PassTSL: İnsan Tarafından Oluşturulan Şifrelerin Modellenmesi ve Kırılması için İki Aşamalı Öğrenme

İçindekiler

1. Giriş

Metinsel şifreler, baskın kimlik doğrulama mekanizması olmaya devam etmektedir, ancak insan tarafından oluşturulmaları, onları veri odaklı saldırılara karşı savunmasız kılmaktadır. Markov zincirleri, desen tabanlı modeller, RNN'ler ve GAN'lar dahil olmak üzere mevcut en gelişmiş (SOTA) modelleme yaklaşımları, şifrelerin karmaşık, dil benzeri ancak farklı yapısını yakalamada sınırlamalara sahiptir. Doğal Dil İşleme'de (NLP) dönüştürücü ön eğitim-ince ayar paradigmasından ilham alan bu makale, PassTSL'ı (İki Aşamalı Öğrenme ile insan tarafından oluşturulan Şifrelerin modellenmesi) tanıtmaktadır. PassTSL, önce büyük, çeşitli bir veri kümesinden (ön eğitim) genel şifre oluşturma kalıplarını öğrenmek, ardından modeli daha küçük, ilgili bir veri kümesi kullanarak belirli bir hedef bağlam için özelleştirmek (ince ayar) üzere transformer tabanlı mimarilerden yararlanır. Bu yaklaşım, gelişmiş NLP teknikleri ile şifre modellemenin benzersiz zorlukları arasındaki boşluğu kapatmayı amaçlamaktadır.

2. Metodoloji: PassTSL Çerçevesi

PassTSL'ın temel yeniliği, BERT ve GPT gibi modellerdeki başarılı stratejileri yansıtan yapılandırılmış iki aşamalı öğrenme sürecidir.

2.1. Ön Eğitim Aşaması

Model başlangıçta büyük, genel bir şifre derlemi üzerinde (örneğin, birden fazla ihlalden elde edilen birleştirilmiş veri) eğitilir. Amaç, farklı şifre kümeleri arasında yaygın olan temel karakter düzeyindeki bağımlılıkları, yaygın ikame kalıplarını (örn. 'a' -> '@', 's' -> '$') ve olasılıksal yapıları öğrenmektir. Bu aşama, insan şifre oluşturma davranışının sağlam bir temel modelini oluşturur.

2.2. İnce Ayar Aşaması

Önceden eğitilmiş model daha sonra belirli bir hedef şifre veritabanına uyarlanır. Hedef kümeden nispeten küçük bir örnek kullanılarak modelin parametreleri ayarlanır. Makale, ön eğitim ve hedef dağılımları arasındaki Jensen-Shannon (JS) ıraksamasına dayalı olarak ince ayar verisi seçmek için bir sezgisel yöntem araştırmakta ve uyarlama için en bilgilendirici örnekleri seçmeyi amaçlamaktadır.

2.3. Model Mimarisi ve Teknik Detaylar

PassTSL, bir transformer kod çözücü mimarisi üzerine inşa edilmiştir ve bir dizideki farklı karakterlerin önemini bir sonraki karakteri tahmin ederken tartmak için öz-dikkat mekanizmasını kullanır. Model, bir şifreyi bir karakter dizisi (token) olarak ele alır. Eğitim, ön eğitim sırasında maskeli dil modellemesi (MLM) tarzı bir amaç içerir; burada model, bir şifre dizisi içindeki rastgele maskelenmiş karakterleri tahmin etmeyi öğrenerek çift yönlü bağlamı yakalar.

3. Deneysel Kurulum ve Sonuçlar

3.1. Veri Kümeleri ve Karşılaştırma Modelleri

Deneyler, altı büyük, gerçek dünya sızdırılmış şifre veritabanı üzerinde gerçekleştirilmiştir. PassTSL, Markov tabanlı (örn. PCFG), RNN tabanlı ve GAN tabanlı modeller dahil olmak üzere beş SOTA şifre tahmin aracı ile karşılaştırılmıştır.

