選擇語言

Trenchcoat:用於密碼生成嘅人腦可計算雜湊演算法

分析用於密碼生成嘅人腦可計算雜湊函數,結合認知科學同密碼學,無需外部工具即可創建安全、易記嘅密碼。
computationalcoin.com | PDF Size: 0.9 MB
評分: 4.5/5
您的評分
您已經為此文檔評過分
PDF文檔封面 - Trenchcoat:用於密碼生成嘅人腦可計算雜湊演算法
查看PDF文檔 下載PDF 翻譯PDF
首頁 » 文檔 » Trenchcoat:用於密碼生成嘅人腦可計算雜湊演算法

目錄

1. 簡介

現代數碼環境要求個人管理大量網上帳戶,每個帳戶都靠密碼保護。創建同記住獨特、高強度密碼嘅認知負擔,導致咗唔安全嘅做法,例如重用密碼同使用簡單變體。本文介紹「Trenchcoat」,一個用於人腦可計算雜湊演算法嘅框架,旨在僅使用一個易記嘅主密碼同腦力計算,為每個網站生成安全、獨特嘅密碼。

2. 現行密碼做法嘅問題

用戶夾喺安全要求(複雜性規則、頻繁更改)同認知限制之間。結果導致:

  • 密碼重用:超過 50% 嘅密碼喺多個帳戶之間重用。
  • 弱構造:依賴可預測嘅模式、字典詞彙同個人資料。
  • 工具依賴與風險:密碼管理器雖然有幫助,但會引入單點故障,並且曾出現嚴重漏洞。
  • 無障礙差距:許多解決方案並非為神經多樣性或殘疾用戶設計。

關鍵統計數據

90-130:每位用戶平均擁有嘅網上帳戶數量。

3 × 1011:估計正在使用嘅密碼數量。

>50%:個人之間密碼重用嘅比率。

3. The Trenchcoat Framework

Trenchcoat 將密碼生成重新構想為一個可由人腦執行嘅密碼學過程。

3.1. 核心概念:人腦可計算雜湊函數

核心概念係一個函數 $F_R(s, w) \rightarrow y$。佢接收用戶嘅主密碼 (s)網站/帳戶識別碼 (w),產生一個獨特嘅密碼 (y)。關鍵參數 $R$ 代表用戶獨特嘅認知配置。

3.2. 運用關聯記憶同內隱記憶 (R)

該框架利用個體特定嘅認知特徵 ($R$),例如空間記憶或個人關聯網絡。這使得該函數類似於一個「認知物理不可克隆函數 (C-PUF)」。攻擊者若唔知道用戶內部嘅 $R$,就無法有效計算或驗證 $F_R$,從而提供咗一層類似於設備認證中使用嘅硬件 PUF 嘅安全性 [37]

4. 提議演算法與技術細節

4.1. 演算法類別

本文基於基本操作提議咗幾種演算法類型:

  • 基於算術:對主密碼同網站名稱使用模加法、數字操作。
  • 基於空間/導航:將字符映射到腦內網格或路徑上嘅點。
  • 基於詞彙/搜索:使用個人腦內詞典或故事關聯。

所有設計都旨在降低認知負荷並提高無障礙性。

4.2. 數學公式

一個簡化嘅基於算術嘅例子:設 $s$ 為一個數字主密碼(例如,由一個易記日期衍生)。設 $H(w)$ 為網站名稱嘅簡單雜湊值(例如,字符代碼之和模 10)。一個密碼數字 $y_i$ 可以生成為:
$y_i = (s_i + H(w)_i + c_i) \mod 10$
其中 $c_i$ 係來自前一步操作嘅進位,或者係由 $R$ 定義嘅用戶特定置換步驟。完整密碼係 $y_i$ 嘅串聯。

5. 安全性分析與熵值評估

傳統密碼分析難以直接應用。本文使用基於熵嘅指標:

