Sprache auswählen

Hochgenaue Passwortstärke-Bewertung mit Random Forests

Ein Forschungsbericht, der ein auf maschinellem Lernen basierendes Passwortstärke-Bewertungssystem mit Random Forests vorschlägt und durch Analyse feiner Schwachstellen jenseits traditioneller Regeln eine Genauigkeit von 99,12 % erreicht.
strongpassword.org | PDF Size: 0.5 MB
Bewertung: 4.5/5
Ihre Bewertung
Sie haben dieses Dokument bereits bewertet
PDF-Dokumentendeckel - Hochgenaue Passwortstärke-Bewertung mit Random Forests
PDF-Dokument anzeigen PDF herunterladen PDF übersetzen
Startseite » Dokumentation » Hochgenaue Passwortstärke-Bewertung mit Random Forests

1. Einleitung

Passwörter sind der primäre Authentifizierungsmechanismus, stellen jedoch eine kritische Schwachstelle dar. Traditionelle Passwortstärke-Meter, die auf statischen Regeln wie Anforderungen an Zeichentypen (Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen) basieren, sind unzureichend gegen moderne Ratenangriffe. Diese Methoden versagen bei der Erkennung vorhersehbarer Muster (z.B. 'P@ssw0rd1!'), was zu einem trügerischen Sicherheitsgefühl führt. Diese Arbeit schließt diese Lücke, indem sie ein auf maschinellem Lernen basierendes Bewertungssystem vorschlägt, das die Passwortstärke genauer bewertet, indem es aus realen Passwortdaten und ausgeklügelter Merkmalserstellung lernt.

2. Verwandte Arbeiten

Dieser Abschnitt beleuchtet die Entwicklung der Passwortstärkebewertung, von frühen regelbasierten Prüfern bis hin zu modernen probabilistischen Methoden wie Markov-Modellen und neuronalen Netzen. Er kritisiert die Grenzen statischer Ansätze, die semantische Muster und kontextuelle Schwachstellen ignorieren, und bereitet so den Boden für die vorgeschlagene datengetriebene, merkmalsreiche Methodik.

3. Vorgeschlagene Methode

Der Kern unseres Ansatzes ist eine hybride Pipeline zur Merkmalserstellung, die in ein vergleichendes Framework für maschinelles Lernen eingespeist wird.

3.1. Datensatz & Vorverarbeitung

Es wurde ein Datensatz mit über 660.000 realen Passwörtern aus bekannten Datenlecks verwendet. Passwörter wurden basierend auf ihrer Widerstandsfähigkeit gegen Knackversuche (z.B. unter Verwendung von Tools wie Hashcat mit gängigen Regelsätzen) als 'schwach' oder 'stark' gekennzeichnet.

3.2. Hybride Merkmalserstellung

Wir gehen über grundlegende Metriken (Länge, Entropie) hinaus, um feine Schwachstellen zu erfassen:

  • Leetspeak-normalisierte Shannon-Entropie: Berechnet die Entropie nach der Rückführung gängiger Zeichenersetzungen (z.B. '@' -> 'a', '3' -> 'e'), um die wahre Zufälligkeit zu bewerten.
  • Mustererkennung: Identifiziert Tastaturwege (z.B. 'qwerty'), Sequenzen (z.B. '12345') und wiederholte Zeichen.
  • Zeichenebenen-TF-IDF N-Gramme: Extrahiert häufig auftretende Teilzeichenketten aus geleakten Datensätzen, um häufig wiederverwendete Passwortfragmente zu kennzeichnen.
  • Wörterbuchabgleich: Prüft das Vorhandensein von Wörtern aus mehreren Wörterbüchern (Englisch, Namen, Orte).

3.3. Modellarchitektur & Training

Vier Modelle wurden trainiert und verglichen: Random Forest (RF), Support Vector Machine (SVM), ein Convolutional Neural Network (CNN) für Sequenzanalyse und Logistische Regression als Baseline. Der Datensatz wurde in 70 % Training, 15 % Validierung und 15 % Test aufgeteilt.

