ভাষা নির্বাচন করুন

পাসওয়ার্ড শক্তির একটি ক্যানোনিক্যাল পরিমাপ: অনুমানমূলক আক্রমণের বিরুদ্ধে নিরাপত্তার আনুষ্ঠানিক সংজ্ঞা

আক্রমণকারীর কৌশলের দক্ষতার ভিত্তিতে পাসওয়ার্ড শক্তির একটি ক্যানোনিক্যাল সংজ্ঞা প্রস্তাব করে একটি আনুষ্ঠানিক বিশ্লেষণ, যা প্রচলিত পাসওয়ার্ড নিরাপত্তা মেট্রিক্সকে চ্যালেঞ্জ করে।
strongpassword.org | PDF Size: 0.2 MB
রেটিং: 4.5/5
আপনার রেটিং
আপনি ইতিমধ্যে এই ডকুমেন্ট রেট করেছেন
PDF ডকুমেন্ট কভার - পাসওয়ার্ড শক্তির একটি ক্যানোনিক্যাল পরিমাপ: অনুমানমূলক আক্রমণের বিরুদ্ধে নিরাপত্তার আনুষ্ঠানিক সংজ্ঞা
PDF ডকুমেন্ট দেখুন PDF ডাউনলোড করুন PDF অনুবাদ করুন
হোম » ডকুমেন্টেশন » পাসওয়ার্ড শক্তির একটি ক্যানোনিক্যাল পরিমাপ: অনুমানমূলক আক্রমণের বিরুদ্ধে নিরাপত্তার আনুষ্ঠানিক সংজ্ঞা

1. ভূমিকা

এই গবেষণাপত্রটি পাসওয়ার্ড নিরাপত্তা আলোচনায় একটি মৌলিক ফাঁক মোকাবিলা করে: "পাসওয়ার্ড শক্তি"-এর একটি কঠোর সংজ্ঞার অভাব। এটি যুক্তি দেয় যে বর্তমান পদ্ধতিগুলি প্রায়শই গল্পকাহিনীভিত্তিক এবং আক্রমণকারীর কৌশল বিবেচনায় নেয় না। লেখকরা সম্ভাব্য অনুমানমূলক আক্রমণের দক্ষতার ভিত্তিতে একটি ক্যানোনিক্যাল পরিমাপ প্রস্তাব করেন, যার ফলে পাসওয়ার্ডের বৈশিষ্ট্য থেকে মনোযোগ সরে গিয়ে আক্রমণের বৈশিষ্ট্যের দিকে কেন্দ্রীভূত হয়।

2. সর্বশেষ অবস্থা

গবেষণাপত্রটি পাসওয়ার্ড নিরাপত্তার বর্তমান অবস্থাকে "মধ্যযুগীয় চিকিৎসার মতোই করুণ" বলে সমালোচনা করে, ব্রুস শ্নাইয়ারের পর্যবেক্ষণ উদ্ধৃত করে যে অনেক পরামর্শ বিশ্লেষণের পরিবর্তে গল্পকাহিনীর উপর ভিত্তি করে। এটি সাম্প্রতিক সাহিত্যে [৩] উল্লিখিত একটি পাসওয়ার্ড ডেটাসেটের শক্তি পরিমাপের সন্তোষজনক পদ্ধতির অনুপস্থিতি তুলে ধরে। সাধারণ পাসওয়ার্ড শক্তি মিটারগুলিকে বুদ্ধিমান আক্রমণের বিরুদ্ধে প্রকৃত প্রতিরোধের পরিবর্তে "অনুকরণ" পরিমাপ করার জন্য বাতিল করা হয়েছে।

