تقييم قوة كلمات المرور بدقة عالية باستخدام غابات القرار العشوائية

1. المقدمة

تُعد كلمات المرور آلية المصادقة الأساسية، ومع ذلك فهي تمثل نقطة ضعف حرجة. إن مقاييس قوة كلمات المرور التقليدية، التي تعتمد على قواعد ثابتة مثل متطلبات أنواع الأحرف (LUDS)، غير كافية لمواجهة هجمات التخمين الحديثة. تفشل هذه الطرق في اكتشاف الأنماط المتوقعة (مثل 'P@ssw0rd1!')، مما يؤدي إلى شعور زائف بالأمان. تتناول هذه الورقة هذه الفجوة من خلال اقتراح نظام تقييم قائم على التعلم الآلي يُقيِّم قوة كلمة المرور بدقة أكبر من خلال التعلم من بيانات كلمات المرور الواقعية وهندسة السمات المتطورة.

2. الأعمال ذات الصلة

يستعرض هذا القسم تطور تقييم قوة كلمات المرور، من المدققات المبكرة القائمة على القواعد إلى الطرق الاحتمالية الحديثة مثل نماذج ماركوف والشبكات العصبية. وينتقد القيود التي تفرضها الأساليب الثابتة التي تتجاهل الأنماط الدلالية ونقاط الضعف السياقية، مما يمهد الطريق للمنهجية المقترحة القائمة على البيانات والغنية بالسمات.

3. الطريقة المقترحة

جوهر نهجنا هو خط أنابيب لهندسة السمات الهجينة يُغذي إطار عمل مقارن للتعلم الآلي.

3.1. مجموعة البيانات والمعالجة المسبقة

تم استخدام مجموعة بيانات تضم أكثر من 660,000 كلمة مرور واقعية من عمليات اختراق معروفة. تم تصنيف كلمات المرور على أنها "ضعيفة" أو "قوية" بناءً على مقاومتها لمحاولات الاختراق (على سبيل المثال، باستخدام أدوات مثل Hashcat مع مجموعات القواعد الشائعة).

3.2. هندسة السمات الهجينة

نتجاوز المقاييس الأساسية (الطول، الإنتروبيا) لالتقاط نقاط الضعف الدقيقة:

إنتروبيا شانون المعيارية لـ Leetspeak: تحسب الإنتروبيا بعد عكس عمليات استبدال الأحرف الشائعة (مثل '@' -> 'a'، '3' -> 'e') لتقييم العشوائية الحقيقية.
كشف الأنماط: يحدد مسارات لوحة المفاتيح (مثل 'qwerty')، والتسلسلات (مثل '12345')، والأحرف المتكررة.
N-grams لـ TF-IDF على مستوى الحرف: تستخرج السلاسل الفرعية المتكررة الحدوث من مجموعات البيانات المخترقة للإشارة إلى أجزاء كلمات المرور المعاد استخدامها بشكل شائع.
مطابقة القاموس: يتحقق من وجود كلمات من قواميس متعددة (الإنجليزية، الأسماء، الأماكن).

3.3. بنية النموذج والتدريب

تم تدريب أربعة نماذج ومقارنتها: غابة القرار العشوائية (RF)، وآلة ناقلات الدعم (SVM)، وشبكة عصبية تلافيفية (CNN) لتحليل التسلسل، والانحدار اللوجستي كخط أساس. تم تقسيم مجموعة البيانات إلى 70% للتدريب، و15% للتحقق، و15% للاختبار.

4. النتائج والتحليل

4.1. مقاييس الأداء

حقق نموذج غابة القرار العشوائية أداءً متفوقًا:

دقة مجموعة الاختبار

99.12%

غابة القرار العشوائية

الدقة المقارنة

SVM: 97.45%
CNN: 98.01%
الانحدار اللوجستي: 95.88%

وصف الرسم البياني: سيصور رسم بياني شريطي بصريًا التقدم الكبير لنموذج RF في الدقة مقارنة بالنماذج الثلاثة الأخرى. كما سيظهر مصفوفة الارتباك لنموذج RF الحد الأدنى من السلبيات الكاذبة (تصنيف كلمات المرور الضعيفة على أنها قوية)، وهو أمر بالغ الأهمية للأمان.

