Chagua Lugha

PESrank: Kukisia Nguvu ya Nenosiri Mtandaoni Kupitia Kukadiria Nafasi ya Kujidimu

Uchambuzi wa PESrank, kikadirio kipya cha nguvu ya nenosiri kinachotumia ukadiriaji wa nafasi ya kujidimu kwa tathmini ya usalama ya nenosiri inayoweza kufanyika mtandaoni, kuelezeka, na kubadilishwa.
computationalcoin.com | PDF Size: 0.8 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - PESrank: Kukisia Nguvu ya Nenosiri Mtandaoni Kupitia Kukadiria Nafasi ya Kujidimu
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » PESrank: Kukisia Nguvu ya Nenosiri Mtandaoni Kupitia Kukadiria Nafasi ya Kujidimu

1. Utangulizi

Makala hii inatangaza PESrank, kikadirio kipya cha nguvu ya nenosiri kilichoundwa kuiga kwa usahihi tabia ya kivunja nenosiri chenye nguvu kwa kuhesabu nafasi ya nenosiri katika mpangilio bora wa uwezekano. Inashughulikia hitaji muhimu la viwakadirio vyenye uwezo wa kutumika mtandaoni na kivitendo vinavyozidi kanuni rahisi kama vile hesabu za LUDS (Herufi Ndogo, Herufi Kubwa, Nambari, Alama).

1.1. Msingi

Licha ya udhaifu unaojulikana, nenosiri za maandishi bado ndizo njia kuu ya uthibitishaji. Watumiaji mara nyingi huchagua nenosiri dhaifu, zinazoweza kutabirika, na hivyo kufanya mifumo iwe nyeti kwa mashambulizi ya kukisia. Nguvu kamili inafafanuliwa kama idadi ya majaribio ambayo mvunaji anahitaji kuyafanya ili kuikisia. Viwakadirio vya awali vilivyotegemea vivunaji vilitumia miundo ya Markov, PCFGs, na mitandao ya neva, lakini mara nyingi vilikumbwa na muda mrefu wa mafunzo au kukosa uwezo wa kufanya kazi kwa wakati halisi.

1.2. Michango

Ubunifu mkuu wa PESrank ni kuunda upya ukadiriaji wa nafasi ya nenosiri ndani ya mfumo wa uwezekano kutoka kwa uchambuzi wa kriptografia wa njia za upande. Inachukulia nenosiri kama pointi katika nafasi ya utafutaji yenye vipimo d (mfano, neno la msingi, kiambishi, muundo wa herufi kubwa), na kujifunza usambazaji wa uwezekano kwa kila kipimo kwa kujitegemea. Hii inawezesha ukadiriaji wa nafasi wa haraka, wa mtandaoni bila kuorodhesha, ubinafsishaji wa mfano wenye ufanisi, na mrejesho unaoelezeka.

2. Njia ya PESrank

PESrank hutenganisha nenosiri kuwa vipimo vinavyoweza kufasiriwa, na kubadilisha tatizo la ukadiriaji wa nguvu kuwa kazi ya ukadiriaji wa nafasi yenye vipimo vingi.

2.1. Uwakilishi wa Nenosiri wenye Vipimo Vingi

Nenosiri kama "P@ssw0rd2024!" inaweza kuwakilishwa katika vipimo: Neno la Msingi ("password"), Muundo wa Kubadilisha L33t, Kiambishi ("2024"), na Uongezaji wa Herufi Maalum. Kila kipimo kina chaguo la kukokotoa la wingi wa uwezekano linalojifunza kutoka kwa data ya mafunzo.

2.2. Mfumo wa Kukadiria Nafasi

Badala ya kuorodhesha nenosiri zote zinazowezekana, PESrank inahesabu nafasi R(p) ya nenosiri maalum p kwa kujumlisha uwezekano wa nenosiri zote zenye uwezekano mkubwa kuliko p katika nafasi ya mchanganyiko inayofafanuliwa na vipimo. Hii inafanana na kukadiria nafasi ya ufunguo wa siri katika uchambuzi wa njia za upande.

3. Utekelezaji wa Kiufundi & Mfano wa Hisabati

3.1. Mfumo wa Uwezekano

Acha nenosiri p iwakilishwe kama vekta (x1, x2, ..., xd) katika vipimo d vinavyojitegemea. Uwezekano wa p unakadiriwa kama: $$P(p) \approx \prod_{i=1}^{d} P_i(x_i)$$ ambapo Pi(xi) ni uwezekano wa pembezoni wa sehemu xi katika kipimo i. Nafasi R(p) ni jumla ya uwezekano wa nenosiri zote q zenye P(q) > P(p).