3. মূল অন্তর্দৃষ্টি ও যৌক্তিক প্রবাহ

মূল অন্তর্দৃষ্টি: পাসওয়ার্ড শক্তি একটি অক্ষরের স্ট্রিং-এর অন্তর্নিহিত বৈশিষ্ট্য নয়; এটি একটি সম্পর্কিত বৈশিষ্ট্য যা সম্পূর্ণরূপে আক্রমণকারীর অনুমান কৌশল দ্বারা সংজ্ঞায়িত। রক্ষাকারীর লক্ষ্য শূন্যে একটি "শক্তিশালী পাসওয়ার্ড" তৈরি করা নয়, বরং এমন একটি পাসওয়ার্ড তৈরি করা যা যুক্তিসঙ্গত প্রতিপক্ষ প্রয়োগ করতে পারে এমন সম্ভাব্য আক্রমণ কৌশলের সেট-এর বিরুদ্ধে দুর্বলভাবে কাজ করে।

যৌক্তিক প্রবাহ: যুক্তিটি আনুষ্ঠানিক নির্ভুলতার সাথে অগ্রসর হয়:

  1. একটি অনুমানমূলক আক্রমণকে প্রার্থী পাসওয়ার্ডের একটি ক্রমিক তালিকা (ডিকশনারি) হিসাবে সংজ্ঞায়িত করুন।
  2. প্রমাণ করুন যে যেকোনো দুটি আক্রমণ শুধুমাত্র এই তালিকার ক্রম দ্বারা পৃথক হয়।
  3. সিদ্ধান্তে আসুন যে একটি নির্দিষ্ট আক্রমণের বিরুদ্ধে একটি পাসওয়ার্ডের শক্তি হল সেই আক্রমণের ডিকশনারিতে তার অবস্থান।
  4. যেহেতু রক্ষাকারী সঠিক আক্রমণের ক্রম জানেন না, তাই তাদের সম্ভাব্য আক্রমণের একটি সেট বিবেচনা করতে হবে।
  5. অতএব, রক্ষাকারীর শক্তির পরিমাপ হল আক্রমণের এই সেট জুড়ে পাসওয়ার্ডের অবস্থানের প্রত্যাশিত মান
এটি দৃষ্টিভঙ্গি পরিবর্তন করে: নিরাপত্তাকে এমন একটি খেলা হিসাবে মডেল করা হয় যেখানে রক্ষাকারী আক্রমণকারীর কৌশল স্থান অনুমান করে।

4. শক্তি ও ত্রুটি

শক্তি:

  • ধারণাগত কঠোরতা: হিউরিস্টিক নিয়ম-কানুনের বাইরে গিয়ে, পাসওয়ার্ড শক্তির প্রথম আনুষ্ঠানিক, আক্রমণ-কেন্দ্রিক সংজ্ঞা প্রদান করে।
  • গেম-থিওরেটিক ভিত্তি: পাসওয়ার্ড নির্বাচনকে একটি কৌশলগত মিথস্ক্রিয়া হিসাবে সঠিকভাবে ফ্রেম করে, যা নিরাপত্তার জন্য গেম থিওরি গবেষণার মতো আধুনিক নিরাপত্তা বিশ্লেষণের সাথে সামঞ্জস্যপূর্ণ।
  • ত্রুটিপূর্ণ হিউরিস্টিক্স প্রকাশ করে: পূর্বাভাসযোগ্য প্যাটার্ন তৈরি করে এমন আনুগত্য-কেন্দ্রিক নীতিগুলি (যেমন, "একটি সংখ্যা এবং প্রতীক অন্তর্ভুক্ত করতে হবে") কার্যকরভাবে খণ্ডন করে।

ত্রুটি ও সীমাবদ্ধতা:

  • গণনীয় অসাধ্যতা: মূল মেট্রিক—সমস্ত সম্ভাব্য আক্রমণ জুড়ে প্রত্যাশিত র্যাঙ্ক গণনা করা—বড় পাসওয়ার্ড স্থানের জন্য গণনীয়ভাবে অসম্ভব। এটি একটি তাত্ত্বিক আদর্শ, বাস্তব-সময়ের শক্তি মিটারের জন্য ব্যবহারিক সরঞ্জাম নয়।
  • মূল বাস্তবতা বাদ দেয়: মডেলটি সীমাহীন প্রচেষ্টা সহ একটি "অফলাইন অনুমান" আক্রমণ ধরে নেয়, হার-সীমাবদ্ধতা, অ্যাকাউন্ট লকআউট এবং অনলাইন সনাক্তকরণ সিস্টেমগুলিকে উপেক্ষা করে যা মৌলিকভাবে আক্রমণকারীর কৌশল পরিবর্তন করে।
  • আক্রমণ সেটের উপর কোন নির্দেশনা নেই: গবেষণাপত্রের গুরুত্বপূর্ণ লাফ—"সম্ভাব্য আক্রমণের সেট" সংজ্ঞায়িত করা—অনির্দিষ্ট রয়ে গেছে। একজন রক্ষাকারী কীভাবে ব্যবহারিকভাবে এই সেটটি মডেল করেন? এটি সমস্যার মূল বিষয়।

