Utangulizi

Njia ya nywila bado ndiyo njia maarufu zaidi ya uthibitishaji wa watumiaji kutokana na unyenyekevu na kubadilikabadi kwake. Kwa hivyo, kukisia nywila ni kipengele muhimu cha utafiti wa usalama wa mtandao, muhimu kwa ajili ya majaribio ya usalama ya kushambulia (k.m., majaribio ya kuingilia, urejeshaji wa nywila) na tathmini ya nguvu ya kujihami. Njia za jadi, kutoka kwa kamusi zenye kanuni hadi mifano ya takwimu kama vile minyororo ya Markov na PCFG, zina mapungufu ya asili katika uwezo wa kuongezeka na kubadilika. Kuja kwa ujifunzaji wa kina, hasa mitandao ya neva ya kujirejesha, kuliahidi mabadiliko ya kawaida kwa kujifunza usambazaji tata wa nywila moja kwa moja kutoka kwa data. Hata hivyo, kizuizi kikubwa bado kipo: kiwango sampuli nasibu njia ya uzalishaji inayotumika na mifano hii haifai kabisa, ikitoa nakala zinazofanana na kukosa mpangilio wowote bora, ambayo hupunguza kasi sana mashambulizi ya nywila ya vitendo. Karatasi hii inatangaza SOPG (Search-Based Ordered Password Generation), njia mpya iliyoundwa kuzalisha nywila kutoka kwa mfano wa autoregressive kwa mpangilio takriban wa kushuka kwa uwezekano, na hivyo kubadilisha kikamilifu ufanisi wa kubahatisha nywila za neva.

2. Background & Related Work

2.1 Mbinu za Jadi za Kukisia Nenosiri

Mbinu za awali zilitegemea mashambulizi ya kamusi na yaliyoundwa kwa mikono Kanuni za Kubadilisha Majina ya Kazi (mf., John the RipperIngawa ni rahisi, mbinu hizi hazina msingi wa kinadharia na ufanisi wao unategemea sana ujuzi wa wataalam. Ueneaji wa uvujaji wa nywila kwa kiwango kikubwa (k.m., RockYou mwaka 2009) uliwezesha mbinu zenye msingi wa data na za uwezekano. Miundo ya Markov (k.m., OMEN) na Probabilistic Context-Free Grammar (PCFG) yalikuwa na maendeleo makubwa, kwa kuiga kimfumo muundo na uwezekano wa nywila. Hata hivyo, mara nyingi hukumbwa na ujazo wa kupita kiasi na hupambana kutengeneza seti kubwa na tofauti ya nywila zinazoweza kutokea, na hivyo kudhibiti kiwango cha usafiri.

2.2 Mbinu Zinazotumia Mtandao wa Neva

Miundo ya kujifunza kwa kina, ikijumuisha Generative Adversarial Networks (GANs) kama PassGAN na Variational Autoencoders (VAEs) Kama VAEPass, jifunze usambazaji wa msingi wa seti za data za nywila. Hivi karibuni zaidi, miundo ya autoregressive, haswa ile inayotegemea usanifu wa Transformer (k.m., PassGPT), imeonyesha utendaji bora zaidi kwa kuiga nywila kama mfuatano na kutabiri token inayofuata kutokana na zile zilizopita. Miundo hii inashika utegemezi wa masafa marefu kwa ufanisi zaidi. Kasoro ya msingi katika mbinu zote hizi za neva ni matumizi chaguomsingi ya sampuli nasibu (k.m., sampuli ya kiini, sampuli ya juu-k) kwa utengenezaji wa nywila, ambao kwa asili yake hauna mpangilio na hurudiwa.

