1. Utangulizi

Nywila bado ndio njia inayotumika sana ya kuthibitisha utambulisho wa mtumiaji kwa sababu ya urahisi na kubadilika kwake. Hata hivyo, usalama wake daima unakabiliwa na majaribio ya kuvunja nywila. Kukisia nywila, ambacho ni mchakato wa kuzalisha nywila zinazowezekana kwa ajili ya mashambulizi ya kamusi, ndio msingi wa majaribio ya usalama ya kushambulia na ya kutathmini nguvu ya nywila. Mbinu za jadi, kuanzia heuristiki zinazotegemea kanuni hadi mifano ya takwimu kama vile minyororo ya Markov na PCFG, zina mapungufu ya asili katika utofauti na ufanisi. Kuja kwa ujifunzaji wa kina, hasa mitandao ya neva ya kujirejesha, kuliahidi mabadiliko makubwa. Hata hivyo, kosa kubwa limekuwa njia ya uzalishaji yenyewe. Sampuli nasibu ya kawaida kutoka kwa mifano hii hutoa marudio na matokeo yasiyopangwa, na hivyo kupunguza sana ufanisi wa vitendo wa mashambulizi ya nywila. Karatasi hii inatangaza SOPG (Uundaji wa Nywila Zilizoagizwa Kulingana na Utafutaji), njia mpya ambayo inamlazimisha modeli ya kujirejesha kuzalisha nywila kwa mpangilio wa karibu kamili wa uwezekano unaopungua, na hivyo kushughulikia dosari hii ya msingi.

2. Mazingira na Kazi Inayohusiana

2.1 Mabadiliko ya Kukisia Nywila

Uwanja huu umebadilika kupitia awamu tofauti: Uorodheshaji unaotegemea kanuni (mfano, kanuni za John the Ripper), ambazo hutegemea utaalamu wa mikono; Mifano ya takwimu kama vile mifano ya Markov (OMEN) na Sarufi ya Uwezekano Isiyo na Mazingira (PCFG), ambayo hujifunza muundo kutoka kwa seti za data zilizovuja lakini mara nyingi huzidi kufaa; na enzi ya sasa ya Mifano ya Ujifunzaji wa Kina.

2.2 Mbinu Zinazotumia Mitandao ya Neva

Mifano kama vile PassGAN (inayotegemea Mitandao ya Kuzalisha ya Kupingana), VAEPass (Viwango vya Kujiencoding), na PassGPT (inayotegemea muundo wa GPT) hutumia mitandao ya kina ya neva kujifunza usambazaji changamano wa nywila. Ingawa hushika nuances bora kuliko mifano ya takwimu, uzalishaji wao wa kawaida kupitia sampuli nasibu haufai kwa hali za shambulio ambapo kujaribu nywila kwa mpangilio wa uwezekano ni muhimu zaidi.

3. Njia ya SOPG

3.1 Dhana Kuu

SOPG sio muundo mpya wa mtandao wa neva, bali ni algorithm ya uzalishaji inayotumika juu ya modeli ya kujirejesha iliyopo (mfano, GPT). Lengo lake ni kupitia nafasi ya matokeo ya modeli kwa busara, ikizalisha nywila zenye uwezekano mkubwa zaidi kwanza, bila kurudia.

3.2 Algorithm ya Utafutaji na Uzalishaji Unaopangwa

Badala ya kuchukua sampuli za alama nasibu katika kila hatua, SOPG hutumia mkakati wa utafutaji (unaofanana na dhana ya utafutaji wa boriti lakini ulioboreshwa kwa ajili ya uzalishaji kamili wa nywila). Inadumisha foleni ya kipaumbele ya viambishi awali vya nywila zinazowezekana, daima ikipanua kiambishi awali chenye uwezekano wa jumla wa juu zaidi. Hii inahakikisha nywila kamili zinazalishwa kwa mpangilio unaokaribia kupungua.

3.3 Maelezo ya Kiufundi na Uundaji wa Kihisabati

Kwa kuzingatia modeli ya kujirejesha ambayo inafafanua usambazaji wa uwezekano juu ya nywila $P(\mathbf{x})$, ambapo $\mathbf{x} = (x_1, x_2, ..., x_T)$ ni mlolongo wa alama (herufi), modeli hiyo hutenganisha uwezekano kama ifuatavyo: $$P(\mathbf{x}) = \prod_{t=1}^{T} P(x_t | x_1, ..., x_{t-1})$$ Sampuli nasibu huzalisha $x_t$ kutoka $P(x_t | x_1, ..., x_{t-1})$ katika kila hatua $t$. SOPG, badala yake, kwa kiambishi awali fulani $\mathbf{x}_{utafutaji bora-kwanza juu ya mti wa mlolongo unaowezekana wa alama.

