Chagua Lugha

PESrank: Ukadiriaji wa Uwezekano wa Nenosiri Mtandaoni Kupitia Ukadiriaji wa Cheo cha Vipimo Vingi

Uchambuzi wa PESrank, mkadiriaji mpya wa nguvu ya nenosiri unaotumia ukadiriaji wa cheo cha vipimo vingi kwa tathmini ya haraka, sahihi, na inayoweza kuelezewa ya usalama wa nenosiri mtandaoni.
computationalcoin.com | PDF Size: 0.8 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - PESrank: Ukadiriaji wa Uwezekano wa Nenosiri Mtandaoni Kupitia Ukadiriaji wa Cheo cha Vipimo Vingi
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » PESrank: Ukadiriaji wa Uwezekano wa Nenosiri Mtandaoni Kupitia Ukadiriaji wa Cheo cha Vipimo Vingi

1. Utangulizi

Makala hii inatangaza PESrank, mkadiriaji mpya wa nguvu ya nenosiri ulioundwa kuiga kwa usahihi tabia ya kivunja nenosiri chenye nguvu kwa kuhesabu cheo cha nenosiri katika mpangilio bora wa uwezekano. Inashughulikia hitaji muhimu la maoni ya haraka, sahihi, na yanayoweza kuelezewa kuhusu nguvu ya nenosiri katika mifumo ya mtandaoni.

1.1. Msingi wa Mada

Licha ya udhaifu wao, nenosiri za maandishi bado ndizo njia kuu ya uthibitishaji. Wakadiriaji wa kawaida wa nguvu kwa kutumia kanuni za kimantiki (k.m., sheria za LUDS) sio sahihi. Wakadiriaji wanaotumia mbinu za kivunja nenosiri kwa kutumia modeli za Markov, PCFGs, au mitandao ya neva hutoa usahihi bora lakini mara nyingi hukumbwa na muda mrefu wa mafunzo au ukosefu wa utendaji wa papo hapo na uwezo wa kuelezeka.

1.2. Michango

Michango mikuu ya PESrank ni matumizi yake mapya ya mfumo wa ukadiriaji wa cheo kutoka kwa uchambuzi wa kriptografia wa njia za upande kwa nenosiri, kuwezesha ukadiriaji wa cheo ndani ya chini ya sekunde bila kuorodhesha, kupunguza sana muda wa mafunzo, ubinafsishaji wa modeli kwa ufanisi bila kufunza upya, na uwezo wa asili wa kuelezeka kwa maoni ya mtumiaji.

2. Mbinu ya PESrank

PESrank inaweka upya ukadiriaji wa nguvu ya nenosiri kama shida ya ukadiriaji wa cheo cha vipimo vingi, ikichukua msukumo kutoka kwa mbinu za uchambuzi wa mashambulio ya njia za upande zinazotumiwa katika kriptografia.

2.1. Uwakilishi wa Nenosiri wa Vipimo Vingi

Nenosiri hutenganishwa kuwa sehemu katika nafasi ya utafutaji yenye vipimo vingi. Kila kipimo kinawakilisha sifa huru kama neno la msingi (k.m., "nenosiri"), muundo wa herufi kubwa (k.m., "Nenosiri"), nyongeza za kiambishi (k.m., "nenosiri123"), au mabadiliko ya leet-speak (k.m., "n@n0s1r1"). Usambazaji wa uwezekano kwa kila kipimo hujifunza tofauti kutoka kwa seti za data za nenosiri.

2.2. Mfumo wa Ukadiriaji wa Cheo

Badala ya kuorodhesha nenosiri zote zinazowezekana, PESrank inakadiria cheo cha mchanganyiko maalum wa nenosiri kwa kuhesabu idadi ya mchanganyiko wa nenosiri wenye uwezekano mkubwa zaidi (yaani, wenye uwezekano wa pamoja wa juu) kuliko nenosiri lililopewa. Hii inalingana na kukadiria cheo cha ufunguo wa usimbuaji katika shambulio la njia ya upande.

