Dil Seçin

Trenchcoat: Parola Üretimi için İnsan-Tarafından-Hesaplanabilir Özetleme Algoritmaları

Parola üretimi için insan-tarafından-hesaplanabilir özet fonksiyonlarının analizi; bilişsel bilim ve kriptografiyi kullanarak, harici araçlara ihtiyaç duymadan güvenli ve hatırlanabilir parolalar oluşturma.
computationalcoin.com | PDF Size: 0.9 MB
Değerlendirme: 4.5/5
Değerlendirmeniz
Bu belgeyi zaten değerlendirdiniz
PDF Belge Kapağı - Trenchcoat: Parola Üretimi için İnsan-Tarafından-Hesaplanabilir Özetleme Algoritmaları
PDF Belgesini Görüntüle PDF İndir PDF Çevir
Ana Sayfa » Dokümantasyon » Trenchcoat: Parola Üretimi için İnsan-Tarafından-Hesaplanabilir Özetleme Algoritmaları

İçindekiler

1. Giriş

Modern dijital ortam, bireylerin her biri bir parola ile korunan çok sayıda çevrimiçi hesabı yönetmesini gerektiriyor. Benzersiz ve güçlü parolalar oluşturma ve hatırlama konusundaki bilişsel yük, parolaların yeniden kullanımı ve basit varyantlar gibi güvensiz uygulamalara yol açıyor. Bu makale, yalnızca tek, hatırlanabilir bir ana sır ve zihinsel hesaplama kullanarak her site için güvenli, benzersiz parolalar üretmek üzere tasarlanmış insan-tarafından-hesaplanabilir özetleme algoritmaları için bir çerçeve olan "Trenchcoat"ı tanıtıyor.

2. Mevcut Parola Uygulamalarındaki Sorun

Kullanıcılar, güvenlik gereklilikleri (karmaşıklık kuralları, sık değişim) ile bilişsel sınırlamalar arasında sıkışıp kalıyor. Bu durum şunlara yol açıyor:

  • Parola Yeniden Kullanımı: Parolaların %50'den fazlası birden fazla hesapta yeniden kullanılıyor.
  • Zayıf Yapılandırma: Tahmin edilebilir kalıplara, sözlük kelimelerine ve kişisel bilgilere güvenme.
  • Araç Bağımlılığı ve Risk: Parola yöneticileri, yardımcı olsalar da, tek hata noktaları oluşturuyor ve kritik güvenlik açıklarına maruz kaldılar.
  • Erişilebilirlik Açığı: Birçok çözüm, nöroçeşitliliğe sahip veya farklı yeteneklere sahip kullanıcılar için tasarlanmamıştır.

Temel İstatistikler

90-130: Kullanıcı başına ortalama çevrimiçi hesap sayısı.

3 × 1011: Kullanımda olan tahmini parola sayısı.

>%50: Bireyler arasında parola yeniden kullanım oranı.

3. Trenchcoat Çerçevesi

Trenchcoat, parola üretimini insan tarafından yürütülebilen bir kriptografik süreç olarak yeniden hayal ediyor.

3.1. Temel Kavram: İnsan-Tarafından-Hesaplanabilir Özet Fonksiyonları

Temel fikir, $F_R(s, w) \rightarrow y$ şeklinde bir fonksiyondur. Kullanıcının ana sırrını (s) ve bir web sitesi/hesap tanımlayıcısını (w) alarak benzersiz bir parola (y) üretir. Kritik parametre $R$, kullanıcının benzersiz bilişsel yapılandırmasını temsil eder.

3.2. İlişkisel ve Örtük Bellekten (R) Yararlanma

Çerçeve, mekansal bellek veya kişisel ilişkisel ağlar gibi bireye özgü bilişsel özellikleri ($R$) kullanır. Bu, fonksiyonu bir "Bilişsel Fiziksel Olarak Kopyalanamaz Fonksiyon (C-PUF)" benzeri hale getirir. Bir saldırgan, kullanıcının içsel $R$'sini bilmeden $F_R$'yi verimli bir şekilde hesaplayamaz veya doğrulayamaz; bu, cihaz kimlik doğrulamasında kullanılan donanım PUF'larına benzer bir güvenlik katmanı sağlar [37].