5. বাস্তবায়নযোগ্য অন্তর্দৃষ্টি

নিরাপত্তা অনুশীলনকারীদের জন্য, এই গবেষণাপত্রটি একটি দৃষ্টান্ত পরিবর্তনের নির্দেশ দেয়:

  1. অনুকরণ পরিমাপ বন্ধ করুন: শুধুমাত্র অক্ষর শ্রেণী পরীক্ষা করে এমন পাসওয়ার্ড মিটারগুলি বাতিল করুন। তারা ব্যবহারকারীদের এমন পাসওয়ার্ড তৈরি করতে প্রশিক্ষণ দেয় যা মিটারের বিরুদ্ধে শক্তিশালী, আক্রমণকারীর বিরুদ্ধে নয়।
  2. নিয়মে নয়, বিতরণে চিন্তা করুন: প্রতীক বাধ্যতামূলক করার পরিবর্তে, ব্যবহারকারীদের একটি উচ্চ-এনট্রপি বিতরণ থেকে পাসওয়ার্ড নির্বাচন করতে উৎসাহিত করুন যা সাধারণ আক্রমণ ডিকশনারির সাথে মিলে যাওয়ার সম্ভাবনা কম (যেমন, ডাইসওয়্যার বা পাসওয়ার্ড ম্যানেজার ব্যবহার করে)।
  3. আপনার প্রতিপক্ষ মডেল করুন: সমালোচনামূলক সিস্টেমের জন্য, সম্ভাব্য আক্রমণ কৌশল সংজ্ঞায়িত করতে হুমকি মডেলিং পরিচালনা করুন (যেমন, ব্রুট-ফোর্স, অতীতের ডেটা লিকের উপর ভিত্তি করে ডিকশনারি, লক্ষ্যযুক্ত ব্যক্তিগত তথ্য)। পাসওয়ার্ড নীতিগুলিকে সেই নির্দিষ্ট কৌশলগুলিকে ব্যাহত করার জন্য উপযোগী করুন।
  4. অনিশ্চয়তা গ্রহণ করুন: স্বীকার করুন যে নিখুঁত শক্তি পরিমাপ অসম্ভব। লক্ষ্য হল আক্রমণকারীর জন্য খরচ এবং অনিশ্চয়তা বাড়ানো, একটি নিখুঁত স্কোর অর্জন করা নয়।

6. প্রযুক্তিগত কাঠামো

6.1 আনুষ্ঠানিক আক্রমণ মডেল

গবেষণাপত্রটি একটি অনুমানমূলক আক্রমণ $A$ কে প্রার্থী পাসওয়ার্ডের একটি ক্রমিক সিকোয়েন্স (ডিকশনারি) $D_A = (w_1, w_2, w_3, ...)$ হিসাবে মডেল করে, যেখানে $w_i$ একটি সসীম বর্ণমালা থেকে একটি শব্দ। আক্রমণকারী সফলতা না পাওয়া পর্যন্ত এই ক্রমে পাসওয়ার্ড চেষ্টা করে। আক্রমণটি "অফলাইন", যার অর্থ ইন্টারফেসটি কোনো সীমা ছাড়াই তাৎক্ষণিক সাফল্য/ব্যর্থতা প্রতিক্রিয়া প্রদান করে।