3.2. Şifre Tahmin Performansı

PassTSL, tüm karşılaştırma modellerini önemli ölçüde geride bırakmıştır. Maksimum noktadaki tahmin başarı oranındaki iyileşme %4.11 ile %64.69 arasında değişerek iki aşamalı yaklaşımın etkinliğini göstermiştir. Sonuçlar, büyük bir derlem üzerinde ön eğitimin, tek bir hedef küme üzerinde sıfırdan eğitilen modellere göre önemli bir avantaj sağladığını göstermektedir.

3.3. Şifre Güç Ölçer (PSM) Değerlendirmesi

PassTSL'ın olasılık tahminlerine dayalı bir PSM uygulanmıştır. Bu PSM, sinir ağı tabanlı bir PSM ve kural tabanlı zxcvbn ile karşılaştırılarak değerlendirilmiştir. Ana metrik, "güvenli hatalar" (gücü hafife alma) ve "güvensiz hatalar" (gücü abartma) arasındaki dengeydi. Eşit güvenli hata oranında, PassTSL tabanlı PSM daha az güvensiz hata üretmiştir, yani gerçekten zayıf şifreleri tanımlamada daha doğruydu.

3.4. İnce Ayar Veri Seçiminin Etkisi

Çalışma, hedefe yönelik küçük miktarda ince ayar verisinin bile (örn. ön eğitim verisi hacminin %0.1'i) hedef küme üzerindeki tahmin performansında ortalama %3'ün üzerinde bir iyileşmeye yol açabileceğini bulmuştur. JS ıraksaması tabanlı seçim sezgisinin, faydalı ince ayar örneklerini seçmede etkili olduğu gösterilmiştir.

4. Temel Çıkarımlar ve Analiz

Temel Çıkarım: Makalenin temel atılımı, şifre oluşturmanın doğal dil üretiminin özelleşmiş, kısıtlı bir formu olduğunu tanımaktır. Bunu böyle ele alarak ve modern NLP araç setini—özellikle transformer mimarisini ve iki aşamalı öğrenme paradigmasını—uygulayarak yazarlar, modelleme doğruluğunda bir paradigma değişimi elde etmektedir. Bu sadece artımsal bir iyileştirme değil; olasılıksal şifre kırmanın mümkün olanın üst sınırını yeniden tanımlayan metodolojik bir sıçramadır.

Mantıksal Akış: Argüman ikna edici derecede basittir: 1) Şifreler, dil ile istatistiksel ve anlamsal özellikler paylaşır. 2) En başarılı modern dil modelleri, geniş derlemler üzerinde ön eğitim ve ardından göreve özgü ince ayar kullanır. 3) Dolayısıyla, bu çerçeveyi şifrelere uygulamak üstün modeller ortaya çıkarmalıdır. Altı farklı veri kümesi üzerindeki deneysel sonuçlar bu mantığı tartışmasız bir şekilde doğrulamakta, Markov zincirleri ve hatta RNN'ler ve GAN'lar gibi önceki nesil sinirsel yaklaşımlara kıyasla tutarlı ve genellikle çarpıcı kazançlar göstermektedir.

Güçlü ve Zayıf Yönler: Birincil güçlü yan, gösterilen ve etkileyici olan performanstır. İnce ayar örnek seçimi için JS ıraksamasının kullanılması, akıllıca, pratik bir sezgisel yöntemdir. Ancak, analizin zayıf yönleri vardır. Transformer modellerinin hesaplama ve veri açlığını üstünkörü geçmektedir. Ön eğitim, büyük, birleştirilmiş bir şifre derlemi gerektirir ve bu da veri kaynağı konusunda etik ve pratik endişeleri artırır. Ayrıca, diğer modelleri geride bıraksa da, makale, transformer dikkat mekanizmasının bu görev için neden örneğin bir LSTM'in kapılı belleğinden çok daha iyi olduğunu derinlemesine araştırmamaktadır. Uzun menzilli bağımlılık yakalama mı, yoksa başka bir şey mi? Bu "kara kutu" yönü hala mevcuttur.