4.2. أهمية السمات

سمحت قابلية تفسير غابة القرار العشوائية بإجراء تحليل لأهمية السمات. كانت أهم العوامل المساهمة في قرار النموذج هي:

الإنتروبيا المعيارية لـ Leetspeak
وجود كلمات من القاموس
درجة نمط لوحة المفاتيح
درجة TF-IDF لـ 3-grams الشائعة
طول كلمة المرور الخام

يؤكد هذا التحليل أن السمات الجديدة (الإنتروبيا المعيارية، الأنماط) أكثر تمييزًا من مقاييس الطول التقليدية وحدها.

5. المناقشة والعمل المستقبلي

آفاق التطبيق: يمكن دمج نظام التقييم هذا في واجهات إنشاء كلمات المرور في الوقت الفعلي (على سبيل المثال، أثناء تسجيل المستخدم) لتقديم ملاحظات محددة وقابلة للتنفيذ (مثل "تحتوي كلمة المرور الخاصة بك على مسار شائع في لوحة المفاتيح 'qwerty'."). كما يمكن استخدامه للتدقيق الدوري في قواعد بيانات كلمات المرور الحالية.

الاتجاهات المستقبلية:

التعلم التكيفي: تحديث النموذج باستمرار ببيانات الاختراق الجديدة وأنماط الهجوم الناشئة (مثل تخمينات كلمات المرور التي يولدها الذكاء الاصطناعي).
السياق متعدد اللغات والثقافات: توسيع مكتبات القواميس والأنماط لتغطية اللغات غير الإنجليزية وكلمات المرور الخاصة بالثقافات.
التعلم الموحد: تدريب النماذج على بيانات كلمات المرور اللامركزية دون الكشف عن كلمات المرور الخام، مما يعزز الخصوصية.
التكامل مع مديري كلمات المرور: استخدام النموذج لتقييم واقتراح عبارات مرور قوية، ولكن سهلة التذكر.

6. منظور المحلل: تفكيك من أربع خطوات

الفكرة الأساسية: تقدم هذه الورقة حقيقة حاسمة، وغالبًا ما يتم تجاهلها: أمان كلمة المرور هو مشكلة في التعرف على الأنماط، وليس تمرينًا للامتثال للقواعد. يحدد المؤلفون بشكل صحيح أن العدو ليس مجرد كلمات المرور القصيرة، بل كلمات المرور المتوقعة — وهي دقيقة تضيع على معظم أدوات الأمان الموجهة للامتثال. دقتهم البالغة 99.12% ليست مجرد رقم؛ إنها إدانة مباشرة للمدققات القائمة على LUDS المضمنة في عدد لا يحصى من الأنظمة.

التدفق المنطقي: الحجة مُقنعة البنية. تبدأ بهدم التكنولوجيا السائدة (القواعد الثابتة)، وتؤسس الحاجة لنظام تعلم، ثم تبني قضيتها لبنةً لبنة: مجموعة بيانات قوية، وهندسة سمات عبقرية (إنتروبيا leetspeak هي ضربة ساحقة)، ومقارنة نموذجية عملية. اختيار غابة القرار العشوائية خطوة ذكية — فهي تضحي بجزء صغير من أداء التعلم العميق المحتمل مقابل معيار الذهب في قابلية التفسير، وهو أمر غير قابل للتفاوض بالنسبة لنصائح الأمان الموجهة للمستخدم.

نقاط القوة والضعف: تكمن القوة بوضوح في مجموعة السمات. بتجاوزهم إرشادات NIST SP 800-63B، يهاجمون المشكلة مثل محللي التشفير، وليس البيروقراطيين. أما العيب، كما هو الحال مع أي نموذج خاضع للإشراف، فهو اعتماده على البيانات التاريخية. إنه بارع في اكتشاف 'P@ssw0rd1!' الخاصة بالأمس، ولكن كيف سيكون أداؤه ضد كلمات المرور المصممة بالذكاء الاصطناعي والمُحللة نفسيًا غدًا؟ النموذج تفاعلي، وليس استباقيًا. علاوة على ذلك، بينما مجموعة البيانات كبيرة، فإن تمثيلها لعادات كلمات المرور العالمية متعددة اللغات غير مثبت.