4. Modeli ya SOPGesGPT

Waandishi watekeleza modeli halisi ya kukisia nywila inayoitwa SOPGesGPT. Inatumia muundo wa kibadilishaji wa mtindo wa GPT kama modeli kuu ya kujirejesha, iliyofunzwa kwenye mkusanyiko mkubwa wa nywila halisi zilizovuja. Tofauti kuu ni kwamba uzalishaji wa nywila unafanywa kwa kutumia algorithm ya SOPG badala ya sampuli ya kawaida, na kuifanya kuwa modeli ya kwanza kuunganisha uzalishaji unaopangwa kiasili.

5. Matokeo ya Majaribio na Uchambuzi

Kiwango cha Ufunikaji

35.06%

SOPGesGPT kwenye seti ya majaribio

Uboreshaji juu ya PassGPT

81%

Ufunikaji wa juu zaidi

Uboreshaji juu ya OMEN

254%

Ufunikaji wa juu zaidi

5.1 Ulinganisho na Sampuli Nasibu

Karatasi hii kwanza inaonyesha ubora wa SOPG juu ya sampuli nasibu kwenye modeli ya msingi ile ile. Matokeo muhimu:

  • Hakuna Marudio: SOPG inazalisha orodha ya kipekee, iliyopangwa.
  • Ufanisi wa Juu Zaidi: Ili kufikia kiwango sawa cha ufunikaji (mfano, 10%), SOPG inahitaji idadi ndogo sana ya makadirio ya modeli na nywila zilizozalishwa. Sampuli nasibu hupoteza mahesabu kwenye marudio na nywila zenye uwezekano mdogo.
Hii inabadilishwa moja kwa moja kuwa kuvunja nywila kwa kasi katika hali halisi za ulimwenguni.

5.2 Ulinganisho na Mbinu Bora za Sasa

SOPGesGPT ililinganishwa katika "jaribio la tovuti moja" (kufunza na kujaribu kwa data kutoka kwa uvunaji huo huo) dhidi ya mifano mikuu: OMEN, FLA, PassGAN, VAEPass, na PassGPT ya kisasa.

5.3 Ufasiri wa Matokeo na Chati

Matokeo ni ya kushangaza. Kwa upande wa kiwango cha ufunikaji (asilimia ya nywila za seti ya majaribio zilizovunjwa ndani ya kikomo fulani cha nadhani), SOPGesGPT ilifikia 35.06%. Hii inawakilisha uboreshaji mkubwa zaidi kuliko waliotangulia:

  • 254% juu zaidi kuliko OMEN (Markov ya takwimu).
  • 298% juu zaidi kuliko FLA.
  • 421% juu zaidi kuliko PassGAN (inayotegemea GAN).
  • 380% juu zaidi kuliko VAEPass (inayotegemea VAE).
  • 81% juu zaidi kuliko PassGPT (GPT na sampuli nasibu).
Maelezo ya Chati: Chati ya mihimili ingeonyesha "Kiwango cha Ufunikaji (%)" kwenye mhimili wa Y na majina ya mifano kwenye mhimili wa X. Mihimili ya SOPGesGPT ingeimarika juu ya yote. Chati ya pili ya mstari, "Jumla ya Nywila Zilizovunjwa dhidi ya Idadi ya Nadhani," ingeonyesha mstari wa SOPGesGPT unapanda kwa kasi mapema, na kuonyesha ufanisi wake katika kuvunja nywila nyingi kwa majaribio machache, huku mistari ya mifano mingine ikipanda polepole zaidi.

6. Mfumo wa Uchambuzi na Mfano wa Kesi

Mfumo: Kutathmini modeli ya kukisia nywila kunahitaji uchambuzi wa pande nyingi: 1) Usahihi wa Muundo (uchaguzi wa modeli), 2) Ufanisi wa Uzalishaji (nadhani kwa sekunde, marudio), 3) Ufanisi wa Shambulio (mstari wa kiwango cha ufunikaji dhidi ya idadi ya nadhani), na 4) Ujumlishaji (utendaji kwenye muundo wa data usioonekana). Utafiti mwingi unazingatia (1) na (3). SOPG inabuni kwa uamuzi kwenye (2), ambayo inaboresha moja kwa moja (3).