3.2. Hesabu ya Nafasi yenye Ufanisi

PESrank hutumia algoriti zenye ufanisi kuhesabu jumla hii bila kuorodhesha. Kwa kila kipimo, inadumisha orodha zilizopangwa za vipengele kulingana na uwezekano. Hesabu ya nafasi inahusisha kupitia orodha hizi na kujumlisha bidhaa za sehemu, na kufikia utendaji wa chini ya sekunde hata kwa mfano uliofunzwa kwenye nenosiri milioni 905.

4. Matokeo ya Majaribio & Tathmini

4.1. Vipimo vya Utendaji

Makala inaripoti tathmini pana. Matokeo muhimu ni pamoja na:

  • Kasi: Muda wa kujibu "chini kabisa ya sekunde 1" kwa maswali ya mtandaoni.
  • Usahihi: Makadirio ya nafasi yenye ukingo wa hadi biti 1 kati ya mipaka ya juu na ya chini, ikionyesha usahihi wa juu.
  • Muda wa Mafunzo: "Mfupi sana" kuliko mbinu za awali (ambazo zinaweza kuhitaji siku).

Maelezo ya Chati (Dhana): Chati ya baa inayolinganisha muda wa mafunzo ya PESrank (saa kadhaa) dhidi ya mfano wa Mtandao wa Neva (siku kadhaa) na mfano wa PCFG (saa kadhaa za makumi). Grafu ya mstari inaonyesha ucheleweshaji wa swali la PESrank ukibaki thabiti chini ya sekunde 1 ukubwa wa mfano (idadi ya nenosiri katika seti ya mafunzo) unavyoongezeka kutoka milioni 10 hadi bilioni 1.

4.2. Ulinganisho na Mbinu Zilizopo

PESrank ililinganishwa na viwakadirio vya kanuni rahisi (LUDS), Markov, na vilivyotegemea PCFG. Ilionyesha uhusiano bora zaidi na mpangilio halisi wa kuvunja kutoka kwa zana kama Hashcat, na kuthibitisha lengo lake la muundo "linalotegemea kivunja". Kipengele chake cha kuelezeka, kinachotoa sababu za nafasi ya chini (mfano, "neno la msingi liko katika orodha ya juu 100 ya kawaida"), ni faida tofauti kuliko mitandao ya neva isiyoeleweka.

5. Ufahamu Muhimu & Mfumo wa Uchambuzi

Ufahamu Mkuu

PESrank sio tu uboreshaji mdogo mwingine; ni mabadiliko ya dhana. Inaweza kuchukua mbinu kamili, za kiasi za ukadiriaji wa nafasi kutoka kwa uchambuzi wa kriptografia wa njia za upande—eneo linaloshikiliwa na kupima uvujaji wa ufunguo wa sehemu—na kuziweka katika ulimwengu mchanganyiko wa nenosiri zilizochaguliwa na binadamu. Uchangiaji huu wa mawazo ndio werevu wake. Wakati miundo kama mtandao wa neva wa Google wa 2016 ilipata usahihi wa juu, ilikuwa isiyo wazi na polepole kufunzwa. PESrank inatoa usahihi unaolingana wa kuiga kivunja lakini kwa uwazi na kasi ya mfano ulioandaliwa vizuri wa uwezekano.

Mtiririko wa Mantiki

Mantiki hii ni rahisi kwa kupunguza: 1) Tenganisha nenosiri kuwa vipimo vinavyojitegemea, vinavyoweza kufasiriwa na binadamu (hatua inayokumbusha PCFG ya Weir na wenzake lakini yenye undani zaidi). 2) Chukulia uhuru wa vipimo ili kufanya nafasi ya uwezekano iweze kudhibitiwa—urahisishaji muhimu ambao matokeo yanathibitisha. 3) Tumia algoriti za ukadiriaji wa nafasi zinazozuia mlipuko wa mchanganyiko wa kuorodhesha. Mtiririko kutoka data (uvujaji wa nenosiri) hadi mfano (PMFs za kila kipimo) hadi pato linaloweza kutekelezwa (nafasi na maelezo) ni safi na lenye ufanisi wa kihesabu.