6.2 গাণিতিক সূত্রায়ন

ধরা যাক $p$ একটি নির্দিষ্ট পাসওয়ার্ড। একটি প্রদত্ত আক্রমণ $A$-এর জন্য, $p$-এর শক্তি $D_A$-তে তার র্যাঙ্ক হিসাবে সংজ্ঞায়িত করা হয়: $$S_A(p) = \text{rank}_A(p)$$ যেখানে $\text{rank}_A(p) = i$ যদি $p = w_i \in D_A$।

যেহেতু রক্ষাকারী সঠিক $A$ জানেন না, তাই তারা সম্ভাব্য আক্রমণের একটি সেট $\mathcal{A}$ বিবেচনা করে। ক্যানোনিক্যাল পাসওয়ার্ড শক্তি $C(p)$ তখন প্রত্যাশিত র্যাঙ্ক: $$C(p) = \mathbb{E}_{A \sim \mathcal{A}}[\,S_A(p)\,] = \sum_{A \in \mathcal{A}} P(A) \cdot \text{rank}_A(p)$$ যেখানে $P(A)$ হল সেট $\mathcal{A}$ থেকে আক্রমণ $A$-কে নির্ধারিত সম্ভাবনা (বা সম্ভাব্যতা)। এই সূত্রায়ন সরাসরি শক্তিকে আক্রমণকারীর কৌশল সম্পর্কে রক্ষাকারীর বিশ্বাসের সাথে যুক্ত করে।

7. পরীক্ষামূলক ফলাফল ও বিশ্লেষণ

ধারণাগত পরীক্ষা ও প্রভাব: যদিও গবেষণাপত্রটি নিজেই সফটওয়্যার রান থেকে অভিজ্ঞতামূলক তথ্য উপস্থাপন করে না, এটি একটি চিন্তা পরীক্ষার মাধ্যমে যৌক্তিকভাবে তার মডেলের প্রয়োজনীয়তা প্রদর্শন করে। এটি দেখায় যে দুটি পাসওয়ার্ড, "Password123!" এবং "xQ37!z9pLm", দৈর্ঘ্য এবং অক্ষর বৈচিত্র্য পরীক্ষা করে এমন একটি সরল মিটার থেকে একই রকম স্কোর পেতে পারে। যাইহোক, "Password123!" একটি ব্রুট-ফোর্স আক্রমণ ক্রমে খুব কম র্যাঙ্ক (উচ্চ শক্তি) পাবে কিন্তু একটি ডিকশনারি আক্রমণে অত্যন্ত উচ্চ র্যাঙ্ক (নিম্ন শক্তি) পাবে যা সাধারণ বেস শব্দ এবং প্যাটার্নকে অগ্রাধিকার দেয়। ক্যানোনিক্যাল পরিমাপ $C(p)$, উভয় ধরনের আক্রমণের গড় করে, এলোমেলো স্ট্রিংয়ের তুলনায় "Password123!"-এর প্রকৃত দুর্বলতা প্রকাশ করবে।

চার্ট ব্যাখ্যা (ধারণাগত): পাসওয়ার্ডের একটি নমুনার জন্য তিনটি পাসওয়ার্ড মূল্যায়ন পদ্ধতি তুলনা করে একটি বার চার্ট কল্পনা করুন:

  • পদ্ধতি A (সরল মিটার): "Password123!" এবং "xQ37!z9pLm" কে সমানভাবে শক্তিশালী দেখায়।
  • পদ্ধতি B (ডিকশনারি আক্রমণ র্যাঙ্ক): "Password123!" কে খুব দুর্বল (নিম্ন র্যাঙ্ক সংখ্যা) এবং "xQ37!z9pLm" কে শক্তিশালী (উচ্চ র্যাঙ্ক সংখ্যা) দেখায়।
  • পদ্ধতি C (ক্যানোনিক্যাল পরিমাপ $C(p)$): একটি ওজনযুক্ত গড় দেখায়। "Password123!" স্কোর ডিকশনারি আক্রমণে উচ্চ সম্ভাবনার কারণে নিচে নেমে যায়, যখন এলোমেলো স্ট্রিং একটি উচ্চ স্কোর ধরে রাখে। এই চার্টটি দৃশ্যত যুক্তি দেবে যে $C(p)$ বাস্তব-বিশ্বের ক্র্যাক করার ক্ষমতার সাথে ভালোভাবে সম্পর্কিত।

