Dil Seçin

Trenchcoat: Parola Üretimi için İnsan-Tarafından-Hesaplanabilir Özetleme Algoritmaları

Parola yöneticisi olmadan güvenlik için çağrışımsal belleği kullanan, parola üretimi için insan-tarafından-hesaplanabilir özet fonksiyonlarının analizi.
computationalcoin.com | PDF Size: 0.9 MB
Değerlendirme: 4.5/5
Değerlendirmeniz
Bu belgeyi zaten değerlendirdiniz
PDF Belge Kapağı - Trenchcoat: Parola Üretimi için İnsan-Tarafından-Hesaplanabilir Özetleme Algoritmaları
PDF Belgesini Görüntüle PDF İndir PDF Çevir
Ana Sayfa » Dokümantasyon » Trenchcoat: Parola Üretimi için İnsan-Tarafından-Hesaplanabilir Özetleme Algoritmaları

1. Giriş

Modern dijital ortam, bireylerin çok sayıda çevrimiçi hesabı (ortalama 90-130) yönetmesini gerektirerek, yeniden kullanım ve tahmin edilebilir kalıplar gibi güvensiz parola uygulamalarına yol açmaktadır. Geleneksel çözümler—karmaşık parola kuralları ve parola yöneticileri—genellikle yüksek bilişsel yük veya güvenlik açıkları nedeniyle başarısız olmaktadır. Bu makale, kullanıcı tarafından zihinsel olarak gerçekleştirilen, tek bir ana sırdan her site için benzersiz, güvenli parolalar üretmek üzere tasarlanmış insan-tarafından-hesaplanabilir özet fonksiyonlarının yeni bir paradigması olan Trenchcoat'ı tanıtmaktadır.

2. Mevcut Parola Uygulamalarındaki Sorun

Kullanıcılar çelişkili taleplerle karşı karşıyadır: yüzlerce site için rastgele, benzersiz parolalar oluştururken hepsini hatırlamak. Bu durum şunlara yol açar:

  • Parola Yeniden Kullanımı: Parolaların %50'sinden fazlası birden fazla hesapta yeniden kullanılır.
  • Tahmin Edilebilir Kalıplar: Yaygın kelimeler, isimler ve basit değiştirmelerin kullanımı.
  • Yönetici Güvenlik Açıkları: Parola yöneticileri, sıfırıncı gün açıkları için sık hedeflerdir.
  • Bilişsel Aşırı Yük: Karmaşık kurallar, güvenlikten ödün verilerek kolaylık lehine göz ardı edilir.

Hatırlanabilirlik ve güvenlik arasındaki denge, kimlik doğrulamada merkezi çözülmemiş sorun olmaya devam etmektedir.

3. Trenchcoat Çerçevesi

Trenchcoat, hesaplamayı bir cihazdan kullanıcının zihnine kaydırmayı, insan bilişine uyarlanmış fonksiyonlar kullanarak önermektedir.

3.1. Temel Kavram: İnsan-Tarafından-Hesaplanabilir Özet Fonksiyonları

Temel fonksiyon $F_R(s, w) \rightarrow y$ olarak tanımlanır, burada:

  • $s$: Kullanıcının ana sırrı (mutlaka bir dize olmak zorunda değil).
  • $w$: Web sitesi/hesap tanımlayıcısı (örn., "google.com").
  • $R$: Kullanıcının çağrışımsal ve örtük belleğinin benzersiz yapılandırması.
  • $y$: Üretilen parola (alt sır).

$F$ fonksiyonu $R$ ile parametrelendirilmiştir, bu da onu kişiye özel hale getirir ve bir saldırganın kopyalamasını veya doğrulamasını zorlaştırır.

3.2. Çağrışımsal ve Örtük Bellekten (R) Yararlanma

Ana yenilik, kullanıcının belleğinin kişisel çağrışımlar, mekansal hatırlama ve örtük bilgi dahil olmak üzere kendine özgü yapısı olan $R$'yi dahil etmektir. Bu, bir bilişsel Fiziksel Olarak Kopyalanamaz Fonksiyon (FUF) görevi görür. $R$ bilgisine sahip olmayan bir saldırgan, $s$ ve $w$ bilinse bile $F_R$'yi verimli bir şekilde hesaplayamaz.