Mfano wa Kesi - Tathmini ya Nguvu ya Nywila: Kampuni ya usalama inataka kukagua sera mpya ya nywila. Kwa kutumia modeli ya kawaida ya PassGPT na sampuli nasibu, kuzalisha nadhani milioni 10 kunaweza kuchukua masaa X na kuvunja Y% ya kamusi ya majaribio. Kwa kutumia SOPGesGPT (muundo ule ule, uzalishaji wa SOPG), ili kuvunja Y% ile ile, inaweza kuhitaji kuzalisha nadhani milioni 2 tu, na kukamilisha ukaguzi huo katika sehemu ndogo ya wakati. Zaidi ya hayo, orodha iliyopangwa hutoa ramani ya joto wazi: nywila 100,000 za kwanza za SOPG zinawakilisha seti ya "uwezekano mkubwa zaidi" kulingana na modeli, na kutoa ufahamu sahihi juu ya udhaifu wa sera kwa mashambulio yenye uwezekano mkubwa.

7. Matumizi ya Baadaye na Mwelekeo wa Utafiti

Matumizi:

  • Ukaguzi wa Nywila Unaotangulia: Kuunganishwa katika zana za biashara kwa ajili ya majaribio ya sera ya haraka na yenye ufanisi zaidi.
  • Huduma za Kurudisha Nywila: Kuboresha kwa kasi viwango vya mafanikio na kasi kwa ajili ya kazi za kurudisha zenye maadili.
  • Uundaji wa Tishio Ulioimarishwa: Kuwapa timu nyekundu viigaji vya shambulio vyenye ufanisi zaidi.
  • Vipima Nguvu ya Nywila: Injini za nyuma zinaweza kutumia uzalishaji unaopangwa kama SOPG kukadiria uwezekano halisi wa kukisiwa kwa nywila kwa usahihi zaidi kuliko ukaguzi rahisi wa kanuni.
Mwelekeo wa Utafiti:
  • Mifano ya Mseto: Kuchanganya uzalishaji unaopangwa wa SOPG na maendeleo mengine ya muundo (mfano, mifano ya usambazaji).
  • SOPG Inayobadilika/Inayotumika Mtandaoni: Kurekebisha utafutaji kwa nguvu kulingana na maoni kutoka kwa matokeo ya sehemu ya shambulio.
  • Kinga Dhidi ya SOPG: Utafiti katika mipango ya kuunda nywila ambayo hasa inapunguza utendaji wa mashambulio ya uzalishaji unaopangwa.
  • Zaidi ya Nywila: Kutumia dhana ya uzalishaji unaopangwa kwa kazi zingine za uzalishaji wa mlolongo ambapo kupanga kwa uwezekano ni muhimu (mfano, kazi fulani za uzalishaji wa msimbo au ugunduzi wa dawa).

8. Marejeo

  1. M. Jin, J. Ye, R. Shen, H. Lu, "Search-based Ordered Password Generation of Autoregressive Neural Networks," Manuscript.
  2. A. Narayanan and V. Shmatikov, "Fast Dictionary Attacks on Passwords Using Time-Space Tradeoff," in Proceedings of CCS 2005.
  3. J. Ma, W. Yang, M. Luo, and N. Li, "A Study of Probabilistic Password Models," in Proceedings of IEEE S&P 2014.
  4. B. Hitaj, P. Gasti, G. Ateniese, and F. Perez-Cruz, "PassGAN: A Deep Learning Approach for Password Guessing," in Proceedings of ACNS 2019.
  5. D. Pasquini, G. Ateniese, and M. Bernaschi, "Unleashing the Tiger: Inference Attacks on Split Learning," in Proceedings of CCS 2021 (introduces PassGPT).
  6. J. Goodfellow et al., "Generative Adversarial Networks," arXiv:1406.2661, 2014. (Seminal GAN paper, foundation for PassGAN).
  7. OpenAI, "GPT-4 Technical Report," arXiv:2303.08774, 2023. (Context for autoregressive transformer architecture).
  8. OWASP Foundation, "Authentication Cheat Sheet," https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html.

9. Uchambuzi wa Mtaalamu na Ufahamu Mkuu

Ufahamu Mkuu

Uzuri wa karatasi hii uko katika shambulio lake la upasuaji kwenye kikwazo muhimu lakini kilichopuuzwa. Kwa miaka mingi, jamii ya kukisia nywila, iliyovutiwa na mafanikio makubwa ya muundo kutoka GAN hadi Vigeuzi, ilitibu hatua ya uzalishaji kama shida iliyotatuliwa—tu chukua sampuli kutoka kwa usambazaji. Jin et al. wanatambua hii kwa usahihi kama ufanisi mbaya kwa matumizi ya shambulio. SOPG inaunda tena shida: sio kuhusu kujifunza usambazaji bora zaidi, bali ni kuhusu kuupitia kwa njia bora zaidi. Hii ni sawa na kuwa na ramani kamili ya maeneo ya hazina (mtandao wa neva) lakini hapo awali kutumia kutembea nasibu kuipata, dhidi ya SOPG ambayo hutoa ratiba iliyopewa kipaumbele. Uboreshaji wa kushangaza wa 81% juu ya PassGPT, ambayo inatumia muundo ule ule wa GPT, unathibitisha hoja hiyo: algorithm ya uzalishaji inaweza kuwa na maana zaidi kuliko modeli yenyewe kwa utendaji wa kazi ya mwisho.