  • 有效密鑰空間:估算攻擊者猜測 $s$ 同 $R$ 嘅搜索空間。
  • 對已知攻擊嘅抵抗力:針對字典攻擊、釣魚攻擊(生成嘅密碼係網站特定)同觀察攻擊(偷窺)嘅分析。
  • R 嘅獨特性:安全性極度依賴於認知參數 $R$ 嘅不可預測性同個體性。

結論係,雖然絕對比特強度可能低於演算法雜湊,但人腦元素 ($R$) 嘅整合以及攻擊者需要對其建模嘅要求,創造咗一個顯著嘅實際障礙。

6. 實驗結果與用戶調查

該研究包括對134 名人士嘅調查,每人測試兩種提議方案,以及對400 個網站密碼政策嘅審查。

主要發現:

  • 可用性:參與者經過短暫培訓後能夠可靠地生成密碼。空間同故事基礎嘅方法顯示出高回憶率。
  • 接受度:用戶偏好感覺「個人化」或「似故事」嘅方法,多於純算術方法。
  • 政策分析:網站密碼要求極不一致,令通用生成函數嘅設計變得複雜。

圖表洞察(概念性):一個假設嘅柱狀圖會喺 Y 軸顯示「密碼回憶準確度」,X 軸顯示「演算法類型」。與「純算術」演算法(約 70%)相比,「空間/敘事」演算法嘅準確度柱(約 90%)可能會顯著更高,展示咗利用人類認知優勢嘅好處。

7. 分析框架與案例示例

評估人腦可計算雜湊方案嘅框架:

  1. 輸入定義:明確定義 $s$(例如,一個 6 位數字、一個短語)同 $w$(例如,完整域名、用戶選擇嘅標籤)嘅格式。
  2. 操作映射:定義腦力操作嘅順序(例如,「攞 w 嘅第 3 同第 5 個字母,轉換為數字,加到 s 嘅第 2 位數字...」)。
  3. R 整合:指定 $R$ 如何被納入(例如,「用你童年電話號碼嘅區號作為字母移位模式嘅種子」)。
  4. 輸出格式化:描述如何滿足常見密碼規則(例如,「如果第三個輸出數字係偶數,將網站名稱嘅第一個字母大寫並附加喺後面」)。

案例示例(無代碼): Alice 選擇佢嘅主密碼 $s$ 為數字「1984」。佢嘅 $R$ 涉及總係以相反順序思考字母表(Z=1, Y=2...)。對於網站「bank.com」,佢攞第一個同最後一個字母(B, K),通過佢嘅反向字母表映射佢哋(B->25, K->16),將佢哋加到佢嘅秘密數字(25+1=26, 16+9=25),應用模 26,然後映射返字母(26->A, 25->B)。然後佢應用一個個人規則 ($R$) 喺元音後插入一個符號。佢為 bank.com 嘅最終密碼可能係「A!B」。

8. 未來應用與研究方向

  • 混合系統:將人腦計算核心與最小化嘅安全設備(例如,智能戒指)結合,進行最終轉換步驟,增強熵值。
  • 標準化與無障礙:為不同認知特徵同能力開發一套認證演算法,可能整合到操作系統登入框架中。
  • 持續認證:使用核心函數嘅細微變化來生成一次性代碼或行為生物特徵種子。
  • 後量子考量:探索是否可以設計基於晶格問題或其他後量子難題嘅人腦可計算函數,正如「人類工作證明」研究所建議。