4. Ergebnisse & Analyse

4.1. Leistungsmetriken

Das Random-Forest-Modell erzielte die beste Leistung:

Genauigkeit auf Testdaten

99,12%

Random Forest

Vergleichsgenauigkeit

  • SVM: 97,45%
  • CNN: 98,01%
  • Logistische Regression: 95,88%

Diagrammbeschreibung: Ein Balkendiagramm würde den deutlichen Vorsprung des RF-Modells in der Genauigkeit gegenüber den anderen drei Modellen visuell darstellen. Eine Konfusionsmatrix für das RF-Modell würde minimale falsch-negative Ergebnisse (Klassifizierung schwacher Passwörter als stark) zeigen, was für die Sicherheit entscheidend ist.

4.2. Merkmalswichtigkeit

Die Interpretierbarkeit des Random Forest ermöglichte eine Analyse der Merkmalswichtigkeit. Die Hauptbeiträge zur Entscheidung des Modells waren:

  1. Leetspeak-normalisierte Entropie
  2. Vorhandensein von Wörterbuchwörtern
  3. Tastaturmuster-Score
  4. TF-IDF-Score für häufige 3-Gramme
  5. Rohe Passwortlänge

Diese Analyse bestätigt, dass die neuartigen Merkmale (normalisierte Entropie, Muster) aussagekräftiger sind als traditionelle, rein längenbasierte Metriken.

5. Diskussion & Zukünftige Arbeit

Anwendungsausblick: Dieses Bewertungssystem kann in Echtzeit-Passworterstellungs-Oberflächen (z.B. während der Benutzerregistrierung) integriert werden, um spezifisches, umsetzbares Feedback zu geben (z.B. "Ihr Passwort enthält einen häufigen Tastaturweg 'qwerty'."). Es kann auch für regelmäßige Audits bestehender Passwortdatenbanken verwendet werden.

Zukünftige Richtungen:

  • Adaptives Lernen: Kontinuierliches Aktualisieren des Modells mit neuen Leak-Daten und aufkommenden Angriffsmustern (z.B. KI-generierte Passwortraten).
  • Mehrsprachiger & kultureller Kontext: Erweiterung der Wörterbuch- und Musterbibliotheken, um nicht-englische Sprachen und kulturspezifische Passwörter abzudecken.
  • Federated Learning: Training von Modellen auf dezentralen Passwortdaten, ohne die Rohpasswörter preiszugeben, um den Datenschutz zu verbessern.
  • Integration mit Passwort-Managern: Nutzung des Modells zur Bewertung und Vorschlag starker, aber einprägsamer Passphrasen.

6. Analystenperspektive: Eine vierstufige Dekonstruktion

Kernerkenntnis: Diese Arbeit vermittelt eine entscheidende, aber oft übersehene Wahrheit: Passwortsicherheit ist ein Mustererkennungsproblem, keine Übung in Regelbefolgung. Die Autoren identifizieren richtig, dass der Feind nicht nur kurze Passwörter sind, sondern vorhersehbare – eine Nuance, die den meisten compliance-getriebenen Sicherheitstools entgeht. Ihre 99,12 % Genauigkeit sind nicht nur eine Zahl; sie sind eine direkte Anklage gegen die LUDS-basierten Prüfer, die noch in unzähligen Systemen eingebettet sind.

Logischer Aufbau: Das Argument ist überzeugend strukturiert. Es beginnt mit der Demontage der etablierten Technologie (statische Regeln), begründet die Notwendigkeit eines lernenden Systems und baut dann seinen Fall Stein für Stein auf: einen robusten Datensatz, geniale Merkmalserstellung (die Leetspeak-Entropie ist ein Geniestreich) und einen pragmatischen Modellvergleich. Die Wahl von Random Forest ist ein kluger Schachzug – sie opfert ein kleines Stück potenzielle Deep-Learning-Leistung für den Goldstandard der Interpretierbarkeit, der für benutzerorientierte Sicherheitsratschläge nicht verhandelbar ist.

Stärken & Schwächen: Die Stärke liegt eindeutig im Merkmalssatz. Über die NIST SP 800-63B-Richtlinien hinausgehend, greifen sie das Problem wie Kryptoanalytiker an, nicht wie Bürokraten. Der Nachteil, wie bei jedem überwachten Modell, ist seine Abhängigkeit von historischen Daten. Es ist brillant darin, das gestrige 'P@ssw0rd1!' zu erwischen, aber wie schlägt es sich gegen morgen von KI erstellte, psychologisch profilierte Passwörter? Das Modell ist reaktiv, nicht proaktiv. Darüber hinaus ist, obwohl der Datensatz groß ist, seine Repräsentativität für globale, mehrsprachige Passwortgewohnheiten nicht belegt.