3. Utekelezaji wa Kiufundi & Modeli ya Hisabati

3.1. Algorithm Kuu na Fomula

Kiini cha PESrank kinahusisha kuhesabu uwezekano wa pamoja wa nenosiri inayowakilishwa na vekta ya thamani za vipimo $\vec{x} = (x_1, x_2, ..., x_d)$. Kwa kudhani vipimo vina uhuru (urahisishaji kwa ufanisi), uwezekano ni: $$P(\vec{x}) = \prod_{i=1}^{d} P_i(x_i)$$ ambapo $P_i(x_i)$ ni uwezekano wa thamani $x_i$ katika kipimo $i$, iliyojifunza kutoka kwa data ya mafunzo. Cheo $R(\vec{x})$ kinakadiriwa kwa kujumlisha uwezekano wa vekta zote $\vec{y}$ ambapo $P(\vec{y}) > P(\vec{x})$. Algorithm zenye ufanisi kutoka kwa fasihi ya njia za upande, kama mbinu ya kupaka mipaka, hutumiwa kuhesabu mipaka ya juu na ya chini iliyokazwa kwa jumla hii bila orodhesha kamili.

3.2. Uwezo wa Kuelezeka na Ubinafsishaji

Modeli ya vipimo vingi ina uwezo wa kuelezeka kiasili. Mfumo unaweza kuripoti ni vipimo gani (k.m., "neno la msingi lenye matumizi mengi sana" au "kiambishi kinachotabirika kama '123'") vinachangia zaidi kwa cheo cha chini cha nenosiri (uwezekano mkubwa wa kukisiwa). Ubinafsishaji (k.m., kujumuisha jina la mtumiaji au mwaka wa kuzaliwa kama neno la msingi lililokatazwa) unaweza kufikiwa kwa kurekebisha kwa nguvu uwezekano $P_i(x_i)$ kwa vipimo vinavyohusika kuwa karibu na sifuri, na kuathiri mara moja mahesabu ya cheo bila kufunza upya modeli.

4. Matokeo ya Majaribio & Utendaji

4.1. Viwango vya Usahihi na Kasi

Utekelezaji wa Python ulitathminiwa kwa kina. Matokeo muhimu ni pamoja na:

  • Kasi: Muda wa majibu wa chini ya sekunde kwa ukadiriaji wa cheo, hata kwa modeli iliyofunzwa kwenye nenosiri milioni 905.
  • Usahihi: Mipaka ya cheo iliyokadiriwa ilikuwa thabiti ndani ya kipengele cha 2 (pembejeo ya biti 1) ya cheo cha kweli, ikionyesha usahihi wa juu.
  • Muda wa Mafunzo: Mfupi sana kuliko modeli za mtandao wa neva au PCFGs changamano, zinazohitaji mahesabu chini kwa kiwango kikubwa.
Vipimo hivi vinasisitiza uwezekano wa vitendo kwa uwekaji mtandaoni.

4.2. Utekelezaji wa Ulimwenguni Halisi

PESrank iliunganishwa kwenye ukurasa wa usajili wa kozi ya chuo kikuu. Ilitoa maoni ya papo hapo, yanayoweza kuelezewa kwa watumiaji wanaounda nenosiri, ikionyesha utumiaji wake na utendaji chini ya hali halisi ya mzigo. Maoni hayo yalisaidia kuwaelekeza watumiaji mbali na muundo dhaifu, unaotabirika wa nenosiri.