8. বিশ্লেষণ কাঠামো: কেস স্টাডি

পরিস্থিতি: একটি কোম্পানির পাসওয়ার্ড নীতি প্রয়োজন: "অন্তত ১২টি অক্ষর, বড় হাতের, ছোট হাতের, একটি সংখ্যা এবং একটি প্রতীক সহ।"

প্রথাগত বিশ্লেষণ: "Summer2024!$" এর মতো একটি পাসওয়ার্ড নীতি পাস করে এবং একটি সাধারণ মিটার থেকে "শক্তিশালী" রেটিং পায়।

ক্যানোনিক্যাল পরিমাপ বিশ্লেষণ:

  1. আক্রমণ সেট $\mathcal{A}$ সংজ্ঞায়িত করুন:
    • $A_1$: সাধারণ শব্দ ("Summer"), ঋতু, বছর এবং সাধারণ প্রতীক প্রত্যয় ("!$") ব্যবহার করে ডিকশনারি আক্রমণ। সম্ভাবনা: উচ্চ (০.৭)।
    • $A_2$: কোম্পানির নাম, কর্মচারী তথ্য ব্যবহার করে লক্ষ্যযুক্ত আক্রমণ। বাল্ক আক্রমণের জন্য সম্ভাবনা: নিম্ন (০.১)।
    • $A_3$: ১২-অক্ষর স্থানে সম্পূর্ণ ব্রুট-ফোর্স। সম্ভাবনা: অত্যন্ত নিম্ন (০.০০১)।
    • $A_4$: অনুরূপ কোম্পানিগুলির পূর্বের লিক থেকে পাসওয়ার্ড ব্যবহার করে আক্রমণ। সম্ভাবনা: মাঝারি (০.১৯৯)।
  2. র্যাঙ্ক অনুমান করুন:
    • $\text{rank}_{A1}("Summer2024!$")$: খুব কম (যেমন, শীর্ষ ১০ মিলিয়নে)।
    • $\text{rank}_{A2}(p)$: লক্ষ্যযুক্ত হলে কম হতে পারে।
    • $\text{rank}_{A3}(p)$: খুব উচ্চ (~$95^{12}$)।
    • $\text{rank}_{A4}(p)$: প্যাটার্ন সাধারণ হলে সম্ভাব্যভাবে কম।
  3. $C(p)$ গণনা করুন: প্রত্যাশিত র্যাঙ্ক উচ্চ-সম্ভাব্য ডিকশনারি আক্রমণ $A_1$ দ্বারা প্রভাবিত হয়, ফলে একটি নিম্ন ক্যানোনিক্যাল শক্তি স্কোর হয়, যা নীতির ব্যর্থতা প্রকাশ করে।
উপসংহার: নীতি একটি পূর্বাভাসযোগ্য বিতরণ তৈরি করে। ক্যানোনিক্যাল কাঠামো দেখায় যে রক্ষা করার জন্য এই পূর্বাভাসযোগ্যতা ভাঙা প্রয়োজন, সম্ভবত এলোমেলোভাবে তৈরি পাসওয়ার্ড বাধ্যতামূলক করে বা একটি পরিচিত-দুর্বল-পাসওয়ার্ড ব্লকলিস্ট ব্যবহার করে, যা সরাসরি $\mathcal{A}$-এর সম্ভাবনাগুলি পরিবর্তন করে।