3. Mbinu ya SOPG

3.1 Core Concept & Motivation

The core insight of SOPG is that for a password guessing attack to be efficient, the generated password list should be isiyorudishi na iliyopangwa kutoka kwa uwezekano mkubwa hadi mdogoUchaguzi nasibu unashindwa kuzingatia mambo yote mawili. SOPG inashughulikia hili kwa kuchukua mfano wa kujitolea kama mwongozo wa uwezekano wa algoriti ya utafutaji wa kimfumo, sawa na utafutaji wa boriti lakini ulioboreshwa kwa kuzalisha seti kamili, iliyopangwa ya wagombea wa kipekee badala ya mlolongo mmoja bora zaidi.

3.2 Search Algorithm & Ordered Generation

SOPG inatumia mkakati wa utafutaji unaotegemea foleni ya kipaumbele juu ya nafasi inayowezekana ya nenosiri. Huanza kutoka kwa ishara ya awali (k.m., mwanzo wa mlolongo) na kupanua nenosiri za sehemu kwa kurudia. Katika kila hatua, hutumia mtandao wa neva kutabiri uwezekano wa herufi inayofuata inayowezekana. Badala ya kuchukua sampuli nasibu, inachunguza matawi kwa mkakati, ikipa kipaumbele upanuzi unaosababisha nenosiri kamili zenye uwezekano mkubwa zaidi. Mchakato huu huorodhesha nenosiri kwa utaratibu karibu na bora, ukifanya uvumbuzi unaoongozwa wa usambazaji wa uwezekano wa mfano.

3.3 Muundo wa Mfano wa SOPGesGPT

The authors instantiate their method in SOPGesGPT, a password guessing model built upon the GPT (Generative Pre-trained Transformer) architecture. The model is trained on real password leaks to learn the joint probability distribution $P(x_1, x_2, ..., x_T)$ of password tokens. The autoregressive nature of GPT, where $P(x_t | x_{

4. Technical Details & Mathematical Formulation

Given an autoregressive model that defines the probability of a password $\mathbf{x} = (x_1, x_2, ..., x_T)$ as:

Algorithmu inaweza kufasiriwa kama kutafuta mti ambapo kila nodi ni nenosiri la sehemu. Orodha ya vipaumbele inasimamia nodi, zikiwekwa kipaumbele kulingana na makadirio ya kikomo cha juu ya uwezekano wa nenosiri lolote kamili linalotokana na nodi hiyo. Makadirio haya yanatokana na uwezekano wa masharti wa modeli. Algorithmu inarudia kutoa nodi iliyo na kikomo cha juu zaidi, kuipanua kwa tokeni moja (kuzalisha nodi za mtoto), kuhesabu vipimo vipya vya kikomo cha juu, na kuziingiza tena kwenye foleni. Nodi ya jani (nenosiri kamili) inapotolewa, inatolewa kama nenosiri linalofuata katika orodha iliyopangwa. Hii inahakikisha utafutaji bora-kwanza wa nafasi ya uwezekano.

5. Experimental Results & Analysis

Kiwango cha Ufunikaji

35.06%

Utendaji wa SOPGesGPT kwenye seti ya majaribio

Uboreshaji juu ya PassGPT

81%

Kipato cha juu zaidi

Ufanisi wa Utoaji Hitimisho

Mbali Wachechem

Nywila zinazohitajika dhidi ya Uchambuzi wa Nasibu

5.1 Ulinganisho na Uchanganuzi wa Nasibu

Karatasi kwanza inaonyesha faida ya msingi ya SOPG ikilinganishwa na uchaguzi wa nasibu kwenye muundo wa msingi wa GPT ule ule. Ili kufikia kiwango cha usafiri (asilimia ya nywila za majaribio zilizovunjwa), SOPG inahitaji orders of magnitude fewer generated passwords and model inferences. This is because every password generated by SOPG is unique and high-probability, whereas random sampling wastes computations on duplicates and low-probability guesses. This translates directly to faster attack times and lower computational cost.

