Dil Seçin

PESrank: Çok Boyutlu Sıralama Tahmini ile Çevrimiçi Parola Tahmin Edilebilirliği

PESrank'ın analizi: Çevrimiçi, açıklanabilir ve ayarlanabilir parola güvenlik değerlendirmesi için çok boyutlu sıralama tahmini kullanan yeni bir parola gücü tahmincisi.
computationalcoin.com | PDF Size: 0.8 MB
Değerlendirme: 4.5/5
Değerlendirmeniz
Bu belgeyi zaten değerlendirdiniz
PDF Belge Kapağı - PESrank: Çok Boyutlu Sıralama Tahmini ile Çevrimiçi Parola Tahmin Edilebilirliği
PDF Belgesini Görüntüle PDF İndir PDF Çevir
Ana Sayfa » Dokümantasyon » PESrank: Çok Boyutlu Sıralama Tahmini ile Çevrimiçi Parola Tahmin Edilebilirliği

1. Giriş

Bu makale, bir parolanın optimal olasılık sırasındaki sırasını hesaplayarak güçlü bir parola kırıcının davranışını doğru bir şekilde modellemek için tasarlanmış yeni bir parola gücü tahmincisi olan PESrank'ı tanıtmaktadır. Küçük/büyük harf, rakam, sembol sayısı gibi basit buluşsal yöntemlerin ötesine geçen, pratik ve çevrimiçi kullanıma uygun tahmincilere olan kritik ihtiyacı ele almaktadır.

1.1. Arka Plan

Bilinen güvenlik açıklarına rağmen, metin tabanlı parolalar baskın kimlik doğrulama yöntemi olmaya devam etmektedir. Kullanıcılar genellikle zayıf ve tahmin edilebilir parolalar seçmekte, bu da sistemleri tahmin saldırılarına karşı savunmasız bırakmaktadır. Kesin güç, bir saldırganın parolayı tahmin etmek için ihtiyaç duyduğu deneme sayısı olarak tanımlanır. Önceki kırıcı tabanlı tahminciler Markov modelleri, PCFG'ler ve sinir ağları kullanmış, ancak genellikle uzun eğitim sürelerinden muzdarip olmuş veya gerçek zamanlı yetenekten yoksun kalmıştır.

1.2. Katkılar

PESrank'ın temel yeniliği, parola sıralama tahminini yan kanal kriptanalizinden gelen olasılıksal bir çerçeve içinde yeniden çerçevelemesidir. Parolaları d-boyutlu bir arama uzayında (örneğin, temel kelime, sonek, büyük harf kullanım deseni) noktalar olarak ele alır ve her boyut için olasılık dağılımını bağımsız olarak öğrenir. Bu, numaralandırma olmadan hızlı, çevrimiçi sıralama tahmini, verimli model kişiselleştirme ve açıklanabilir geri bildirim sağlar.

2. PESrank Metodolojisi

PESrank, bir parolayı yorumlanabilir boyutlara ayırır ve güç tahmin problemini çok boyutlu bir sıralama tahmin görevine dönüştürür.

2.1. Çok Boyutlu Parola Temsili

"P@ssw0rd2024!" gibi bir parola şu boyutlarda temsil edilebilir: Temel Kelime ("password"), L33t değiştirme deseni, sonek ("2024") ve özel karakter ekleme. Her boyutun, eğitim verilerinden öğrenilen ilişkili bir olasılık kütle fonksiyonu vardır.

2.2. Sıralama Tahmin Çerçevesi

PESrank, tüm olası parolaları numaralandırmak yerine, belirli bir p parolasının sırasını R(p), boyutlar tarafından tanımlanan kombinatoryal uzayda p'den daha olası tüm parolaların olasılıklarını toplayarak hesaplar. Bu, yan kanal analizinde gizli bir anahtarın sırasını tahmin etmeye benzer.

3. Teknik Uygulama & Matematiksel Model

3.1. Olasılıksal Çerçeve

Bir p parolasının, d bağımsız boyutta bir vektör (x1, x2, ..., xd) olarak temsil edildiğini varsayalım. p'nin olasılığı şu şekilde yaklaşık olarak hesaplanır: $$P(p) \approx \prod_{i=1}^{d} P_i(x_i)$$ Burada Pi(xi), i boyutundaki xi bileşeninin marjinal olasılığıdır. Sıra R(p), P(q) > P(p) olan tüm q parolalarının olasılıklarının toplamıdır.