5. Mfumo wa Uchambuzi & Mfano wa Kesi

Mtazamo wa Mchambuzi: Ufahamu Msingi, Mtiririko wa Kimantiki, Nguvu & Kasoro, Ufahamu Unaoweza Kutekelezwa

Ufahamu Msingi: PESrank sio tu uboreshaji mdogo zaidi katika vipima vya nenosiri; ni mabadiliko ya msingi ya dhana. Imefanikiwa kuchukua mfumo mkali, wa kiasi cha ukadiriaji wa cheo kutoka kwa uchambuzi wa njia za upande—kiasi muhimu katika tathmini ya vifaa vya kriptografia vyenye hatari kubwa—na kuiweka katika ulimwengu mgumu wa nenosiri zilizochaguliwa na binadamu. Hatua hii kutoka kwa makisio ya kimantiki hadi uchambuzi wa uwezekano wa kriptografia ni hatua bora. Inachukulia kuvunja nenosiri sio kama shida ya lugha au kufananisha muundo, bali kama shida ya utafutaji katika nafasi ya uwezekano iliyoundwa, ikilingana kikamilifu na jinsi mavunja nenosiri ya kisasa kama Hashcat na John the Ripper hufanya kazi kwa sheria za kuharibisha na minyororo ya Markov.

Mtiririko wa Kimantiki: Mantiki yake ni rahisi na ya kupunguza. 1) Tenganisha nenosiri kuwa vipengele huru, vinavyohusiana na kivunja nenosiri (maneno ya msingi, mabadiliko). 2) Jifunze modeli rahisi ya uwezekano kwa kila kipengele kutoka kwa data ya uvunjaji. 3) Unda upya uwezekano wa nenosiri kukisiwa kwa kuhesabu ni mchanganyiko mangapi zaidi yenye uwezekano yanayokuwepo. Hii inapita hitaji la modeli kubwa, isiyo wazi za mitandao ya neva (kama zile zilizo kwenye [30, 37]) au seti za sheria zenye ugumu wa PCFGs [41]. Dhana ya uhuru kati ya vipimo ndio hatua yake muhimu ya kurahisisha, ikibadilisha usahihi fulani wa kuiga kwa faida kubwa za kasi na uwezo wa kuelezeka—badiliko linaloonekana lenye manufaa sana kivitendo.

Nguvu & Kasoro: Nguvu zake ni kubwa: kasi ya kushangaza na uwezo wa kuelezeka kiasili ni vipengele vya kuvutia kwa matumizi ya ulimwenguni halisi, ikishughulikia maeneo mawili makubwa ya maumivu ya modeli za kitaaluma. Hila ya ubinafsishaji ni erevu na ya vitendo. Hata hivyo, kasoro muhimu iko katika dhana ya uhuru. Ingawa ina ufanisi, haizingatii uhusiano (k.m., muundo fulani wa herufi kubwa una uwezekano mkubwa zaidi na maneno fulani ya msingi). Hii inaweza kusababisha usahihi duni wa cheo kwa nenosiri changamano, zilizohusiana. Zaidi ya hayo, usahihi wake unahusishwa kiasili na ubora na upana wa data yake ya mafunzo kwa kila kipimo, utegemezi ambao unashirikiwa na modeli zote zinazoendeshwa na data. Inaweza kukumbwa na mikakati mpya kabisa ya uundaji wa nenosiri isiyoonekana katika uvunjaji wa zamani.

Ufahamu Unaoweza Kutekelezwa: Kwa timu za usalama, ujumbe ni wazi: acha vipima vya LUDS. PESrank inaonyesha kuwa maoni sahihi ya kivunja nenosiri, ya papo hapo sasa yanawezekana kivitendo. Njia ya ujumuishaji iliyoonyeshwa—kuingiza kwenye lango la usajili—ni mfano wa mpango. Kwa watafiti, siku zijazo ziko katika modeli mseto. Unganisha mfumo wa PESrank wenye ufanisi, unaoweza kuelezewa na sehemu nyepesi ya neva ili kuiga uhusiano kati ya vipimo, sawa na jinsi modeli za maono kama CycleGAN hutumia jenereta tofauti kwa mabadiliko tofauti ya kikoa huku zikiendelea kuwa na muundo wa umoja. Upeo unaofuata ni ubinafsishaji unaojifunza unaojifunza kutoka kwa mapendekezo ya nenosiri yaliyokataliwa na mtumiaji ili kuboresha modeli yake kwa wakati halisi, kusonga mbele zaidi ya orodha tuli za kuzuia.