5.2 Ulinganisho na Mbinu Bora za Sasa

Katika mtihani wa tovuti moja, SOPGesGPT inalinganishwa na viwango vikuu: OMEN (Markov), FLA, PassGAN (GAN), VAEPass (VAE), na PassGPT ya kisasa (Transformer yenye sampuli nasibu). Matokeo ni ya kuthibitisha. SOPGesGPT inafikia kiwango cha ufunuo cha 35.06%, ikizidi PassGPT kwa 81%, VAEPass kwa 380%, PassGAN kwa 421%, FLA kwa 298%, na OMEN kwa 254%. Hii inaweka hali ya juu zaidi ya kisasa, ikionyesha kuwa mbinu ya uzalishaji (SOPG) ni muhimu kama vile muundo wa mfano.

5.3 Vipimo Muhimu vya Utendaji

Kiwango cha Ufanisi: Sehemu ya nywila zilizotengenezwa ambazo ni halisi (zinalingana na nywila katika seti ya majaribio). SOPGesGPT pia inaongoza katika kipimo hiki, ikionyesha kuwa inatengeneza sio tu zaidi, lakini bora zaidi Nadhani.
Ufanisi wa Uzalishaji: Inapimwa kwa idadi ya mipigo ya mfano/maamuzi yanayohitajika kuvunja asilimia fulani ya nywila. Mbinu iliyopangwa ya SOPG hutoa mkunjo mkali wa ufanisi, ukiivunja nywila nyingi kwa maamuzi machache sana.
Maelezo ya Chati: Chati ya kinadharia ingeonyesha mistari miwili: moja ya "Chanjo ya Uchaguzi Nasibu dhidi ya Nambari za Siri Zilizotengenezwa" inapanda polepole na kwa mwendo wa asymptoti, ikionyesha kurudia kwa muda mrefu. Mstari wa "Chanjo ya SOPG dhidi ya Nambari za Siri Zilizotengenezwa" ungepanda kwa kasi na karibu kwa mstari mwanzoni, ukikauka baadaye, ukionyesha mpangilio wa kukisia ulio karibu na bora.

6. Analysis Framework & Case Example

Mfumo: Roboduara ya Ufanisi wa Kukisia Nenosiri. Tunaweza kuchanganua mfumo wowote wa kukisia nenosiri kwa kutumia shoka mbili: (1) Ubora wa Model (uwezo wa kujifunza usambazaji wa nywila halisi), na (2) Ufanisi wa Uzalishaji (uwezo wa kutoa nadhani kwa mpangilio wa uwezekano unaopungua bila kupoteza).

  • Robo I (Mtindo wa Chini, Ufanisi wa Chini): Mashambulizi ya kawaida yanayotegemea kanuni.
  • Robo ya II (Mtindo wa Juu, Uboreshaji wa Chini): PassGPT, PassGAN – mifano yenye nguvu inayozuiwa na sampuli za nasibu.
  • Robo la Tatu (Mtindo Mdogo, Uboreshaji wa Juu): Markov Iliyopangwa/PCFG – miundo iliyopunguzwa lakini uzalishaji wenye ufanisi.
  • Robo la Nne (Mtindo wa Juu, Uboreshaji wa Juu): SOPGesGPT – hali ya lengwa, ikichanganya muundo wa neva yenye uwezo mkubwa na algoriti bora ya uzalishaji ya SOPG.

Mfano wa Kesi (Hakuna Msimbo): Fikiria muundo unaojua nenosiri "password123" una uwezekano wa $10^{-3}$ na "xq7!kLp2" una uwezekano wa $10^{-9}$. Kichaguzi nasibu kinaweza kuchukua mamilioni ya makisi kugonga "password123". SOPG, kwa kutumia utafutaji wake, ingetambua na kutoa "password123" kama mojawapo ya makisi yake ya kwanza kabisa, ikichangia mara moja kwa ufunikaji. Uchambuzi huu wa mpangilio ndio chanzo cha ufanisi wake mkubwa.