3.2. Verimli Sıralama Hesaplaması

PESrank, bu toplamı numaralandırma olmadan hesaplamak için verimli algoritmalar kullanır. Her boyut için, bileşenleri olasılığa göre sıralanmış listeler halinde tutar. Sıralama hesaplaması, bu listelerde gezinmeyi ve kısmi çarpımları toplamayı içerir ve 905 milyon parola üzerinde eğitilmiş bir modelle bile saniyenin altında performans sağlar.

4. Deneysel Sonuçlar & Değerlendirme

4.1. Performans Metrikleri

Makale kapsamlı bir değerlendirme rapor etmektedir. Temel sonuçlar şunları içerir:

  • Hız: Çevrimiçi sorgular için yanıt süresi "1 saniyenin çok altında".
  • Doğruluk: Üst ve alt sınırlar arasında 1 bit'e kadar bir marjla sıralama tahminleri, yüksek hassasiyeti gösterir.
  • Eğitim Süresi: Önceki yöntemlere göre (günler sürebilen) "büyük ölçüde daha kısa".

Grafik Açıklaması (Kavramsal): PESrank'ın eğitim süresini (saatler mertebesinde), bir Sinir Ağı modelinin (günler mertebesinde) ve bir PCFG modelinin (onlarca saat mertebesinde) karşılaştıran bir çubuk grafik. Üst üste çizilmiş bir çizgi grafik, model boyutu (eğitim setindeki parola sayısı) 10M'dan 1B'a çıktıkça PESrank'ın sorgu gecikmesinin 1 saniyenin altında sabit kaldığını göstermektedir.

4.2. Mevcut Yöntemlerle Karşılaştırma

PESrank, buluşsal (Küçük/Büyük Harf, Rakam, Sembol), Markov ve PCFG tabanlı tahmincilerle karşılaştırıldı. Hashcat gibi araçlardan gelen gerçek kırma sırasıyla üstün bir korelasyon gösterdi ve "kırıcı tabanlı" tasarım hedefini doğruladı. Düşük bir sıralama için nedenler sağlayan açıklanabilirlik özelliği (örneğin, "temel kelime en üst 100 yaygın listede"), kara kutu sinir ağlarına göre belirgin bir avantajdır.

5. Temel Kavrayışlar & Analiz Çerçevesi

Temel Kavrayış

PESrank sadece bir başka artımsal iyileştirme değil; bir paradigma değişimidir. Yan kanal kriptanalizinden gelen titiz, nicel sıralama tahmin tekniklerini -kısmi anahtar sızıntısını ölçmeye takıntılı bir alan- insan seçimi parolaların karmaşık dünyasına başarıyla aktarmıştır. Bu çapraz döllenme onun dehasıdır. Google'ın 2016 sinir ağı gibi modeller yüksek doğruluk elde etmiş olsa da, opaktılar ve eğitilmeleri yavaştı. PESrank, karşılaştırılabilir kırıcı modelleme doğruluğunu, ancak iyi tasarlanmış bir olasılıksal sistemin şeffaflığı ve hızıyla sunar.

Mantıksal Akış

Mantık zarif bir şekilde indirgemeci: 1) Parolaları birbirine dik, insan tarafından yorumlanabilir boyutlara ayır (Weir ve ark.'nın PCFG'sini anımsatan ancak daha ayrıntılı bir hamle). 2) Olasılık uzayını ele alınabilir kılmak için boyut bağımsızlığını varsay - sonuçların doğruladığı gerekli bir basitleştirme. 3) Numaralandırmanın kombinatoryal patlamasından kaçınan sıralama tahmin algoritmalarını uygula. Veriden (parola sızıntıları) modele (boyut başına OKF'lere) ve eyleme dönüştürülebilir çıktıya (bir sıra ve açıklama) akış hem temiz hem de hesaplama açısından verimlidir.

