wa $D$, na sifa za kriptografia za $G$. Utendakazi $G$ unapaswa kuwa utendakazi wa mwelekeo mmoja, na kuzuia utengenezaji wa $S$ kutoka kwa jozi za $P$ na $D$ zilizozingatiwa.

4. Uchambuzi wa Mipango Iliyopo

Kutumia mtindo huu kunafunua hali ya teknolojia zilizopo.

4.1. Uainishaji wa Mipango

Mipango hutofautiana kulingana na utekelezaji wa $G$:

  • Kulingana na Hash: $P = Truncate(Hash(S || D))$. Rahisi lakini inaweza kukosa matokeo yanayofaa kwa mtumiaji.
  • Kulingana na Kanuni/Thibitishaji: Kanuni zilizobainishwa na mtumiaji zinazotumika kwa $S$ na $D$ (mfano, "herufi mbili za kwanza za jina la tovuti + nne za mwisho za siri"). Inaelekea kutabirika ikiwa kanuni ni rahisi.
  • Kialgorithimu upande wa Mteja: Hutumia algorithm ya kawaida ya kriptografia, kwa uwezekano wa kuwa na hesabu $C$ kwa mzunguko wa nenosiri.

4.2. Usalama na Usawazishaji wa Urahisi wa Matumizi

Usawazishaji muhimu unajumuisha:

  • Kumbukumbu dhidi ya Entropy: $S$ dhaifu inaweza kudhoofisha nenosiri zote zilizozushwa.
  • Uthibitishaji dhidi ya Kubadilika: Uzushi wa uthibitishaji husaidia urejeshaji lakini hautoa mzunguko wa asili wa nenosiri bila kubadilisha $S$ au $C$.
  • Upande wa Mteja Pekee dhidi ya Msaidizi wa Seva: Mipango ya upande wa mteja peee inaongeza faragha lakini inapoteza vipengele kama usawazishaji au tahadhari za uvunjaji.

5. Pendekezo la AutoPass

Kutokana na mtindo na uchambuzi, tunatoa muhtasari wa AutoPass, kwa lengo la kuunganisha nguvu na kushughulikia kasoro.

5.1. Kanuni za Muundo

  • Udhibiti Unaozingatia Mtumiaji: Mtumiaji anabaki na umiliki wa pekee wa $S$.
  • Uimara wa Kriptografia: $G$ inategemea Utendakazi wa Utoaji wa Ufunguo (KDF) kama PBKDF2 au Argon2: $P = KDF(S, D, C, L)$ ambapo $L$ ni urefu unaotakikana wa matokeo.
  • Ukinzani wa Uvamizi wa Nenosiri: $D$ inapaswa kuthibitishwa kwa ukali (mfano, jina kamili la kikoa) ili kuzuia uzushi kwa tovuti za udanganyifu.

5.2. Vipengele Vipya

  • Vigezo vya Muktadha (C): Inajumuisha hesabu inayotegemea wakati au maalum kwa tovuti ili kuruhusu mabadiliko salama ya nenosiri bila kubadilisha $S$.
  • Kushuka kwa Ustadi: Utaratibu wa dharura wakati kizushi kikuu hakipatikani (mfano, kwenye kifaa kipya bila programu).
  • Uchunguzi wa Uvunjaji Uliojumuishwa: Kwa hiari, mteja anaweza kukagua toleo la hash la $P$ dhidi ya hifadhidata za uvunjaji zinazojulikana kabla ya matumizi.

6. Maelezo ya Kiufundi na Uchambuzi

Uelewa wa Msingi, Mtiririko wa Kimantiki, Nguvu na Kasoro, Uelewa Unaoweza Kutekelezwa

Uelewa wa Msingi: Uzuri wa makala sio katika kuvumbua kriptografia mpya, bali katika kutoa mfumo wa dhana wa kwanza wa ukali kwa aina ya zana (vizushi vya nenosiri) ambayo hapo awali ilikuwa mkusanyiko wa uvamizi na viendelezi vya kivinjari. Hii ni sawa na kutoa jedwali la vipindi kwa wanasayansi—inaruhusu utabiri wa utaratibu wa sifa (usalama, urahisi wa matumizi) na athari (kwa uvamizi wa nenosiri, upotezaji wa kifaa).

