PassGPT: Uundaji wa Nenosiri na Uzalishaji Unaongozwa kwa Mfano wa Lugha Mkubwa

Yaliyomo

1. Utangulizi

Nenosiri bado ndio utaratibu kuu wa uthibitishaji kwa sababu ya urahisi na uwezekano wa kutumika. Hata hivyo, uvujaji wa nenosiri unaweka tishio kubwa, ukiwezesha mashambulio na utafiti juu ya mifumo ya binadamu ya kuunda nenosiri. Karatasi hii inachunguza matumizi ya Mifano ya Lugha Mkubwa (LLM) katika uundaji wa nenosiri, ikianzisha PassGPT. PassGPT ni LLM iliyofunzwa kwenye uvujaji wa nenosiri kwa ajili ya uzalishaji na ukadiriaji wa nguvu, ikionyesha utendaji bora zaidi kuliko mbinu za zamani za Msingi wa Mtandao wa Kupingana (GAN) na kuleta uwezo mpya kama vile uzalishaji unaongozwa.

2. Mbinu & Usanifu

PassGPT imejengwa juu ya usanifu wa GPT-2, iliyobadilishwa ili kuzalisha nenosiri kwa kiwango cha mfuatano wa herufi. Mbinu hii inatofautiana kimsingi na GAN ambazo huzalisha nenosiri kama vitengo vya atomiki moja.

2.1. Usanifu wa Mfano wa PassGPT

Mfano huu unategemea usanifu wa kihalisi wa Transformer. Huchakata nenosiri kama mfuatano wa herufi (au token), ukijifunza uwezekano wa masharti wa herufi inayofuata kutokana na muktadha uliopita: $P(x_t | x_{PassVQT, linajumuisha mbinu za upimaji vekta ili kuongeza utata (na uwezekano wa utofauti) wa nenosiri zinazozalishwa.

2.2. Uzalishaji wa Nenosiri Unaongozwa

Ubunifu mkuu ni uzalishaji wa nenosiri unaongozwa. Kwa kubadilisha utaratibu wa sampuli (k.m., kwa kutumia uwezekano wa masharti au usimbaji wenye vikwazo), PassGPT inaweza kuzalisha nenosiri zinazokidhi vikwazo vyovyote vilivyobainishwa na mtumiaji (k.m., "lazima iwe na nambari na herufi kubwa"), kazi ambayo haifai kwa GAN za kawaida.

2.3. Mafunzo & Data

Mfano huu unafunzwa kwenye uvujaji mkubwa wa nenosiri kwa njia isiyo na usimamizi na nje ya mtandao, ikilingana na mtindo wa tishio la kukisia nenosiri nje ya mtandao unaojulikana katika utafiti wa usalama.

3. Matokeo ya Majaribio & Uchambuzi

3.1. Utendaji wa Kukisia Nenosiri

PassGPT inashinda kwa kiasi kikubwa mifano ya zamani ya kina ya kizazi (k.m., GAN). Inakisia zaidi ya 20% ya nenosiri ambazo hazijawahi kuonekana na inaonyesha uwezo mkubwa wa kujumlisha kwenye seti mpya za data za nenosiri ambazo hazikuonekana wakati wa mafunzo.

3.2. Usambazaji wa Uwezekano & Uchambuzi wa Entropy

Tofauti na GAN, PassGPT hutoa usambazaji wa wazi wa uwezekano katika nafasi nzima ya nenosiri. Uchambuzi unaonyesha kuwa PassGPT hupeana uwezekano wa chini (mshangao mkubwa) kwa nenosiri zinazochukuliwa kuwa "ngumu" na vikadiriaji vya nguvu vilivyothibitishwa (kama zxcvbn), ikionyesha mwafaka. Pia hutambua nenosiri zinazochukuliwa kuwa ngumu na vikadiriaji lakini zina uwezekano mkubwa chini ya mfano, ikifunua udhaifu unaowezekana.

3.3. Ulinganisho na Mbinu za Msingi wa GAN

Uzalishaji wa mfuatano wa PassGPT hutoa faida zaidi kuliko GAN: 1) Usambazaji wa wazi wa uwezekano, 2) Uwezo wa uzalishaji unaongozwa, 3) Utendaji bora zaidi kwenye data isiyoonekana. Karatasi hii inaweka hii kama mabadiliko ya mtindo kutoka kwa uzalishaji wa pato moja hadi uundaji wa mifuatano ya nenosiri inayoweza kudhibitiwa na ya uwezekano.