رؤى قابلة للتنفيذ: بالنسبة لرؤساء أمن المعلومات (CISOs)، فإن الاستنتاج واضح: اشترِ تقييم مرشحات كلمات المرور القائمة على التعلم الآلي لأي تطوير تطبيقات جديد. بالنسبة للمطورين، فإن مخطط هندسة السمات هو كنز مفتوح المصدر — ابدأ في تنفيذ هذه الفحوصات الآن، حتى كطبقة إرشادية بسيطة فوق الأنظمة الحالية. يجب أن تعامل مجتمع البحث هذا كنموذج أساسي وتركز الجهود على الحدود التالية: التدريب الخصومي للاستباق لأنماط الهجوم الجديدة، تمامًا كما تطورت الشبكات الخصومية التوليدية (GANs) في رؤية الكمبيوتر (كما هو موضح في الورقة الأساسية CycleGAN بواسطة Zhu وآخرون) للتعامل مع ترجمة الصور غير المزدوجة، وهي مشكلة تعيين معقدة بالمثل.

7. الملحق الفني

7.1. الصياغة الرياضية

الإنتروبيا المعيارية لـ Leetspeak: أولاً، تقوم دالة المعايرة $N(p)$ بتعيين سلسلة كلمة المرور إلى شكلها 'غير المُستبدل' (على سبيل المثال، $N("P@ssw0rd") = "Password"$). ثم يتم حساب إنتروبيا شانون $H$ على السلسلة المعيارية: $$H(X) = -\sum_{i=1}^{n} P(x_i) \log_2 P(x_i)$$ حيث $X$ هي سلسلة كلمة المرور المعيارية، و$n$ هو حجم مجموعة الأحرف، و$P(x_i)$ هو احتمال الحرف $x_i$.

TF-IDF لـ N-grams على مستوى الحرف: بالنسبة لـ n-gram معين $t$ (على سبيل المثال، تسلسل مكون من 3 أحرف) في كلمة المرور $d$، داخل مجموعة $D$ من كلمات المرور المخترقة: $$\text{TF-IDF}(t, d, D) = \text{freq}(t, d) \times \log\left(\frac{|D|}{|\{d \in D : t \in d\}|}\right)$$ تشير الدرجة العالية إلى سلسلة فرعية شائعة في كلمة مرور محددة ولكنها أيضًا منتشرة بشكل غير عادي عبر كلمات المرور المخترقة، مما يشير إلى مخاطر عالية.

7.2. مثال على إطار التحليل

السيناريو: تقييم كلمة المرور "M1cr0$0ft_2024".

تطبيق الإطار:

المقاييس الأساسية: الطول=14، تحتوي على أحرف كبيرة، صغيرة، أرقام، أحرف خاصة. المدقق التقليدي: قوية.
المعايرة لـ Leetspeak: N("M1cr0$0ft_2024") -> "Microsoft_2024". تنخفض الإنتروبيا بشكل كبير حيث تصبح كلمة متوقعة + سنة.
كشف الأنماط: لا توجد مسارات في لوحة المفاتيح. تحتوي على التسلسل "2024".
القاموس و TF-IDF: تحتوي على كلمة القاموس "Microsoft" (بعد المعايرة). قد يكون للسلاسل الفرعية "soft" درجة TF-IDF عالية من عمليات الاختراق السابقة.
استدلال النموذج: من المرجح أن يصنف نموذج غابة القرار العشوائية، الذي يزن الإنتروبيا المعيارية المنخفضة، ووجود كلمة القاموس، والسلاسل الفرعية الشائعة، هذه الكلمة على أنها ضعيفة أو متوسطة، مع تقديم ملاحظات محددة: "تحتوي على اسم شركة شائع وسنة حديثة."

يوضح هذا المثال كيف يكشف الإطار عن نقاط الضعف غير المرئية للأنظمة القائمة على القواعد.

8. المراجع

Google Cloud. (2022). توقعات الأمن السيبراني 2022.
Ur, B., et al. (2016). "هل تتوافق تصورات المستخدمين لأمان كلمات المرور مع الواقع؟" في وقائع مؤتمر CHI 2016.
Weir, M., et al. (2010). "اختراق كلمات المرور باستخدام قواعد النحو الاحتمالية الخالية من السياق." في ندوة IEEE حول الأمان والخصوصية.
Zhu, J., Park, T., Isola, P., & Efros, A. A. (2017). "ترجمة الصورة إلى صورة غير مقترنة باستخدام الشبكات الخصومية ذات الدورة المتسقة." في وقائع مؤتمر ICCV 2017. (تم الاستشهاد بها كمثال على تطور الإطار الخصومي).
المعهد الوطني للمعايير والتقنية (NIST). (2017). إرشادات الهوية الرقمية (SP 800-63B).