選擇語言

Trenchcoat:用於密碼生成嘅人腦可計算哈希算法

分析用於密碼生成嘅人腦可計算哈希函數,利用關聯記憶提升安全性,無需密碼管理器。
computationalcoin.com | PDF Size: 0.9 MB
評分: 4.5/5
您的評分
您已經為此文檔評過分
PDF文檔封面 - Trenchcoat:用於密碼生成嘅人腦可計算哈希算法
查看PDF文檔 下載PDF 翻譯PDF
首頁 » 文檔 » Trenchcoat:用於密碼生成嘅人腦可計算哈希算法

1. 簡介

現代數碼環境要求個人管理海量嘅網上帳戶(平均 90 至 130 個),導致唔安全嘅密碼做法,例如重用同可預測嘅模式。傳統解決方案——複雜密碼規則同密碼管理器——往往因為認知負荷過高或安全漏洞而失效。本文介紹 Trenchcoat,一種新穎嘅人腦可計算哈希函數範式,旨在從單一主密鑰為每個網站生成獨特、安全嘅密碼,由用戶喺腦內完成計算。

2. 現行密碼做法嘅問題

用戶面臨矛盾嘅要求:為數百個網站創建隨機、獨特嘅密碼,同時要記住所有密碼。呢個導致:

  • 密碼重用:超過 50% 嘅密碼喺多個帳戶之間重用。
  • 可預測模式:使用常見單詞、人名同簡單替換。
  • 管理器漏洞:密碼管理器係零日漏洞攻擊嘅常見目標。
  • 認知超載:為咗方便而忽略複雜規則,損害安全性。

可記性同安全性之間嘅取捨,仍然係身份驗證領域未解決嘅核心問題。

3. The Trenchcoat Framework

Trenchcoat 建議將計算從設備轉移到用戶嘅大腦,使用針對人類認知而設計嘅函數。

3.1. 核心概念:人腦可計算哈希函數

核心函數定義為 $F_R(s, w) \rightarrow y$,其中:

  • $s$:用戶嘅主密鑰(唔一定係字符串)。
  • $w$:網站/帳戶標識符(例如 "google.com")。
  • $R$:用戶獨特嘅關聯同內隱記憶配置。
  • $y$:生成嘅密碼(子密鑰)。

函數 $F$ 由 $R$ 參數化,令其對每個個體都係獨一無二,對手難以複製或驗證。

3.2. 利用關聯同內隱記憶 (R)

關鍵創新在於納入 $R$——用戶記憶嘅獨特結構,包括個人關聯、空間回憶同內隱知識。呢個充當一個認知物理不可克隆函數 (PUF)。缺乏 $R$ 知識嘅對手無法有效計算 $F_R$,即使知道 $s$ 同 $w$。

3.3. 函數示例同基本操作

提議嘅算法只需要基本、易於操作嘅運算:

  • 算術:對源自 $s$ 同 $w$ 嘅數字進行簡單加法、模運算。
  • 空間導航:喺腦內遍歷個人記憶宮殿或網格。
  • 模式搜索:喺個人腦內文本或圖像中尋找序列。

呢啲令系統對神經多樣性同有不同能力嘅人士都易於使用。

4. 安全性分析同方法論

傳統密碼學分析並不足夠。Trenchcoat 採用多方位嘅方法:

4.1. 基於熵嘅評估

安全性通過函數 $F_R$ 同主密鑰 $s$ 引入嘅有效熵來衡量。目標係確保 $y$ 嘅輸出空間足夠大,能夠抵禦暴力破解同字典攻擊,同時考慮人腦計算嘅限制。

4.2. 同傳統密碼學同 PUFs 嘅比較

該系統類似於 PUF [37],其中 $R$ 係不可克隆嘅「物理」基質。與數碼 PUF 唔同,$R$ 係一個認知結構。呢個通過過程嘅隱蔽性而非算法嘅保密性來提供安全性,對於呢個特定威脅模型(遠程攻擊者)而言,係一個有爭議但可能可行嘅模型。

5. 實驗結果同用戶研究

5.1. 調查方法 (n=134)

進行咗一項用戶研究,134 名參與者每人測試咗兩種候選 Trenchcoat 方案。該研究評估咗主密鑰嘅可記性、生成密碼所需時間、錯誤率同主觀可用性。

5.2. 性能同可用性發現

初步結果表明,用戶經過短暫培訓後能夠可靠地生成密碼。基於空間記憶嘅方案對部分用戶顯示出較低嘅錯誤率。據報告,認知負荷顯著低於管理多個獨特密碼,但高於簡單嘅密碼重用。

圖表洞察(概念性):一個假設嘅柱狀圖會顯示,對於 Trenchcoat 方法,「生成密碼時間」隨住 5 次練習而減少,而「回憶準確率」保持高位(>90%)。一條比較線「傳統隨機密碼回憶」會顯示喺 7 日內急劇下降。

5.3. 網站密碼政策調查 (n=400)

對 400 個網站嘅調查顯示,密碼政策不一致且經常互相矛盾,加劇咗用戶遵守嘅困難,並證明咗需要像 Trenchcoat 咁樣統一、以用戶為中心嘅生成方法。

6. 技術細節同數學框架

考慮一個簡單嘅基於算術嘅 Trenchcoat 函數:

  1. 將主密鑰 $s$ 同網站 $w$ 映射到數字序列(例如,使用個人密碼)。
  2. 執行一系列預定義、依賴於 $R$ 嘅操作。示例:$y_i = (s_i + w_i + k_i) \mod 10$,其中 $k_i$ 係源自個人記憶觸發點($R$ 嘅一部分)第 $i$ 位嘅數字。
  3. 連接結果 $y_i$ 並應用最終嘅個人規則(例如,將對應於所有數字總和嘅字母大寫)。