Güçlü ve Zayıf Yönler

Güçlü Yönler: Hız (çevrimiçi kullanım), açıklanabilirlik ve ayarlanabilirlik üçlüsü gerçek dünya dağıtımı için ikna edicidir. Modeli bir kullanıcı için "saniyenin kesirleri içinde" kişiselleştirme yeteneği (örneğin, adını içeren parolaların sırasını düşürmek) kurumsal güvenlik için çarpıcı bir özelliktir. Eğitim verimliliği aynı zamanda taze, büyük ölçekli parola veri setlerini kullanma engelini de düşürür.

Zayıf Yönler: Boyut bağımsızlığına ilişkin temel varsayım, onun Aşil topuğudur. Gerçekte, kullanıcı seçimleri boyutlar arasında ilişkilidir (örneğin, belirli büyük harf kullanımları belirli temel kelimelerle daha olasıdır). Makale bunu kabul etmekte ancak yaklaşımın etkili kaldığını iddia etmektedir. Ayrıca, tüm sızıntı tabanlı modeller gibi, doğası gereği geriye dönüktür ve henüz sızıntılarda görülmemiş yeni parola oluşturma stratejilerinin gücünü hafife alabilir.

Eyleme Dönüştürülebilir Kavrayışlar

BT Güvenlik Liderleri ve ürün güvenlik ekipleri için: Kullanıcı kayıt akışlarınızda PESrank'ı veya kavramsal haleflerini pilot olarak uygulayın. Açıklanabilirliği, parola politikasını sinir bozucu bir engelden bir öğretim anına dönüştürebilir ve uyumu potansiyel olarak iyileştirebilir. Araştırmacılar için: Makale yeni yollar açmaktadır. Bağımsızlık varsayımı daha karmaşık, ancak yine de verimli olasılıksal grafik modelleriyle gevşetilebilir mi? Bu çerçeve, yazım hataları veya küçük varyasyonlar için "bulanık" eşleştirme ile entegre edilebilir mi? Gerçek zamanlı kişiselleştirme verilerinin (kurumsal dizin, ihlal edilmiş kimlik bilgileri) entegrasyonu, gerçekten uyarlanabilir kurumsal sınıf bir tahminci için bir sonraki mantıklı adımdır.

6. Uygulama Öngörüsü & Gelecek Yönelimler

Proaktif Parola Kontrolü: Web sitesi ve uygulama kayıt sayfalarına gerçek zamanlı bir danışman olarak entegrasyon, anında, açıklanabilir geri bildirim sağlar.

Uyarlanabilir Kimlik Doğrulama Sistemleri: Bir parolanın sıralamasının ek kimlik doğrulama faktörleri gereksinimini etkilediği dinamik risk puanlaması (örneğin, düşük sıralı bir parola zorunlu 2FA'yı tetikler).

Kişiselleştirilmiş Güvenlik Politikaları: Kurumsal sistemler, her çalışan için kişiselleştirilmiş modeller tutabilir, çalışana özel bilgileri (ad, kimlik, departman) içeren parolaların sırasını otomatik olarak düşürebilir.

Gelecek Araştırmalar: Modeli parola ifadelerini işleyecek şekilde genişletmek, ince boyut korelasyonlarını yakalamak için derin öğrenme melezlerini keşfetmek ve NIST parola yönergelerine benzer ancak algoritmik değerlendirme için parola gücü tahmincileri için standartlaştırılmış kıyaslama testleri geliştirmek.

7. Kaynaklar

  1. David, L., & Wool, A. (2020). Online Password Guessability via Multi-Dimensional Rank Estimation. arXiv preprint arXiv:1912.02551.
  2. Weir, M., Aggarwal, S., Medeiros, B., & Glodek, B. (2009). Password cracking using probabilistic context-free grammars. In 2009 30th IEEE Symposium on Security and Privacy.
  3. Melicher, W., Ur, B., Segreti, S. M., Komanduri, S., Bauer, L., Christin, N., & Cranor, L. F. (2016). Fast, lean, and accurate: Modeling password guessability using neural networks. In 25th USENIX Security Symposium.
  4. NIST. (2017). Digital Identity Guidelines: Authentication and Lifecycle Management. NIST Special Publication 800-63B.
  5. Bonneau, J. (2012). The science of guessing: analyzing an anonymized corpus of 70 million passwords. In 2012 IEEE Symposium on Security and Privacy.