3.3. Fonksiyon Örnekleri ve Temel İşlemler

Önerilen algoritmalar yalnızca temel, erişilebilir işlemler gerektirir:

  • Aritmetik: $s$ ve $w$'den türetilen rakamlar üzerinde basit toplama, mod alma işlemleri.
  • Mekansal Gezinme: Zihinsel olarak kişisel bir bellek sarayında veya ızgarada ilerlemek.
  • Kalıp Arama: Kişisel bir zihinsel metin veya görüntü içinde diziler bulmak.

Bunlar, sistemi nöroçeşitliliğe sahip ve farklı yeteneklere sahip bireyler için erişilebilir kılar.

4. Güvenlik Analizi ve Metodoloji

Geleneksel kriptografik analiz yetersizdir. Trenchcoat çok yönlü bir yaklaşım kullanır:

4.1. Entropi Tabanlı Değerlendirme

Güvenlik, $F_R$ fonksiyonu ve ana sır $s$ tarafından sunulan etkin entropi ile ölçülür. Amaç, insan hesaplamasının kısıtlamaları göz önünde bulundurularak, $y$ için çıktı alanının kaba kuvvet ve sözlük saldırılarına dayanacak kadar büyük olduğundan emin olmaktır.

4.2. Geleneksel Kriptografi ve FUF'ler ile Karşılaştırma

Sistem, $R$'nin kopyalanamaz "fiziksel" alt tabaka olduğu bir FUF [37]'ye benzer. Dijital FUF'lerin aksine, $R$ bilişsel bir yapıdır. Bu, güvenliği algoritmanın gizliliğinden ziyade sürecin belirsizliği yoluyla sağlar; bu, bu özel tehdit modeli (uzaktan saldırganlar) için tartışmalı ancak potansiyel olarak uygulanabilir bir modeldir.

5. Deneysel Sonuçlar ve Kullanıcı Çalışması

5.1. Anket Metodolojisi (n=134)

134 katılımcının her birinin iki aday Trenchcoat şemasını test ettiği bir kullanıcı çalışması yapılmıştır. Çalışma, ana sırrın hatırlanabilirliğini, parola üretme süresini, hata oranlarını ve öznel kullanılabilirliği değerlendirmiştir.

5.2. Performans ve Kullanılabilirlik Bulguları

İlk sonuçlar, kullanıcıların kısa bir eğitim süresinden sonra güvenilir bir şekilde parola üretebildiğini göstermiştir. Mekansal belleğe dayalı şemalar, bazı kullanıcılar için daha düşük hata oranları göstermiştir. Bilişsel yükün, birden fazla benzersiz parola yönetmekten önemli ölçüde düşük, ancak basit parola yeniden kullanımından daha yüksek olduğu bildirilmiştir.

Grafik İçgörüsü (Kavramsal): Varsayımsal bir çubuk grafik, Trenchcoat yöntemleri için 5 denemede "Parola Üretme Süresi"nin pratikle azaldığını, "Hatırlama Doğruluğu"nun ise yüksek kaldığını (>%90) gösterir. "Geleneksel Rastgele Parola Hatırlama" için bir karşılaştırma çizgisi, 7 günlük bir süre boyunca dik bir düşüş gösterir.

5.3. Web Sitesi Parola Politikası Anketi (n=400)

400 web sitesinin incelenmesi, tutarsız ve genellikle çelişkili parola politikalarını ortaya koymuş, kullanıcının uyum sağlamadaki zorluğunu pekiştirmiş ve Trenchcoat gibi birleşik, kullanıcı merkezli bir üretim yöntemine duyulan ihtiyacı haklı çıkarmıştır.