Uygulanabilir Çıkarımlar: Güvenlik uygulayıcıları için bu araştırma bir alarm zili çalmaktadır. Savunma amaçlı şifre güç ölçerleri, riski doğru bir şekilde değerlendirmek için sözlük-ve-kural sistemlerinin (zxcvbn gibi) ötesine geçerek bu tür derin öğrenme modellerini içerecek şekilde evrilmelidir. Araştırmacılar için ileriye giden yol açıktır: daha verimli mimarileri keşfedin (örn. damıtılmış modeller), hassas verileri merkezileştirmeden ön eğitim için federated öğrenmeyi araştırın ve bu modelleri sadece kırma için değil, aynı zamanda sağlam şifre politikası önerileri oluşturmak için kullanın. Basit sezgisel savunmalar çağı sona ermiştir; silahlanma yarışı artık sağlam bir şekilde AI alanındadır.

5. Teknik Detaylar ve Matematiksel Formülasyon

PassTSL'daki transformer modeli, $N$ özdeş katmandan oluşan bir yığın kullanır. Her katmanın iki alt katmanı vardır: çok kafalı bir öz-dikkat mekanizması ve konum bazlı tam bağlantılı bir ileri beslemeli ağ. Her alt katmanın etrafında artık bağlantılar ve katman normalleştirmesi kullanılır.

Öz-dikkat işlevi, bir sorguyu ($Q$), bir anahtar-değer çiftleri kümesini ($K$, $V$) bir çıktıya eşler. Çıktı, değerlerin ağırlıklı bir toplamı olarak hesaplanır; burada her değere atanan ağırlık, sorgunun ilgili anahtarla uyumluluk fonksiyonu tarafından belirlenir. Tek bir dikkat başlığı için: $$\text{Attention}(Q, K, V) = \text{softmax}\left(\frac{QK^T}{\sqrt{d_k}}\right)V$$ Burada $d_k$, anahtarların boyutudur.

Ön eğitim amacı, maskelenmiş token'ları tahmin etmeyi içerir. Bir giriş şifre dizisi $X = (x_1, x_2, ..., x_T)$ verildiğinde, token'ların rastgele bir alt kümesi özel bir `[MASK]` token'ı ile değiştirilir. Model, bu maskelenmiş pozisyonlar için orijinal token'ları tahmin etmek üzere, log-olabilirliği maksimize edecek şekilde eğitilir: $$\mathcal{L}_{PT} = \sum_{i \in M} \log P(x_i | X_{\backslash M})$$ Burada $M$, maskelenmiş pozisyonlar kümesidir.

İnce ayar, model parametrelerini $\theta$, bir hedef veri kümesi $D_{ft}$ üzerinde, dizilerin negatif log-olabilirliğini en aza indirecek şekilde ayarlar: $$\mathcal{L}_{FT} = -\sum_{(X) \in D_{ft}} \log P(X | \theta)$$

6. Analiz Çerçevesi: Kod İçermeyen Bir Vaka Çalışması

Senaryo: Büyük bir teknoloji şirketindeki bir güvenlik ekibi, çalışan şifrelerinin en gelişmiş bir saldırıya karşı dayanıklılığını değerlendirmek istiyor.

1. Veri Hazırlığı: Ekip, yasal olarak birden fazla kamuya açık, anonimleştirilmiş ihlal kaynağından büyük, genel bir şifre derlemi toplar (ön eğitim için). Ayrıca, kendi şirketlerinin şifre hash'lerinden küçük, temizlenmiş bir örnek elde ederler (ince ayar için), analistlere hiçbir düz metin şifrenin açığa çıkmamasını sağlarlar.
2. Model Uygulaması: PassTSL benzeri bir çerçeve dağıtırlar.
   • Aşama A (Ön Eğitim): Temel transformer modelini genel derlem üzerinde eğitirler. Model, "password123", "qwerty" ve yaygın leetspeak ikameleri gibi küresel kalıpları öğrenir.
   • Aşama B (İnce Ayar): JS ıraksaması sezgisini kullanarak, şirketlerinin şifre örneğine istatistiksel olarak en çok benzeyen ön eğitim verisinin %0.1'ini seçerler. Önceden eğitilmiş modeli, bu seçilen alt küme ile şirket örneklerinin birleşimi üzerinde ince ayarlarlar. Bu, modeli şirkete özgü kalıplara (örn. dahili ürün adlarının kullanımı, belirli tarih formatları) uyarlar.
3. Değerlendirme: İnce ayarlanmış model bir tahmin listesi oluşturur. Ekip, kırma oranını mevcut savunmalarıyla (örn. standart kural setleriyle hashcat) karşılaştırır. PassTSL'ın ilk 10^9 tahmin içinde %30 daha fazla şifre kırdığını ve geleneksel yöntemlerin kaçırdığı önemli bir güvenlik açığını ortaya çıkardığını bulurlar.
4. Eylem: Modelin çıktısına dayanarak, en sık tahmin edilen kalıpları belirlerler ve hedefli bir şifre politikası değişikliği uygularlar (örn. şirket adını içeren şifreleri yasaklama) ve odaklanmış bir kullanıcı eğitim kampanyası başlatırlar.