4. Önerilen Algoritmalar ve Teknik Detaylar

4.1. Algoritma Kategorileri

Makale, temel işlemlere dayalı çeşitli algoritma türleri önermektedir:

  • Aritmetik Tabanlı: Ana sır ve web sitesi adı üzerinde modüler toplama, basamak manipülasyonu kullanma.
  • Mekansal/Gezinme Tabanlı: Karakterleri zihinsel bir ızgara veya yol üzerindeki noktalara eşleme.
  • Sözlüksel/Arama Tabanlı: Kişisel zihinsel sözlükler veya hikaye ilişkilendirmeleri kullanma.

Tümü düşük bilişsel yük ve erişilebilirlik için tasarlanmıştır.

4.2. Matematiksel Formülasyon

Basitleştirilmiş bir aritmetik tabanlı örnek: $s$, sayısal bir ana sır olsun (örn., hatırlanabilir bir tarihten türetilmiş). $H(w)$, web sitesi adının basit bir özeti olsun (örn., karakter kodlarının toplamı mod 10). Bir parola basamağı $y_i$ şu şekilde üretilebilir:
$y_i = (s_i + H(w)_i + c_i) \mod 10$
Burada $c_i$, önceki işlemden gelen bir elde veya $R$ tarafından tanımlanan kullanıcıya özgü bir permütasyon adımıdır. Tam parola, $y_i$'lerin birleştirilmesidir.

5. Güvenlik Analizi ve Entropi Değerlendirmesi

Geleneksel kriptanaliz doğrudan uygulanması zordur. Makale, entropi tabanlı metrikler kullanıyor:

  • Etkin Anahtar Uzayı: Bir saldırganın $s$ ve $R$'yi tahmin etmesi için arama uzayının tahmini.
  • Bilinen Saldırılara Direnç: Sözlük saldırıları, oltalama (üretilen parola siteye özgüdür) ve gözlem saldırıları (omuz sörfü) karşısında analiz.
  • R'nin Benzersizliği: Güvenlik büyük ölçüde, bilişsel parametre $R$'nin tahmin edilemezliğine ve bireyselliğine dayanır.

Sonuç olarak, mutlak bit gücü algoritmik özet fonksiyonlarından daha düşük olsa da, insan unsurunun ($R$) entegrasyonu ve saldırganın bunu modellemesi gerekliliği, önemli bir pratik engel oluşturur.

6. Deneysel Sonuçlar ve Kullanıcı Anketi

Çalışma, her biri iki önerilen şemayı test eden 134 bireyin katıldığı bir anket ve 400 web sitesindeki parola politikalarının incelenmesini içeriyor.

Temel Bulgular:

  • Kullanılabilirlik: Katılımcılar kısa bir eğitim süresinden sonra güvenilir bir şekilde parola üretebildiler. Mekansal ve hikaye tabanlı yöntemler yüksek hatırlama oranları gösterdi.
  • Kabul Edilebilirlik: Kullanıcılar, salt aritmetik yöntemler yerine "kişisel" veya "hikaye gibi" hissedilen yöntemleri tercih etti.
  • Politika Analizi: Web sitesi parola gereksinimleri oldukça tutarsızdır, bu da evrensel bir üretim fonksiyonu tasarımını zorlaştırır.

Grafik İçgörüsü (Kavramsal): Varsayımsal bir çubuk grafik, Y ekseninde "Parola Hatırlama Doğruluğu"nu, X ekseninde ise "Algoritma Türü"nü gösterir. "Mekansal/Anlatısal" algoritmalar, muhtemelen "Saf Aritmetik" algoritmalara (~%70) kıyasla önemli ölçüde daha yüksek bir doğruluk çubuğu (~%90) göstererek, insanın bilişsel güçlerinden yararlanmanın avantajını ortaya koyar.

7. Analiz Çerçevesi ve Vaka Örneği

Bir İnsan-Tarafından-Hesaplanabilir Özet Şemasını Değerlendirme Çerçevesi:

  1. Girdi Tanımı: $s$'nin (örn., 6 basamaklı bir sayı, bir ifade) ve $w$'nin (örn., tam alan adı, kullanıcı tarafından seçilen bir etiket) biçimini açıkça tanımlayın.
  2. İşlem Eşleme: Zihinsel işlemlerin sırasını tanımlayın (örn., "w'nin 3. ve 5. harfini al, sayılara dönüştür, s'nin 2. basamağına ekle...").
  3. R Entegrasyonu: $R$'nin nasıl dahil edildiğini belirtin (örn., "çocukluk telefon numaranızın alan kodunu bir harf kaydırma deseni için başlangıç değeri olarak kullanın").
  4. Çıktı Biçimlendirme: Yaygın parola kurallarını nasıl karşılayacağınızı açıklayın (örn., "üçüncü çıktı basamağı çift ise, web sitesi adının ilk harfini büyük harf yapın ve ekleyin").