6. Matumizi ya Baadaye & Mwelekeo wa Utafiti

  • Uwindaji wa Tishio Kabla ya Kutokea: Zaidi ya vipima vinavyowakabili watumiaji, algorithm kuu ya PESrank inaweza kuchunguza hifadhidata zilizopo za nenosiri (kwa kutumia hash inayofaa) ili kutambua mapema na kuweka alama kwenye akaunti zilizo na nenosiri zinazoweza kukisiwa kwa urahisi, na kuwezesha upya wa kulazimishwa.
  • Vifaa Vilivyoboreshwa vya Ubinafsishaji: Mifumo ya baadaye inaweza kuunganishwa na saraka za shirika (k.m., LDAP) ili kujibinafsisha kiotomatiki modeli na majina ya wafanyikazi, majina ya mradi, na istilahi za ndani, na kuunda modeli ya tishio maalum ya shirika inayobadilika.
  • Kuweka Viwango na Kuanzisha Viwango: Mbinu ya ukadiriaji wa cheo hutoa kipimo cha kiasi, cha kikali. Hii inaweza kuwa msingi wa viwango vya kitaasisi vya kupima nguvu ya nenosiri, kusonga mbele zaidi ya lebo zisizo wazi za "nguvu" au "udhaifu".
  • Uthibitishaji wa Modeli Mseto: PESrank inaweza kutumika kama kichujio cha "kupita kwanza" chenye kasi na kinachoweza kuelezewa, na nenosiri zinazoshukiwa kuwekewa alama kwa uchambuzi wa kina zaidi na modeli zenye mahitaji makubwa ya hesabu (k.m., RNNs), na kuunda ulinzi wenye ngazi.
  • Utafiti juu ya Utegemezi wa Vipimo: Njia kuu ya utafiti ni kupunguza dhana ya uhuru. Kuchunguza modeli nyepesi za uhusiano (k.m., mitandao ya Bayes juu ya vipimo) kunaweza kuboresha usahihi kwa nenosiri changamano bila kukosa faida kuu ya kasi.

7. Marejeo

  1. L. David na A. Wool, "Online Password Guessability via Multi-Dimensional Rank Estimation," arXiv preprint arXiv:1912.02551v2, 2020.
  2. J. Bonneau, "The Science of Guessing: Analyzing an Anonymized Corpus of 70 Million Passwords," IEEE Symposium on Security and Privacy, 2012.
  3. M. Weir, S. Aggarwal, B. de Medeiros, na B. Glodek, "Password Cracking Using Probabilistic Context-Free Grammars," IEEE Symposium on Security and Privacy, 2009.
  4. W. Melicher, B. Ur, S. M. Segreti, S. Komanduri, L. Bauer, N. Christin, na L. F. Cranor, "Fast, Lean, and Accurate: Modeling Password Guessability Using Neural Networks," USENIX Security Symposium, 2016.
  5. D. Wang, H. Cheng, P. Wang, X. Huang, na G. Jian, "A Security Analysis of Honeywords," NDSS, 2018. (Mfano wa uchambuzi mkali unaohusiana na nenosiri)
  6. P. G. Kelley, S. Komanduri, M. L. Mazurek, R. Shay, T. Vidas, L. Bauer, N. Christin, L. F. Cranor, na J. Lopez, "Guess Again (and Again and Again): Measuring Password Strength by Simulating Password-Cracking Algorithms," IEEE Symposium on Security and Privacy, 2012.
  7. Taasisi ya Kitaifa ya Viwango na Teknolojia (NIST), "Miongozo ya Utambulisho Dijitali," NIST Chapisho Maalum 800-63B, 2017. (Kwa muktadha wa viwango vya uthibitishaji)