7. Application Outlook & Future Directions

Proactive Password Strength Checkers: SOPG can power the next generation of real-time password strength meters that don't just check against dictionaries but simulate a state-of-the-art, efficient attack, giving users a more realistic risk assessment.
Digital Forensics & Lawful Recovery: Kuchochea urejeshaji wa nywila kwa uchunguzi unaoidhinishwa kwenye vifaa vilivyotekwa.
Mafunzo ya Upinzani kwa Mifumo ya Uthibitishaji: Kutumia orodha zilizotokana na SOPG kuwajaribu na kuimarisha mifumo ya uthibitishaji dhidi ya mashambulizi ya kisasa.
Mwelekeo wa Utafiti wa Baadaye:

  • Miundo Mseto: Kuchanganya uzalishaji ulioagizwa wa SOPG na usanifu mwingine wa kizalisha (mfano, miundo ya usambazaji) kwa nywila.
  • SOPG Inayobadilika/Inayotumika Mtandaoni: Kubadilisha utafutaji kwa wakati halisi kulingana na maoni kutoka kwa mfumo lengwa (mfano, majibu yanayopima kiwango).
  • Zaidi ya Nywila: Kutumia mfano wa uzalishaji uliopangwa kwa nyanja zingine za usalama kama vile kuzalisha URL zinazowezekana za udanganyifu au aina mbalimbali za virusi vya kompyuta.
  • Hatua za Kinga: Utafiti wa kugundua na kupunguza mashambulizi yanayotumia mikakati ya uzalishaji uliopangwa.

8. References

  1. J. Bonneau, "The Science of Guessing: Analyzing an Anonymized Corpus of 70 Million Passwords," IEEE Symposium on Security and Privacy, 2012.
  2. M. Weir, S. Aggarwal, B. de Medeiros, na B. Glodek, "Uvunjaji wa Nenosiri Kwa Kutumia Sarufi ya Mazingira-bila ya Uwezekano," IEEE Symposium on Security and Privacy, 2009.
  3. A. Radford, K. Narasimhan, T. Salimans, na I. Sutskever, "Kuboresha Uelewa wa Lugha Kwa Mafunzo ya Kwanza ya Kizalisha," OpenAI, 2018. (GPT foundational paper)
  4. B. Hitaj, P. Gasti, G. Ateniese, and F. Perez-Cruz, "PassGAN: A Deep Learning Approach for Password Guessing," International Conference on Applied Cryptography and Network Security (ACNS), 2019.
  5. D. Pasquini, G. Ateniese, and M. Bernaschi, "Unleashing the Tiger: Inference Attacks on Split Learning," ACM SIGSAC Conference on Computer and Communications Security (CCS), 2021. (Includes discussion on password inference).
  6. M. J. H. Almeida, Computers & Security, 2023.

9. Original Analysis & Expert Commentary

Core Insight

Mafanikio ya karatasi hii sio muundo mpya wa neva, bali ni ufafanuzi wa msingi wa tatizo. Kwa miaka mingi, jamii ya kubahatisha nywila, ikionyesha mwenendo katika NLP, imekuwa ikijishughulisha na kujenga makadirio makubwa zaidi na bora ya msongamano (sehemu ya GPT). SOPG inatambua kwa usahihi kwamba kwa kazi ya chini ya mto ya kuvunja, Mkakati wa kusimbua ni muhimu sanaNi tofauti kati ya kuwa na ramani kamili ya uwanja wa mabomu (modeli) na kujua jinsi ya kuvuka bila kupoteza hatua moja (SOPG). Hii inabadilisha kipaumbele cha utafiti kutoka uwezo wa modeli safi kwenda algorithms bora za inferensia juu ya mifano hii—somo ambalo nyanja nyingine za AI za kuzalisha zilijifunza mapema (mfano, utafutaji wa boriti katika tafsiri ya mashine).