9. 參考文獻

  1. [3] Security Analysis of Popular Password Managers. USENIX Security.
  2. [4] B. Ross, et al. "Stronger Password Authentication Using Browser Extensions." USENIX Security 2005.
  3. [10] Verizon Data Breach Investigations Report. 2023.
  4. [15] "Zero-Day Vulnerabilities in Password Managers." Cybersecurity & Infrastructure Security Agency (CISA).
  5. [16] Google / Harris Poll. "Online Security Survey." 2022.
  6. [17] Digital Identity Trends. Dashlane. 2023.
  7. [30] "World's Most Common Passwords." NordPass. 2023.
  8. [34] S. Gaw and E. W. Felten. "Password Management Strategies for Online Accounts." SOUPS 2006.
  9. [37] B. Gassend, et al. "Silicon Physical Random Functions." CCS 2002. (Seminal PUF paper)
  10. [43] FTC. "Consumer Sentinel Network Data Book." 2022.
  11. NIST Special Publication 800-63B: Digital Identity Guidelines.
  12. Isola, P., et al. "Image-to-Image Translation with Conditional Adversarial Networks." CVPR 2017. (For analogy on learning complex mappings).

10. 專家分析與批判性評論

核心洞察

Trenchcoat 唔只係另一個密碼方案;佢係從基於儲存基於計算嘅個人安全嘅根本性轉變。其核心洞察係,人腦憑藉其獨特、不可克隆嘅配置 ($R$),可以成為秘密衍生最安全嘅「硬件錢包」——如果我哋設計出合適嘅「軟件」。這直接挑戰咗行業主流教條,即用戶係最弱一環,必須通過密碼管理器將佢哋從安全過程中抽象出來。相反,佢主張賦予用戶作為密碼學協處理器嘅能力

邏輯流程

本文嘅邏輯具說服力,但揭示咗自身嘅張力。佢從現行做法(重用、弱密碼)嘅無可否認失敗開始。佢正確地將認知負荷確定為根本原因。其解決方案——人腦可計算函數——理論上優雅:將記憶負擔減少到一個秘密,將獨特性卸載到計算上。然而,當必須面對對抗性評估時,流程就遇到障礙。作者承認傳統密碼分析不足,退而求其次使用熵估計。這唔係一個小瑕疵;而係核心挑戰。整個系統嘅安全性取決於對個體 $R$ 建模嘅難度,呢個主張更多係基於認知科學,而非可證明嘅密碼學。這令人想起早期對生物特徵識別嘅論點——獨特性並唔自動等同於受攻擊時嘅穩健、可分析安全性。

優點與缺陷

優點:無障礙性同神經多樣性嘅關注係一個主要且常被忽視嘅貢獻。通過為基本操作設計,佢潛在地包含咗被文字密集或複雜界面排除嘅用戶。認知 PUF (C-PUF) 嘅概念在思想上富有成果,為人因認證提供咗新視角。用戶研究雖然規模中等,但提供咗許多純理論提議所缺乏嘅關鍵現實世界驗證。

缺陷:「R 嘅黑盒」係一把雙刃劍。如果 $R$ 太簡單或可預測(例如,「我總係用我生日」),安全性就會崩潰。如果太複雜,回憶就會失敗。沒有指引幫助用戶選擇一個「強」嘅 $R$。政策不相容係一個實際殺手。如果一個網站要求一個 16 位字符密碼並包含兩個符號,用戶嘅腦內演算法能否可靠適應?本文對此輕描淡寫。最後,容錯率為零。一個腦力步驟出錯很可能導致無法恢復嘅錯誤密碼,唔似管理器嘅複製貼上。

可行建議

對於安全架構師:唔好將此視為純學術而忽視。為內部禁止使用密碼管理器嘅測試帳戶試行一個受 Trenchcoat 啟發嘅方法。用它來壓力測試「認知秘密」強度嘅概念。對於用戶體驗研究員:這裡嘅演算法係研究不同認知風格如何處理問題解決嘅寶庫。合作建立一個 $R$ 類型嘅分類法。對於標準機構(NIST, FIDO):密切關注此領域。認證指南嘅下一個版本必須考慮混合模型。發起一個關於「人類輔助密碼學原語」嘅工作組,建立評估框架,超越熵值,建立包含社交工程同部分 $R$ 洩漏嘅穩健威脅模型。最終要點:Trenchcoat 可能唔係最終答案,但佢出色地重新構建咗問題。個人認證嘅未來不在於移除人類,而在於重新設計密碼學同認知之間嘅介面。