Mtiririko wa Kimantiki

Hoja hii ni ya kulazimisha na ya mstari: 1) Mashambulio ya nywila yanahitaji kujaribu nadhani kwa mpangilio wa uwezekano kwa ajili ya ufanisi. 2) Mifano ya kujirejesha hujifunza usambazaji huu wa uwezekano. 3) Sampuli nasibu kutoka kwa mifano hii haishindwi kutoa orodha iliyopangwa na imejaa upotevu. 4) Kwa hivyo, tunahitaji algorithm ya utafutaji ambayo inatumia muundo wa modeli ili kutoa orodha iliyopangwa. 5) SOPG ndio algorithm hiyo, inayotekelezwa kupitia utafutaji bora-kwanza juu ya mti wa alama. 6) Matokeo yanathibitisha dhana hiyo kwa ushahidi mkubwa wa kiasi. Mtiririko huu unaakisi muundo wa kawaida wa shida-suluhisho-uthibitisho, ukitekelezwa kwa usahihi.

Nguvu na Mapungufu

Nguvu: Dhana hii ni rahisi kwa ustadi na yenye ufanisi mkubwa. Uundaji wa majaribio ni thabiti, ukilinganisha na misingi yote inayohusika. Faida za ufanisi sio ndogo; zinabadilisha mchezo kwa hali halisi za kuvunja. Kazi hii inafungua uwanja mdogo mpya: uboreshaji wa uzalishaji kwa mifano ya usalama.
Mapungufu na Maswali: Karatasi hii inadokeza lakini haichunguzi kwa kina mzigo wa hesabu wa utafutaji wa SOPG yenyewe dhidi ya sampuli rahisi. Ingawa inapunguza jumla ya makadirio yanayohitajika kwa ufunikaji fulani, kila hatua ya makadirio katika utafutaji ni ngumu zaidi (kudumisha rundo). Uchambuzi wa utata unahitajika. Zaidi ya hayo, "jaribio la tovuti moja" ni tathmini ya kawaida lakini yenye kikomo. SOPG inajumlishaje katika hali ya "tovuti mbalimbali" (kufunza kwenye uvunaji wa LinkedIn, kujaribu kwenye RockYou), ambapo usambazaji unabadilika? Uzalishaji unaopangwa unaweza kuwa na ufanisi mdogo ikiwa mpangilio wa uwezekano wa modeli ni duni kwenye data isiyo ya usambazaji. Hatimaye, kama waandishi wanavyodokeza katika kazi ya baadaye, ufanisi huu wenyewe unahitaji majibu ya kinga—SOPG yenyewe itachochea utafiti katika mbinu za kisasa za kuhash nywila na kuimarisha.

Ufahamu Unaoweza Kutekelezwa

Kwa Wataalamu wa Usalama: Mara moja tathmini upya zana zako za kujaribu sera za nywila. Zana yoyote inayotumia mitandao ya neva bila uzalishaji unaopangwa inaweza kufanya kazi chini sana ya uwezo wake wa ufanisi. Taka vipengele vya aina ya SOPG katika wakaguzi wa nywila wa kibiashara na wa chanzo huria.
Kwa Watafiti: Hii ni wito wa wazi wa kuacha kutibu uzalishaji kama jambo la baadaye. Dhana ya SOPG inapaswa kutumiwa na kujaribiwa kwenye mifano mingine ya usalama ya kujirejesha (mfano, kwa uzalishaji wa virusi vya kompyuta, uzalishaji wa maandishi ya udanganyifu). Chunguza usawa kati ya kina cha utafutaji (upana wa boriti) na utendaji.
Kwa Watetezi na Watunga Sera: Mandhari ya shambulio imebadilika tu. Muda wa kuvunja kwa hash nyingi za nywila, hasa zile dhaifu, umepungua kwa ufanisi. Hii inaharakisha dharura ya kupitishwa kwa upana wa MFA isiyoweza kudanganywa na udanganyifu wa mtandao (kama inavyotolewa na NIST na CISA) na kukomesha nywila kama sababu pekee ya uthibitisho. SOPG sio kivunja nywila bora tu; ni hoja yenye nguvu kwa ajili ya enzi ya baada ya nywila.