4. Maelezo ya Kiufundi & Mfumo wa Hisabati

Kiini cha PassGPT ni lengo la uundaji wa lugha ya kujirejesha, kuongeza uwezekano wa data ya mafunzo:

$L(\theta) = \sum_{i=1}^{N} \sum_{t=1}^{T_i} \log P(x_t^{(i)} | x_{

ambapo $N$ ni idadi ya nenosiri, $T_i$ ni urefu wa nenosiri $i$, $x_t^{(i)}$ ni herufi ya $t$, na $\theta$ ni vigezo vya mfano. Sampuli kwa ajili ya uzalishaji hutumia mbinu kama vile sampuli ya juu-k au kiini kusawazisha utofauti na ubora. Uwezekano wa nenosiri kamili $S$ ni: $P(S) = \prod_{t=1}^{|S|} P(x_t | x_{

5. Ufahamu Msingi & Mtazamo wa Mchambuzi

Ufahamu Msingi: Mafanikio makubwa ya karatasi hii sio tu kukisia nenosiri bora zaidi; ni kuweka rasmi uundaji wa nenosiri kama tatizo la uzalishaji wa mfuatano unaoweza kudhibitiwa. Kwa kutumia utabiri wa token inayofuata—msingi wa NLP ya kisasa—kwenye nenosiri, PassGPT inapita zaidi ya uzalishaji wa kisanduku-cheusi, wa mara moja wa GAN (kama zile katika usafirishaji wa picha za mtindo wa CycleGAN) hadi kwenye mchakato unaoonekana na unaoweza kuongozwa. Hii inabadilisha usalama kutoka kwa ukadiriaji wa nguvu tu hadi kuunda mfano wa mchakato wa binadamu nyuma ya uchaguzi wa nenosiri.

Mtiririko wa Mantiki: Hoja hii inavutia: 1) LLM zinaweza kukamata usambazaji changamano, wa ulimwengu halisi (maandishi). 2) Nenosiri ni lugha ndogo, iliyozuiwa, inayotokana na binadamu. 3) Kwa hivyo, LLM zinapaswa kuziunda kwa ufanisi—ambayo wanafanya hivyo, wakishinda GAN. 4) Asili ya mfuatano ya LLM inafungua uzalishaji unaongozwa, programu muhimu kwa kukisia inayozingatia sera au kupima nguvu kwa njia ya kukabiliana. 5) Pato la wazi la uwezekano hutoa kipimo cha moja kwa moja, kinachoweza kufasiriwa kwa usalama, kikiunganisha pengo kati ya mashambulio ya kizazi na vikadiriaji vya nguvu vya uwezekano.

Nguvu & Kasoro: Nguvu hii haikataani: utendaji bora na utendaji mpya. Onyesho la uzalishaji unaongozwa ni hatua bora, ikionyesha matumizi ya vitendo ya haraka. Hata hivyo, uchambuzi una kasoro muhimu inayojulikana katika karatasi za ML-kwa-usalama: inazunguka asili ya matumizi mawili. Ingawa inataja "kuboresha vikadiriaji vya nguvu," matumizi makuu yaliyoonyeshwa ni ya kushambulia (kukisia). Muundo wa maadili ni mwembamba. Zaidi ya hayo, ingawa inashinda GAN, ulinganisho na zana kubwa za kukisia zinazotumia kanuni kama Hashcat na kanuni za hali ya juu haujaeleweka vizuri. Utendaji wa mfano bado umefungwa na data yake ya mafunzo—uvujaji—ambayo inaweza kusiwakilisha tabia zote za nenosiri za binadamu.

Ufahamu Unaoweza Kutekelezwa: Kwa watetezi, hii sio ishara ya mwisho bali ni wito wa vita. Kwanza, vikadiriaji vya nenosiri lazima viunganishe uwezekano wa kizazi kama huu, kama ilivyopendekezwa. Zana kama zxcvbn zinapaswa kuboreshwa ili kukagua nenosiri dhidi ya uwezekano wa mfano kama PassGPT, sio tu kanuni tuli. Pili, timu nyekundu zinapaswa kuchukua mbinu hii mara moja kwa ajili ya ukaguzi wa ndani; uzalishaji unaongozwa unafaa kabisa kwa kupima utii wa sera maalum za nenosiri. Tatu, utafiti huu unathibitisha hitaji la kuacha nenosiri. Ikiwa LLM inaweza kuziunda vizuri kama hivi, entropy ya muda mrefu inapungua. Uwekezaji katika FIDO2/WebAuthn na funguo za kupita unakuwa wa haraka zaidi. Hitimisho: Usichukulie PassGPT kama kikisiaji, bali kama mfano sahihi zaidi wa udhaifu wa nenosiri wa binadamu uliowahi kujengwa. Itumie kurekebisha ulinzi wako kabla ya adui kufanya hivyo.

6. Mfumo wa Uchambuzi: Mfano wa Kesi

Hali: Sera ya kampuni inahitaji nenosiri zenye angalau herufi kubwa moja, nambari moja, na herufi maalum moja. Kikisiaji cha kawaida cha msingi wa kanuni kinaweza kutumia kanuni za kubadilisha. GAN ingepambana kuzalisha nenosiri zinazokubalika tu.