Mtiririko wa Kimantiki: Hoja ni rahisi yenye kushawishi: 1) Nenosiri zimevunjika lakini zimebaki. 2) Marekebisho ya sasa (wasimamizi) yana kasoro muhimu (kuwekwa katikati, kufungwa). 3) Kwa hivyo, tunahitaji mfano bora. 4) Hebu tuweke mfano wa mbadala wote waliopendekezwa ili kuelewa DNA yao. 5) Kutokana na mfano huo, tunaweza kuunda sampuli bora—AutoPass. Hii ni usanifu wa kawaida wa utafiti wa tatizo-suluhisho uliotekelezwa vyema.

Nguvu na Kasoro: Mtindo ndio nguvu kuu ya makala. Unabadilisha mjadala wa kibinafsi kuwa ulinganishaji wa kitu. Hata hivyo, kasoro kuu ya makala ni utunzaji wake wa AutoPass kama "muhtasari" tu. Katika enzi ambayo msimbo wa uthibitishaji-unategemewa, hii inahisi kama simfonia isiyokamilika. Pia, mfano wa tishio hauzingatii ugumu mkubwa wa upatikanaji salama wa $D$ (maelezo ya tovuti) katika kukabiliana na mashambulio ya kisasa ya homografi na udanganyifu wa kikoa ndogo—tatizo ambalo hata vivinjari vya kisasa vinapambana nalo, kama ilivyobainishwa katika utafiti wa Google's Safe Browsing.

Uelewa Unaoweza Kutekelezwa: Kwa wataalamu, ujumbe wa haraka ni ukaguzi wa zana yoyote ya kizushi cha nenosiri dhidi ya mfano huu. Je, ina $G$ iliyobainishwa wazi, yenye usalama wa kriptografia? $D$ inathibitishwaje? Kwa watafiti, mfano huo unafungua njia: uthibitishaji rasmi wa mipango ya vizushi, uchunguzi wa urahisi wa matumizi juu ya kukumbuka $S$, na ujumuishaji na viwango vinavyokua kama WebAuthn kwa njia mseto. Siku zijazi sio vizushi au wasimamizi, bali mseto: kizushi kwa siri kuu, kusimamiwa kwa usalama na kibali cha vifaa, dhana iliyotajwa lakini haijachunguzwa kikamilifu hapa.

Urasmi wa Kiufundi

Uzushi wa msingi unaweza kuwekwa rasmi kama Utendakazi wa Utoaji wa Ufunguo (KDF):

$P_{i} = KDF(S, D, i, n)$

Ambapo:
- $S$: Siri kuu ya mtumiaji (mbegu ya entropy kubwa).
- $D$: Kitambulisho cha kikoa (mfano, "example.com").
- $i$: Hesabu ya kurudia au toleo (kwa mzunguko wa nenosiri).
- $n$: Urefu unaotakikana wa matokeo kwenye bits.
- $KDF$: Utendakazi salama wa utoaji wa ufunguo kama HKDF au Argon2id.

Hii inahakikisha kila nenosiri ni la kipekee, la entropy kubwa, na linatokana kwa njia ya kawaida, salama ya kriptografia.

Muktadha wa Majaribio na Maelezo ya Chati

Ingawa PDF haina majaribio ya kihalisi, uchambuzi wake unamaanisha "jaribio" la dhana linalolinganisha sifa za mipango. Fikiria chati ya rada yenye mihimili mingi inayotathmini mipango kama "PwdHash," "SuperGenPass," na AutoPass iliyopendekezwa katika vipimo: Ukinzani wa Uvamizi wa Nenosiri, Urahisi wa Matumizi Katika Vifaa Mbalimbali, Nguvu ya Kriptografia, Usaidizi wa Mzunguko wa Nenosiri, na Urejeshaji wa Siri Kuu. AutoPass, kama ilivyobainishwa, ingelenga alama za juu katika mihimili yote, hasa kushughulikia udhaifu wa kawaida katika Ukinzani wa Uvamizi wa Nenosiri (kupitia uthibitishaji imara wa $D$) na Mzunguko wa Nenosiri (kupitia hesabu $i$), ambapo mipango mingi ya zamani inapata alama duni.

Mfano wa Mfumo wa Uchambuzi (Sio Msimbo)

Kisomo cha Kesi: Kutathmini Kizushi Rahisi Cha Kulingana na Kanuni

Mpango: "Chukua konsonanti 3 za kwanza za jina la tovuti, pindua jina la uzazi la mama yako, na uongeze mwaka uliozaliwa."