9. ভবিষ্যতের প্রয়োগ ও দিকনির্দেশনা

  • অভিযোজিত পাসওয়ার্ড নীতি: সিস্টেমগুলি ক্যানোনিক্যাল কাঠামো ব্যবহার করে গতিশীল নীতি তৈরি করতে পারে। স্থির নিয়মের পরিবর্তে, একটি ব্যাকএন্ড পরিষেবা বর্তমান হুমকি বুদ্ধিমত্তার উপর ভিত্তি করে $\mathcal{A}$ অনুমান করতে পারে (যেমন, নতুনভাবে লিক হওয়া ডিকশনারি) এবং সেই আপডেট করা মডেলের বিরুদ্ধে কম $C(p)$ স্কোর সহ পাসওয়ার্ড প্রত্যাখ্যান করতে পারে।
  • পাসওয়ার্ড ম্যানেজার ইন্টিগ্রেশন: পাসওয়ার্ড ম্যানেজারগুলি এটি বাস্তবায়নের জন্য আদর্শ। তারা $\mathcal{A}$-এর একটি স্থানীয় মডেল বজায় রাখতে পারে (বৈশ্বিক লিক ডেটা এবং হিউরিস্টিক নিয়মের উপর ভিত্তি করে) এবং $C(p)$ সর্বাধিক করে এমন পাসওয়ার্ড তৈরি করতে এটি ব্যবহার করতে পারে। এটি তাত্ত্বিক মডেলটিকে একটি ব্যবহারিক, ব্যবহারকারী-স্বচ্ছ নিরাপত্তা উন্নতিতে পরিণত করে।
  • আনুষ্ঠানিক নিরাপত্তা প্রমাণ: মডেলটি একাডেমিক সাহিত্যে পাসওয়ার্ড জেনারেশন অ্যালগরিদমের নিরাপত্তা বৈশিষ্ট্যগুলি আনুষ্ঠানিকভাবে প্রমাণ করার জন্য একটি ভিত্তি প্রদান করে, ঠিক যেমন এনক্রিপশন অ্যালগরিদম বিশ্লেষণ করা হয়।
  • হাইব্রিড হুমকি মডেল: ভবিষ্যতের কাজ অবশ্যই হার-সীমাবদ্ধতার মতো বাস্তব-বিশ্বের সীমাবদ্ধতার সাথে ক্যানোনিক্যাল পরিমাপকে একীভূত করবে। আক্রমণ সেট $\mathcal{A}$ তখন শুধুমাত্র পাসওয়ার্ড ক্রম নয়, বরং সময় এবং অ্যাকাউন্ট জুড়ে অনুমান বিতরণের কৌশলগুলিও অন্তর্ভুক্ত করবে।
  • $\mathcal{A}$-এর জন্য মেশিন লার্নিং: প্রধান উন্মুক্ত সমস্যা—আক্রমণ সেট সংজ্ঞায়িত করা—এমএল দ্বারা সমাধান করা যেতে পারে। সিস্টেমগুলি প্রকৃত ক্র্যাকিং প্রচেষ্টা এবং লিক হওয়া পাসওয়ার্ডের উপর মডেল প্রশিক্ষণ দিতে পারে কৌশলগুলির উপর সম্ভাব্যতা বিতরণ $P(A)$ ক্রমাগত শিখতে এবং আপডেট করতে, আক্রমণকারীদের জন্য একটি চলমান লক্ষ্য তৈরি করতে।

10. তথ্যসূত্র

  1. Panferov, E. (2016). A Canonical Password Strength Measure. arXiv:1505.05090v4 [cs.CR].
  2. Schneier, B. (2007). Schneier on Security. Wiley.
  3. Bonneau, J. (2012). The Science of Guessing: Analyzing an Anonymized Corpus of 70 Million Passwords. IEEE Symposium on Security and Privacy.
  4. Shannon, C. E. (1948). A Mathematical Theory of Communication. The Bell System Technical Journal.
  5. Florêncio, D., & Herley, C. (2007). A Large-Scale Study of Web Password Habits. Proceedings of the 16th International Conference on World Wide Web.
  6. Ur, B., et al. (2015). Do Users' Perceptions of Password Security Match Reality? Proceedings of the 2015 CHI Conference on Human Factors in Computing Systems.
  7. NIST Special Publication 800-63B (2017). Digital Identity Guidelines: Authentication and Lifecycle Management.
  8. Wang, D., et al. (2016). The Tangled Web of Password Reuse. NDSS Symposium 2016.