Vaka Örneği (Kodsuz): Alice, ana sırrı $s$ olarak "1984" rakamlarını seçer. Onun $R$'si, alfabeyi her zaman ters sırada düşünmeyi içerir (Z=1, Y=2...). "bank.com" web sitesi için, ilk ve son harfi (B, K) alır, ters alfabesi aracılığıyla eşler (B->25, K->16), bunları gizli rakamlarına ekler (25+1=26, 16+9=25), mod 26 uygular ve tekrar harflere eşler (26->A, 25->B). Daha sonra, bir sesli harften sonra bir sembol eklemek için kişisel bir kural ($R$) uygular. bank.com için son parolası "A!B" olabilir.

8. Gelecekteki Uygulamalar ve Araştırma Yönleri

  • Hibrit Sistemler: İnsan tarafından hesaplanan bir çekirdeği, entropiyi artırmak için son bir dönüşüm adımı için minimal, güvenli bir cihazla (örn., akıllı yüzük) birleştirmek.
  • Standardizasyon ve Erişilebilirlik: Farklı bilişsel profiller ve yetenekler için sertifikalı bir algoritma paketi geliştirmek, potansiyel olarak işletim sistemi oturum açma çerçevelerine entegre etmek.
  • Sürekli Kimlik Doğrulama: Tek kullanımlık kodlar veya davranışsal biyometrik tohumlar üretmek için temel fonksiyonun ince varyasyonlarını kullanma.
  • Kuantum Sonrası Düşünceler: "insan işi kanıtları" araştırmasının önerdiği gibi, kafes problemleri veya diğer PQ-zor problemlere dayalı insan-tarafından-hesaplanabilir fonksiyonların tasarlanıp tasarlanamayacağını keşfetmek.

9. Kaynaklar

  1. [3] Popüler Parola Yöneticilerinin Güvenlik Analizi. USENIX Security.
  2. [4] B. Ross, vd. "Tarayıcı Uzantıları Kullanarak Daha Güçlü Parola Kimlik Doğrulaması." USENIX Security 2005.
  3. [10] Verizon Veri İhlali Araştırmaları Raporu. 2023.
  4. [15] "Parola Yöneticilerindeki Sıfırıncı Gün Güvenlik Açıkları." Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA).
  5. [16] Google / Harris Anketi. "Çevrimiçi Güvenlik Anketi." 2022.
  6. [17] Dijital Kimlik Trendleri. Dashlane. 2023.
  7. [30] "Dünyanın En Yaygın Parolaları." NordPass. 2023.
  8. [34] S. Gaw ve E. W. Felten. "Çevrimiçi Hesaplar için Parola Yönetimi Stratejileri." SOUPS 2006.
  9. [37] B. Gassend, vd. "Silikon Fiziksel Rastgele Fonksiyonlar." CCS 2002. (Temel PUF makalesi)
  10. [43] FTC. "Tüketici Sentinel Ağı Veri Kitabı." 2022.
  11. NIST Özel Yayını 800-63B: Dijital Kimlik Kılavuzları.
  12. Isola, P., vd. "Koşullu Çekişmeli Ağlarla Görüntüden Görüntüye Çeviri." CVPR 2017. (Karmaşık eşlemeleri öğrenme analojisi için).

10. Uzman Analizi ve Eleştirel İnceleme

Temel İçgörü

Trenchcoat sadece başka bir parola şeması değil; depolama tabanlı kişisel güvenlikten hesaplama tabanlı kişisel güvenliğe radikal bir dönüşümdür. Temel içgörüsü, benzersiz, kopyalanamaz yapılandırması ($R$) ile insan beyninin, doğru yazılımı tasarlarsak, gizli türetme için en güvenli "donanım cüzdanı" olabileceğidir. Bu, kullanıcıların en zayıf halka olduğu ve parola yöneticileri aracılığıyla güvenlik sürecinden soyutlanması gerektiği yönündeki yaygın endüstri dogmasına doğrudan meydan okuyor. Bunun yerine, kullanıcıyı bir kriptografik yardımcı işlemci olarak güçlendirmeyi savunuyor.