Mtiririko wa Kimantiki

Hoja hiyo ni ya kulazimisha: 1) Ufanisi wa shambulio la nenosiri unafafanuliwa na mkunjo wa kiwango cha kugonga dhidi ya idadi ya uvumbuzi. 2) Mifano ya autoregressive inatoa uwezekano kwa kila tokeni. 3) Uchambuzi wa nasibu kutoka kwa usambazaji huu haufai kabisa kwa kuunda orodha ya utabiri iliyopangwa. 4) Kwa hivyo, tunahitaji algoriti ya utafutaji inayotumia modeli kama nabii ili kujenga kwa uwazi mlolongo wenye uwezekano mkubwa zaidi kwanza. Rukia kutoka kutambua tatizo (3) hadi kutatua kiufundi (4) ndiko upya ulipo. Uhusiano na algoriti za kitamaduni za utafutaji wa sayansi ya kompyuta (A*, boriti) ni wazi, lakini urekebishaji wake kwa nafasi kubwa, iliyoundwa ya matokeo ya manenosiri sio jambo dogo.

Strengths & Flaws

Nguvu: Matokeo ya majaribio ni ya kushangaza na hayana nafasi ya shaka juu ya ubora wa SOPG katika tathmini ya kawaida ya nje ya mtandao, ya tovuti moja. Hoja ya ufanisi ni ya kinadharia na imethibitishwa kivitendo. Ni njia ya jumla inayoweza kutumika kwa mfano wowote wa kujirejesha, sio tu utekelezaji wao wa GPT.
Flaws & Questions: Tathmini hiyo, ingawa ya kuvutia, bado iko katika mazingira ya maabara. Mashambulio ya ulimwengu halisi yanakabiliana na ulinzi unaobadilika (kiwango cha kikomo, kufungwa nje, manenosamu), na karatasi haijajaribu uwezo wa SOPG katika hali hizi. Mzigo wa kihesabu wa algorithm ya utafutaji yenyewe kwa kila nenosiri lililoundwa uwezekano mkubwa kuliko sampuli moja ya nasibu, ingawa faida ya ufanisi wa jumla ni chanya wazi. Pia kuna suala la maadili kubwa: wakati waandishi wanaielekeza kwa matumizi ya ulinzi, chombo hiki kinapunguza kikwazo kwa mashambulio yenye ufanisi mkubwa. Uwanja huu lazima ushikane na hali ya matumizi mawili ya maendeleo kama haya, sawa na majadiliano kuhusu miundo ya AI inayozalisha kama vile CycleGAN au kwa mifano ya lugha kubwa.

Ufahamu Unaoweza Kutekelezwa

Kwa Wataalamu wa Usalama: Karatasi hii ni wito wa kuamka. Sera za nenosiri lazima zibadilike na kuzidi kuzuia maneno rahisi ya kamusi. Watetezi wanahitaji kuanza kujaribu mifumo yao dhidi ya mashambulizi yaliyoagizwa kama SOPG, ambayo sasa ni kiwango kipya. Zana kama Have I Been Pwned au zxcvbn zinahitaji kujumuisha mbinu hizi za juu za uzalishaji kwa makadirio ya nguvu ya kuwa ya kweli zaidi.
Kwa Watafiti: Utepe umepitishwa. Upeo unaofuata sio tu muundo tena, bali zinazobadilika na ufanisi wa maswali uzalishaji. Je, tunaweza kujenga mifano inayojifunza kutokana na maoni ya shambulio la sehemu? Je, tunaweza kuendeleza mifano ya kinga inayogundua na kuchanganya uzalishaji ulioagizwa? Zaidi ya hayo, kama ilivyobainishwa na taasisi kama NIST Katika miongozo yao ya utambulisho wa kidijitali, suluhisho la muda mrefu liko katika kukwenda zaidi ya nywila. Utafiti huu wakati huo huo unasisitiza kilele cha uvunjaji wa nywila na kusisitiza mapungufu yake ya asili, tukisukumwa kuelekea uthibitishaji usio na nywila. SOPG ni hatua bora ya mwisho ya kukisia nywila na hoja yenye nguvu ya kustaafisha kwake.