Utumizi wa Mtindo:
- S: "Jina la uzazi la mama + mwaka wa kuzaliwa" (Entropy ndogo, inayoweza kugundulika kwa urahisi kupitia uhandisi wa kijamii).
- D: "Konsonanti 3 za kwanza za jina la tovuti" (Mabadiliko yanayoweza kutabirika).
- G: Kanuni ya kuunganisha (Rahisi, isiyo ya kriptografia).
- Uchambuzi wa Kasoro: Kwa kutumia mtindo, tunatambua mara moja kasoro muhimu: 1) $S$ ni dhaifu na tuli, 2) $G$ inaweza kubadilishwa nyuma au kukisiwa, 3) Hakuna usaidizi wa mzunguko wa nenosiri ($C$). Mpango huu unashindwa dhidi ya mashambulio ya nguvu na yaliyolengwa.

Mfano huu unaonyesha jinsi mtindo huo unavyotoa orodha ya ukaguzi wa haraka wa usalama.

7. Mwelekeo wa Baadaye na Matumizi

Mtindo wa kizushi cha nenosiri na dhana kama AutoPass zina uwezo mkubwa wa baadaye:

  • Ujumuishaji na Wasimamizi wa Nenosiri: Mifumo mseto ambapo kizushi kinaunda nenosiri la kipekee, na msimamizi wa ndani (na hifadhi inayotegemea vifaa) huhifadhi kwa usalama maelezo ya tovuti $D$ na hesabu $C$, na hivyo kupunguza hatari za wingu huku ukidumisha urahisi wa matumizi.
  • Uwekaji wa Kawaida: Uundaji wa kiwango rasmi cha IETF au W3C kwa vizushi vya nenosiri, kufafanua API za upatikanaji wa $D$ kutoka kwa vivinjari na KDF ya kawaida. Hii ingewezesha ushirikiano.
  • Kriptografia ya Baada ya Quantum (PQC): Utendakazi wa msingi $G$ lazima uwe wa kubadilika. Matoleo ya baadaye lazima yajumuishe kwa usawa algorithimu za PQC (mfano, sahihi zinazotegemea hash kwa uthibitishaji, KDF zinazostahimili PQC) ili kustahimili vitisho kutoka kwa kompyuta za quantum, wasiwasi ulioangaziwa na mradi wa kawaida wa PQC wa NIST unaoendelea.
  • Utambulisho Usio wa Kati: Vizushi vya nenosiri vinaweza kutumika kama sehemu katika mifumo ya utambulisho isiyo ya kati (mfano, inayotegemea Vibali Vinavyothibitika vya W3C), ikizusha siri za kuthibitisha kwa kila mthibitishaji bila mtoaji wa kati, na hivyo kuongeza faragha ya mtumiaji.
  • Kupitishwa na Makampuni: Vizushi vilivyobinafsishwa kwa makampuni vinaweza kujumuisha siri za shirika pamoja na siri za mtumiaji, na hivyo kutoa usawazishaji wa udhibiti wa mtumiaji na utekelezaji wa sera ya usalama ya kampuni.

8. Marejeo

  1. Al Maqbali, F., & Mitchell, C. J. (2016). Vizushi vya Nenosiri: Mawazo ya Zamani na Mapya. arXiv preprint arXiv:1607.04421.
  2. Herley, C., van Oorschot, P. C., & Patrick, A. S. (2014). Nenosiri: Ikiwa Tuna Akili, Kwa Nini Bado Tunatumia?. Katika Kriptografia ya Fedha na Usalama wa Data.
  3. Florêncio, D., & Herley, C. (2007). Utafiti mkubwa wa tabia za nenosiri za wavuti. Katika Proceedings of the 16th international conference on World Wide Web.
  4. McCarney, D. (2013). Wasimamizi wa Nenosiri: Mashambulio na Ulinzi. Chuo Kikuu cha British Columbia.
  5. FIDO Alliance. (2023). Muhtasari wa Mfumo wa Uthibitishaji wa Ulimwengu wa FIDO (FIDO UAF). Imepatikana kutoka https://fidoalliance.org/.
  6. Taasisi ya Kitaifa ya Viwango na Teknolojia (NIST). (2023). Uwekaji wa Kawaida wa Kriptografia ya Baada ya Quantum. Imepatikana kutoka https://csrc.nist.gov/projects/post-quantum-cryptography.
  7. Google Safety Engineering. (2022). Uvinjari Salama – Kulinda Watumiaji wa Wavuti kwa Miaka 15. Blogu ya Usalama ya Google.
  8. World Wide Web Consortium (W3C). (2022). Mfumo wa Data wa Vibali Vinavyothibitika 1.1. Imepatikana kutoka https://www.w3.org/TR/vc-data-model/.
  9. [3, 13, 18, 19] kama ilivyotajwa katika PDF asili, ikirejelea uvunjaji ulioandikwa wa huduma za usimamizi wa nenosiri.