6. Teknik Detaylar ve Matematiksel Çerçeve

Basit bir aritmetik tabanlı Trenchcoat fonksiyonunu düşünün:

  1. Ana sır $s$ ve web sitesi $w$'yi sayısal dizilere eşleyin (örn., kişisel bir şifre kullanarak).
  2. Önceden tanımlanmış, $R$'ye bağlı bir dizi işlem gerçekleştirin. Örnek: $y_i = (s_i + w_i + k_i) \mod 10$, burada $k_i$, kişisel bir bellek tetikleyicisinin (R'nin bir parçası) $i^{inci}$ konumundan türetilen bir rakamdır.
  3. $y_i$ sonuçlarını birleştirin ve nihai bir kişisel kural uygulayın (örn., tüm rakamların toplamına karşılık gelen harfi büyük harf yapın).

Güvenlik, $s$'nin entropisine ve $R$ tarafından sunulan doğrusal olmayan, kullanıcıya özgü karıştırmaya dayanır.

7. Analiz Çerçevesi ve Örnek Vaka

Vaka Çalışması: Mekansal Gezinme Tabanlı Bir Trenchcoat Fonksiyonunun Değerlendirilmesi

Çerçeve: Temel olarak NIST SP 800-63B hatırlanan sırlar kılavuzunu kullanın, ancak bilişsel psikoloji metrikleriyle destekleyin.

  1. Tehdit Modeli: Büyük bir ihlal veri kümesine sahip uzaktan saldırgan. Kullanıcının zihinsel sürecini ($R$) gözlemleyemez.
  2. Entropi Tahmini: $y$ çıktısının Shannon entropisini yalnızca algoritmadan değil, $R$'yi tahmin etmek zorunda olan saldırganın perspektifinden hesaplayın. $R$'yi geniş bir bilişsel kalıp uzayından bir seçim olarak modelleyin.
  3. Kullanılabilirlik Testi: Pratik yapmadan 1 hafta sonraki başarı oranını ölçün. Parola yöneticisi hatırlama ve düz parola hatırlama ile karşılaştırın.
  4. Dayanıklılık Analizi: Bir site $w_1$ için $y$'nin ele geçirilmesinin, başka bir site $w_2$ için $y$'yi zayıflatan $s$ veya $R$ hakkında bilgi sızdırıp sızdırmadığını test edin. Bu, özet fonksiyonunun temel kriptografik gereksinimidir.

Bu analiz için kod gerekmez; yapılandırılmış bir değerlendirme metodolojisidir.

8. Eleştirel Analiz ve Sektör Perspektifi

Temel İçgörü: Trenchcoat sadece başka bir parola şeması değildir; bilişsel çeşitliliğin bir kriptografik ilkel olabileceğine dair radikal bir iddiadır. Güvenlik bilincine sahip birçok kullanıcının zaten belirsiz bir şekilde kullandığı "kişisel algoritma"yı resmileştirmeye çalışır, bir zayıflığı (insan tahmin edilebilirliği) bir güce (insan benzersizliği) dönüştürür.

Mantıksal Akış: Mantık ikna edicidir ancak kırılgan bir zincire dayanır. 1) Kullanıcılar güçlü, hatırlanabilir bir $s$ oluşturmalıdır—en eski çözülmemiş sorun. 2) $R$ yapılandırması zaman içinde ve bağlamlar arasında (stres, yorgunluk) kararlı olmalıdır. Sinirbilim, bellek geri çağırmanın [dijital bir FUF'ün zorluk-yanıtı gibi] belirleyici bir fonksiyon olmadığını; gürültülü ve bağlama bağlı olduğunu öne sürer. 3) Güvenlik argümanı, $R$'yi modellemenin olanaksızlığına dayanır. Ancak, davranışsal analitik ve yapay zeka, dijital ayak izlerinden bireysel bilişsel kalıpları modellemede giderek daha yetenekli hale gelmektedir.