Umsetzbare Erkenntnisse: Für CISOs ist die Erkenntnis klar: Verpflichten Sie die Evaluierung ML-basierter Passwortfilter für jede neue Anwendungsentwicklung. Für Entwickler ist der Blaupause der Merkmalserstellung Open-Source-Gold – beginnen Sie jetzt mit der Implementierung dieser Prüfungen, selbst als einfache heuristische Schicht über bestehenden Systemen. Die Forschungsgemeinschaft sollte dies als Grundlagenmodell betrachten und sich auf die nächste Grenze konzentrieren: Adversarial Training, um neue Angriffsmuster vorwegzunehmen, ähnlich wie sich Generative Adversarial Networks (GANs) in der Computer Vision (wie im grundlegenden CycleGAN-Paper von Zhu et al. zu sehen) entwickelt haben, um ungepaarte Bildübersetzung, ein ähnlich komplexes Abbildungsproblem, zu bewältigen.

7. Technischer Anhang

7.1. Mathematische Formulierung

Leetspeak-normalisierte Entropie: Zuerst bildet eine Normalisierungsfunktion $N(p)$ eine Passwortzeichenkette auf ihre 'de-leetete' Form ab (z.B. $N("P@ssw0rd") = "Password"$). Die Shannon-Entropie $H$ wird dann für die normalisierte Zeichenkette berechnet: $$H(X) = -\sum_{i=1}^{n} P(x_i) \log_2 P(x_i)$$ wobei $X$ die normalisierte Passwortzeichenkette ist, $n$ die Größe des Zeichensatzes und $P(x_i)$ die Wahrscheinlichkeit des Zeichens $x_i$ ist.

TF-IDF für Zeichen-N-Gramme: Für ein gegebenes N-Gramm $t$ (z.B. eine 3-Zeichen-Sequenz) in Passwort $d$, innerhalb eines Korpus $D$ geleakter Passwörter: $$\text{TF-IDF}(t, d, D) = \text{freq}(t, d) \times \log\left(\frac{|D|}{|\{d \in D : t \in d\}|}\right)$$ Ein hoher Score zeigt eine Teilzeichenkette an, die in einem bestimmten Passwort häufig ist, aber auch ungewöhnlich häufig in geleakten Passwörtern vorkommt, was auf ein hohes Risiko hindeutet.

7.2. Beispiel für das Analyse-Framework

Szenario: Bewertung des Passworts "M1cr0$0ft_2024".

Framework-Anwendung:

  1. Grundlegende Metriken: Länge=14, enthält Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen. Traditioneller Prüfer: STARK.
  2. Leetspeak-Normalisierung: N("M1cr0$0ft_2024") -> "Microsoft_2024". Die Entropie sinkt deutlich, da es zu einem vorhersehbaren Wort + Jahr wird.
  3. Mustererkennung: Keine Tastaturwege. Enthält eine Sequenz "2024".
  4. Wörterbuch & TF-IDF: Enthält das Wörterbuchwort "Microsoft" (nach Normalisierung). Die Teilzeichenkette "soft" könnte einen hohen TF-IDF-Score aus früheren Leaks haben.
  5. Modell-Inferenz: Das Random-Forest-Modell, das die niedrige normalisierte Entropie, das Vorhandensein von Wörterbuchwörtern und die häufige Teilzeichenkette gewichtet, würde dies wahrscheinlich als SCHWACH oder MITTEL klassifizieren und spezifisches Feedback geben: "Enthält einen häufigen Firmennamen und ein aktuelles Jahr."
Dieses Beispiel zeigt, wie das Framework Schwachstellen aufdeckt, die für regelbasierte Systeme unsichtbar sind.

8. Referenzen

  1. Google Cloud. (2022). Cybersecurity Forecast 2022.
  2. Ur, B., et al. (2016). "Do Users' Perceptions of Password Security Match Reality?" In Proceedings of CHI 2016.
  3. Weir, M., et al. (2010). "Password Cracking Using Probabilistic Context-Free Grammars." In IEEE Symposium on Security and Privacy.
  4. Zhu, J., Park, T., Isola, P., & Efros, A. A. (2017). "Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks." In Proceedings of ICCV 2017. (Zitiert als Beispiel für die Evolution von Adversarial Frameworks).
  5. National Institute of Standards and Technology (NIST). (2017). Digital Identity Guidelines (SP 800-63B).