安全性依賴於 $s$ 嘅熵,以及由 $R$ 引入嘅非線性、用戶特定嘅混合。

7. 分析框架同示例案例

案例研究:評估一個空間導航 Trenchcoat 函數

框架:使用 NIST SP 800-63B 關於記憶秘密嘅指南作為基準,但用認知心理學指標加以補充。

  1. 威脅模型:擁有大型洩露數據庫嘅遠程攻擊者。無法觀察用戶嘅思維過程 ($R$)。
  2. 熵估計:計算輸出 $y$ 嘅香農熵,唔係單從算法本身,而係從攻擊者嘅角度,佢必須猜測 $R$。將 $R$ 建模為從廣闊嘅認知模式空間中嘅選擇。
  3. 可用性測試:測量 1 週後未經練習嘅成功率。同密碼管理器回憶同普通密碼回憶進行比較。
  4. 韌性分析:測試一個網站 $w_1$ 嘅 $y$ 被洩露,係咪會洩露關於 $s$ 或 $R$ 嘅信息,從而削弱另一個網站 $w_2$ 嘅 $y$。呢個係哈希函數嘅核心密碼學要求。

呢個分析唔需要代碼;佢係一個結構化嘅評估方法論。

8. 批判性分析同行業觀點

核心洞察:Trenchcoat 唔只係另一個密碼方案;佢係一個激進嘅賭注,認為認知多樣性可以成為一種密碼學原語。佢試圖將許多有安全意識嘅用戶已經模糊使用嘅「個人算法」形式化,將弱點(人類可預測性)轉化為優勢(人類獨特性)。

邏輯流程:邏輯令人信服,但建立喺一條脆弱嘅鏈條上。1) 用戶必須創建一個強大、易記嘅 $s$——最古老嘅未解決問題。2) $R$ 配置必須隨時間同跨情境(壓力、疲勞)保持穩定。神經科學表明,記憶回憶唔係一個確定性函數 [類似數碼 PUF 嘅挑戰-響應];佢係有噪音且依賴於情境嘅。3) 安全性論點取決於建模 $R$ 嘅不可行性。然而,行為分析同人工智能越來越擅長從數碼足跡中建模個人認知模式。

優點同缺點:佢最大嘅優點係繞過密碼管理器嘅攻擊面。冇數據庫可偷,冇主密碼可釣魚。佢嘅缺點係不可否認性同恢復。如果用戶喺頭部受傷後或隨時間推移忘記咗佢哋嘅 $R$ 過程,所有衍生密碼都會無可挽回地丟失——相比密碼管理器嘅恢復選項,呢個係一場災難。此外,正如認知安全原語研究所指出,人類嘅「工作因子」係固定且低嘅,限制咗熵嘅擴展,相比基於矽嘅密碼學。

可行嘅見解:對於企業安全架構師,Trenchcoat 唔係一個即時可部署嘅解決方案,而係一個關鍵嘅研究向量。喺低風險嘅內部環境中試點,以收集關於認知一致性嘅縱向數據。對於研究人員,優先事項係嚴格量化 $R$ 嘅熵。同神經科學家合作,設計測試來測量提議嘅基於記憶嘅函數嘅穩定性同獨特性。該領域必須超越簡單嘅用戶調查,轉向受控實驗,以繪製實際嘅攻擊面,或許可以使用對抗性機器學習嘅框架來模擬試圖推斷 $R$ 嘅攻擊者。

9. 未來應用同研究方向

  • 混合系統:將低熵 Trenchcoat 輸出同設備持有嘅高熵密鑰結合,形成多因素解決方案。
  • 認知生物識別:使用執行 $F_R$ 嘅過程作為持續身份驗證因素,如果認知「簽名」發生變化則檢測異常。
  • 後量子準備:探索基於對 AI 困難但對人類容易嘅問題(某些空間推理任務)嘅人腦可計算函數,係咪可以提供長期安全性。
  • 無障礙優先設計:為具有特定認知或身體狀況嘅用戶開發專門函數,將無障礙需求轉化為安全功能。
  • 標準化工作:開始制定描述同評估人腦可計算函數嘅框架,類似 NIST 喺傳統密碼學中嘅角色。

10. 參考文獻

  1. Rooparaghunath, R. H., Harikrishnan, T. S., & Gupta, D. (2023). Trenchcoat: Human-Computable Hashing Algorithms for Password Generation. arXiv preprint arXiv:2310.12706.
  2. Bonneau, J., Herley, C., van Oorschot, P. C., & Stajano, F. (2012). The quest to replace passwords: A framework for comparative evaluation of web authentication schemes. IEEE Symposium on Security and Privacy.
  3. NIST. (2017). Digital Identity Guidelines: Authentication and Lifecycle Management (SP 800-63B).
  4. Ur, B., et al. (2016). Design and evaluation of a data-driven password meter. CHI.
  5. Pearman, S., et al. (2017). Let's go in for a closer look: Observing passwords in their natural habitat. CCS.
  6. Garfinkel, S. (2005). Design Principles and Patterns for Computer Systems That Are Simultaneously Secure and Usable. PhD Thesis.
  7. M'Raihi, D., et al. (2011). TOTP: Time-Based One-Time Password Algorithm (RFC 6238).
  8. Neuroscience of Memory Review. (2022). Annual Review of Psychology.
  9. Pappas, C., et al. (2022). On the Stability of Behavioral Biometrics. IEEE Transactions on Biometrics, Behavior, and Identity Science.