7. Gelecekteki Uygulamalar ve Araştırma Yönleri

• Proaktif Savunma ve Şifre Hijyeni: PassTSL modelleri, gerçek zamanlı şifre oluşturma arayüzlerine ultra doğru güç ölçerler olarak entegre edilebilir, kullanıcıların modelin kolayca tahmin edebileceği şifreleri seçmesini engeller. Bu, statik kuralların ötesine geçerek dinamik, olasılıksal reddetmeye doğru ilerler.
• Zıt Şifre Üretimi: Modeli tersine çevirerek, öğrenilen dağılıma göre maksimum derecede olasılıksız şifreler üretmek, kullanıcılara gerçekten güçlü şifreler önermek; tıpkı CycleGAN gibi üretici modellerin alanlar arasında çeviri yapmayı öğrenmesi gibi.
• Federated ve Gizliliği Koruyan Öğrenme: Gelecekteki çalışmalar, veri gizliliği sorununu ele almalıdır. Modelin ham şifreleri değiş tokuş etmeden merkezi olmayan veri kaynakları arasında eğitildiği federated öğrenme veya eğitim sırasında diferansiyel gizlilik kullanma gibi teknikler, etik benimseme için kritiktir.
• Çok Modlu Şifre Analizi: Çerçeveyi, diğer kullanıcı verileriyle (örn. kullanıcı adları, güvenlik soruları) ilişkili şifreleri modellemek için genişletmek, hedefli saldırılar veya tam tersine çok faktörlü risk değerlendirmesi için daha kapsamlı kullanıcı profilleme modelleri oluşturmak.
• Verimlilik Optimizasyonu: Model damıtma, nicemleme ve daha verimli dikkat mekanizmaları (örn. Linformer, Performer) üzerine araştırma, bu güçlü modelleri uç cihazlarda veya düşük gecikmeli web uygulamalarında dağıtılabilir hale getirmek için.

8. Kaynaklar

1. Vaswani, A., vd. (2017). Attention Is All You Need. Advances in Neural Information Processing Systems 30 (NIPS 2017).
2. Weir, M., vd. (2009). Password Cracking Using Probabilistic Context-Free Grammars. IEEE Symposium on Security and Privacy.
3. Melicher, W., vd. (2016). Fast, Lean, and Accurate: Modeling Password Guessability Using Neural Networks. USENIX Security Symposium.
4. Hitaj, B., vd. (2019). PassGAN: A Deep Learning Approach for Password Guessing. Applied Intelligence.
5. Wheeler, D. L. (2016). zxcvbn: Low-Budget Password Strength Estimation. USENIX Security Symposium.
6. Devlin, J., vd. (2018). BERT: Pre-training of Deep Bidirectional Transformers for Language Understanding. arXiv preprint arXiv:1810.04805.
7. Zhu, J.Y., vd. (2017). Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks. IEEE International Conference on Computer Vision (ICCV). (Üretici kavram için CycleGAN referansı).
8. National Institute of Standards and Technology (NIST). (2017). Digital Identity Guidelines (SP 800-63B). (Kimlik doğrulama için yetkili bağlam).