Nguvu & Kasoro

Nguvu: Uhusiano wa kasi (matumizi ya mtandaoni), ueleweka, na ubadilishaji ni wa kuvutia kwa utekelezaji wa ulimwengu halisi. Uwezo wa kubinafsisha mfano "katika sehemu ndogo za sekunde" kwa mtumiaji (mfano, kupunguza nafasi ya nenosiri zenye jina lao) ni kipengele kikubwa cha usalama wa biashara. Ufanisi wake wa mafunzo pia hupunguza kikwazo cha kutumia seti kubwa za data za nenosiri zilizo na habari mpya.

Kasoro: Dhana kuu ya uhuru wa vipimo ndio udhaifu wake mkubwa. Kwa kweli, uchaguzi wa mtumiaji katika vipimo vina uhusiano (mfano, herufi kubwa fulani zina uwezekano mkubwa zaidi na maneno fulani ya msingi). Makala yanakubali hili lakini yanasema makadirio yanabaki yenye ufanisi. Zaidi ya hayo, kama miundo yote inayotegemea uvujaji, inatazamia nyuma kiasili, na inaweza kupunguza makisio nguvu ya mikakati mpya ya uundaji wa nenosiri ambayo bado haijaonekana katika uvujaji.

Ufahamu Unaoweza Kutekelezwa

Kwa Wakuu wa Usalama wa Habari (CISOs) na timu za usalama wa bidhaa: Jaribu PESrank au wafuasi wake wa dhana katika mchakato wako wa usajili wa watumiaji. Ueleweka wake unaweza kubadilisha sera ya nenosiri kutoka kwa kizuizi cha kukasirisha kuwa wakati wa kufundisha, na kwa uwezekano kuboresha utii. Kwa watafiti: Makala yanafungua njia. Je, dhana ya uhuru inaweza kupunguzwa kwa miundo ngumu zaidi ya uwezekano ya picha, lakini bado yenye ufanisi? Je, mfumo huu unaweza kuunganishwa na "linganisho la mafumbo" kwa makosa ya kuandika au tofauti ndogo? Ujumuishaji wa data ya ubinafsishaji ya wakati halisi (orodha ya kampuni, hati za kuthibitishwa zilizovunjwa) ndio hatua inayofuata ya kimantiki kwa kikadirio cha biashara kinachoweza kujibadilisha kwa kweli.

6. Mtazamo wa Matumizi & Mwelekeo wa Baadaye

Kuangalia Nenosiri Kwa Kukabiliana: Ujumuishaji katika kurasa za usajili za tovuti na programu kama mshauri wa wakati halisi, ukitoa mrejesho wa haraka, unaoeleweka.

Mifumo ya Uthibitishaji Inayojibadilisha: Upimaji wa hatari unaobadilika ambapo nafasi ya nenosiri huathiri hitaji la sababu za ziada za uthibitishaji (mfano, nenosiri lenye nafasi ya chini husababisha 2FA ya lazima).

Sera za Usalama Zilizobinafsishwa: Mifumo ya biashara inaweza kudumisha miundo iliyobinafsishwa kwa kila mfanyakazi, ikipunguza nafasi ya nenosiri zenye habari maalum ya mfanyakazi (jina, kitambulisho, idara) kiotomatiki.

Utafiti wa Baadaye: Kupanua mfano kushughulikia misemo ya nenosiri, kuchunguza mchanganyiko wa kujifunza kwa kina kwa kukamata uhusiano wa vipimo vya hali ya juu, na kuunda viwango vya kawaida vya kupima nguvu ya nenosiri sawa na miongozo ya NIST ya nenosiri lakini kwa tathmini ya algoriti.

7. Marejeo

  1. David, L., & Wool, A. (2020). Online Password Guessability via Multi-Dimensional Rank Estimation. arXiv preprint arXiv:1912.02551.
  2. Weir, M., Aggarwal, S., Medeiros, B., & Glodek, B. (2009). Password cracking using probabilistic context-free grammars. In 2009 30th IEEE Symposium on Security and Privacy.
  3. Melicher, W., Ur, B., Segreti, S. M., Komanduri, S., Bauer, L., Christin, N., & Cranor, L. F. (2016). Fast, lean, and accurate: Modeling password guessability using neural networks. In 25th USENIX Security Symposium.
  4. NIST. (2017). Digital Identity Guidelines: Authentication and Lifecycle Management. NIST Special Publication 800-63B.
  5. Bonneau, J. (2012). The science of guessing: analyzing an anonymized corpus of 70 million passwords. In 2012 IEEE Symposium on Security and Privacy.