Güçlü ve Zayıf Yönler: En büyük gücü, parola yöneticisi saldırı yüzeyini atlamasıdır. Çalınacak veritabanı yok, oltalama yapılacak ana parola yok. Zayıf yönü ise inkar edilemezlik ve kurtarmadır. Bir kullanıcı kafa travması sonrası veya sadece zamanla $R$ sürecini unutursa, tüm türetilmiş parolalar geri alınamaz bir şekilde kaybedilir—bu, bir parola yöneticisinin kurtarma seçeneklerine kıyasla bir felakettir. Ayrıca, bilişsel güvenlik ilkelleri üzerine yapılan araştırmalarda belirtildiği gibi, bir insan için "iş faktörü" sabit ve düşüktür, bu da silikon tabanlı kriptografiye kıyasla entropi ölçeklendirmesini sınırlar.

Uygulanabilir İçgörüler: Kurumsal güvenlik mimarları için Trenchcoat, dağıtıma hazır bir çözüm değil, kritik bir araştırma vektörüdür. Bilişsel tutarlılık üzerine uzunlamasına veri toplamak için düşük riskli iç ortamlarda pilot uygulama yapın. Araştırmacılar için öncelik, $R$'nin entropisini titizlikle ölçmektir. Önerilen bellek tabanlı fonksiyonların kararlılığını ve benzersizliğini ölçen testler tasarlamak için sinirbilimcilerle işbirliği yapın. Alan, basit kullanıcı anketlerinin ötesine geçmeli, muhtemelen $R$'yi çıkarmaya çalışan bir saldırganı simüle etmek için düşmanca makine öğrenimi çerçevelerini kullanarak gerçek saldırı yüzeyini haritalayan kontrollü deneylere yönelmelidir.

9. Gelecekteki Uygulamalar ve Araştırma Yönleri

  • Hibrit Sistemler: Düşük entropili bir Trenchcoat çıktısını, cihazda tutulan yüksek entropili bir anahtarla birleştirerek çok faktörlü bir çözüm oluşturun.
  • Bilişsel Biyometri: $F_R$'yi yürütme sürecini, bilişsel "imza" değişirse anormallikleri tespit eden sürekli bir kimlik doğrulama faktörü olarak kullanın.
  • Kuantum Sonrası Hazırlık: Yapay zeka için zor ancak insanlar için kolay olan problemlere (belirli mekansal akıl yürütme görevleri) dayalı insan-tarafından-hesaplanabilir fonksiyonların uzun vadeli güvenlik sunup sunamayacağını araştırın.
  • Erişilebilirlik-Odaklı Tasarım: Belirli bilişsel veya fiziksel profillere sahip kullanıcılar için özel fonksiyonlar geliştirerek, erişilebilirlik ihtiyaçlarını güvenlik özelliklerine dönüştürün.
  • Standardizasyon Çabaları: Geleneksel kriptografide NIST'in rolüne benzer şekilde, insan-tarafından-hesaplanabilir fonksiyonları tanımlamak ve değerlendirmek için bir çerçeve üzerinde çalışmaya başlayın.

10. Kaynaklar

  1. Rooparaghunath, R. H., Harikrishnan, T. S., & Gupta, D. (2023). Trenchcoat: Human-Computable Hashing Algorithms for Password Generation. arXiv preprint arXiv:2310.12706.
  2. Bonneau, J., Herley, C., van Oorschot, P. C., & Stajano, F. (2012). The quest to replace passwords: A framework for comparative evaluation of web authentication schemes. IEEE Symposium on Security and Privacy.
  3. NIST. (2017). Digital Identity Guidelines: Authentication and Lifecycle Management (SP 800-63B).
  4. Ur, B., et al. (2016). Design and evaluation of a data-driven password meter. CHI.
  5. Pearman, S., et al. (2017). Let's go in for a closer look: Observing passwords in their natural habitat. CCS.
  6. Garfinkel, S. (2005). Design Principles and Patterns for Computer Systems That Are Simultaneously Secure and Usable. PhD Thesis.
  7. M'Raihi, D., et al. (2011). TOTP: Time-Based One-Time Password Algorithm (RFC 6238).
  8. Neuroscience of Memory Review. (2022). Annual Review of Psychology.
  9. Pappas, C., et al. (2022). On the Stability of Behavioral Biometrics. IEEE Transactions on Biometrics, Behavior, and Identity Science.