Mbinu ya Uzalishaji Unaongozwa wa PassGPT:

1. Ufafanuzi wa Kikwazo: Fafanua kifuniko au mantiki kwa ajili ya mchakato wa sampuli ili kulazimisha nafasi za aina za herufi.
2. Sampuli Iliyozuiwa: Wakati wa uzalishaji wa kujirejesha wa kila herufi $x_t$, usambazaji wa sampuli huchujwa au kupendelewa ili kuruhusu herufi tu kutoka kwa seti inayokidhi mahitaji ya sera iliyobaki (k.m., ikiwa hakuna nambari iliyozalishwa kwenye nafasi $t$, ongeza uwezekano wa nambari).
3. Pato: Mfano huzalisha mfuatano kama "C@t9Lover" au "F1r3Tr#ck" ambazo zina uwezekano mkubwa (zilizojifunza kutoka kwa uvujaji) na zinakubalika kwa sera.

Hii inaonyesha jinsi PassGPT inaweza kutumika kwa upimaji wa usalama unaozingatia sera, kuzalisha nenosiri dhaifu zinazowezekana zaidi ambazo bado zinapita ukaguzi wa sera, kuzitambua mapengo ya sera.

7. Matarajio ya Matumizi & Mwelekeo wa Baadaye

Muda mfupi (miaka 1-2):

• Ujumuishaji wa mifano kama PassGPT katika vikadiriaji vya nguvu vya nenosiri vya kibiashara na vya wazi (k.m., kama programu-jalizi ya zxcvbn).
• Kuchukuliwa na mifumo ya upimaji wa uvamizi kwa ajili ya ufyonzaji wa nenosiri wenye ufanisi zaidi, wenye akili na uigaji wa nguvu.
• Uundaji wa vizalishi vya "nenosiri za adui" ili kujaribu mifumo kwa kuzalisha nenosiri ambazo ni ngumu kwa vipimo vya kawaida lakini zinazowezekana chini ya mifano ya LLM.

Muda wa kati (miaka 3-5):

• Mifano mseto inayounganisha uwezekano wa LLM na vipimo vya kawaida vya entropy ya kriptografia kwa ajili ya alama ya nguvu yenye pande nyingi.
• Huduma za ukaguzi wa nenosiri kwa wakati halisi, zinazotegemea API kwa makampuni, kukagua nenosiri mpya dhidi ya mifano ya kizazi inayofunzwa kwenye uvujaji wa hivi karibuni.
• Matumizi zaidi ya nenosiri za maandishi wazi: kuunda mifumo ya maneno ya siri, majibu ya maswali ya usalama, na hata mfuatano wa tabia ya mtumiaji kwa ajili ya kugundua ukiukaji.

Muda mrefu & Mipaka ya Utafiti:

• Kuchunguza mifano ya usambazaji au usanifu mwingine wa kizazi cha nenosiri.
• Mbinu za kujifunza kwa ushirikiano kufunza mifano ya nenosiri kwenye data ya kibinafsi, iliyotawanyika ili kuboresha ufuniko bila kuleta uvujaji nyeti katikati.
• Kutumia mifano hii kubuni mpango mpya wa msingi wa kuunda nenosiri zinazopingana na LLM, kwa uwezekano kutumia mifano ya kizazi kwa "kuchanja" watumiaji dhidi ya mifumo inayotabirika.

Mwelekeo wa mwisho, kama ulivyoonyeshwa na mafanikio ya karatasi hii, ni uingizwaji hatua kwa hatua wa kanuni za nenosiri za heuristiki na mifano ya usalama ya uwezekano inayotokana na data.

8. Marejeo

1. Rando, J., Perez-Cruz, F., & Hitaj, B. (2023). PassGPT: Password Modeling and (Guided) Generation with Large Language Models. arXiv preprint arXiv:2306.01545v2.
2. Goodfellow, I., et al. (2014). Generative Adversarial Nets. Advances in Neural Information Processing Systems.
3. Zhu, J.-Y., et al. (2017). Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks. IEEE International Conference on Computer Vision (ICCV).
4. Vaswani, A., et al. (2012017). Attention Is All You Need. Advances in Neural Information Processing Systems.
5. Melicher, W., et al. (2016). Fast, Lean, and Accurate: Modeling Password Guessability Using Neural Networks. USENIX Security Symposium.
6. Weir, M., et al. (2009). Password Cracking Using Probabilistic Context-Free Grammars. IEEE Symposium on Security and Privacy.
7. FIDO Alliance. (2023). FIDO2/WebAuthn Specifications. Imepatikana kutoka https://fidoalliance.org/fido2/.