Mantıksal Akış

Makalenin mantığı ikna edici ancak kendi gerilimini ortaya koyuyor. Mevcut uygulamaların (yeniden kullanım, zayıf parolalar) inkâr edilemez başarısızlığından başlıyor. Bilişsel yükü kök neden olarak doğru bir şekilde tanımlıyor. Çözümü—insan-tarafından-hesaplanabilir fonksiyonlar—teoride zarif: ezber yükünü tek bir sıra indirgemek, benzersizliği hesaplamaya devretmek. Ancak akış, düşmanca değerlendirme ile yüzleşmesi gerektiğinde tökezliyor. Yazarlar, geleneksel kriptanalizin yetersiz kaldığını kabul ederek, entropi tahminlerine çekiliyor. Bu küçük bir kusur değil; merkezi zorluktur. Tüm sistemin güvenliği, bir bireyin $R$'sini modellemenin zorluğuna dayanır; bu iddia, kanıtlanabilir kriptografiden ziyade bilişsel bilime daha fazla dayanır. Biyometriklerin erken argümanlarını anımsatıyor—benzersizlik, otomatik olarak saldırı altında sağlam, analiz edilebilir güvenliğe eşit değildir.

Güçlü ve Zayıf Yönler

Güçlü Yönler: Erişilebilirlik ve nöroçeşitlilik odak noktası, genellikle gözden kaçan büyük bir katkıdır. Temel işlemler için tasarım yaparak, metin ağırlıklı veya karmaşık arayüzler tarafından dışlanan kullanıcıları potansiyel olarak dahil eder. Bilişsel PUF (C-PUF) kavramı entelektüel olarak verimlidir, insan faktörü kimlik doğrulaması için yeni bir lens sunar. Kullanıcı çalışması, boyutu orta düzeyde olsa da, birçok salt teorik öneride eksik olan kritik gerçek dünya doğrulamasını sağlar.

Zayıf Yönler: "R'nin kara kutusu" iki ucu keskin bir kılıçtır. Eğer $R$ çok basit veya tahmin edilebilirse (örn., "Her zaman doğum günümü kullanırım"), güvenlik çöker. Çok karmaşıksa, hatırlama başarısız olur. Kullanıcıların "güçlü" bir $R$ seçmesi için rehberlik yoktur. Politika uyumsuzluğu pratik bir engeldir. Bir web sitesi iki sembollü 16 karakterli bir parola talep ederse, bir kullanıcının zihinsel algoritması güvenilir bir şekilde uyum sağlayabilir mi? Makale bunun üzerinde hafifçe geçiyor. Son olarak, hata toleransı sıfırdır. Bir zihinsel adımdaki bir hata, büyük olasılıkla, bir yöneticinin kopyala-yapıştır işleminden farklı olarak, kurtarılamaz bir yanlış parola üretir.

Uygulanabilir İçgörüler

Güvenlik Mimarıları için: Bunu akademik olarak görmezden gelmeyin. Parola yöneticilerinin yasaklandığı dahili test hesapları için Trenchcoat'tan esinlenen bir yöntemi pilot uygulayın. "Bilişsel sır" gücü kavramını stres testine tabi tutmak için kullanın. Kullanıcı Deneyimi Araştırmacıları için: Buradaki algoritmalar, farklı bilişsel stillerin problem çözmeye nasıl yaklaştığını incelemek için bir altın madenidir. $R$ türlerinin bir taksonomisini oluşturmak için işbirliği yapın. Standart Kuruluşları (NIST, FIDO) için: Bu alanı izleyin. Kimlik doğrulama kılavuzlarının bir sonraki yinelemesi hibrit modelleri dikkate almalıdır. Entropinin ötesine geçerek, sosyal mühendislik ve kısmi $R$ sızıntısını içeren sağlam tehdit modelleri oluşturmak için "İnsan Destekli Kriptografik İlkel İşlevler" üzerine bir çalışma grubu başlatın. Nihai çıkarım: Trenchcoat nihai cevap olmayabilir, ancak soruyu parlak bir şekilde yeniden çerçeveliyor. Kişisel kimlik doğrulamanın geleceği, insanı ortadan kaldırmakta değil, kriptografi ve biliş arasındaki arayüzü yeniden tasarlamaktadır.