Chagua Lugha

Kupima Nguvu ya Nenosiri kwa Usahihi wa Juu Kwa Kutumia Misitu ya Nasibu

Karatasi ya utafiti inayopendekeza mfumo wa kupima nguvu ya nenosiri unaotumia masomo ya mashine (Random Forests), ukifikia usahihi wa 99.12% kwa kuchanganua udhaifu wa kina zaidi ya kanuni za jadi.
strongpassword.org | PDF Size: 0.5 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - Kupima Nguvu ya Nenosiri kwa Usahihi wa Juu Kwa Kutumia Misitu ya Nasibu
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » Kupima Nguvu ya Nenosiri kwa Usahihi wa Juu Kwa Kutumia Misitu ya Nasibu

1. Utangulizi

Nenosiri ndiyo utaratibu mkuu wa uthibitishaji, lakini pia ni udhaifu mkubwa. Vipima nguvu za nenosiri za jadi, zinazotegemea kanuni zisizobadilika kama mahitaji ya aina za herufi (LUDS), hazitoshi dhidi ya mashambulio ya kisasa ya kukisia. Mbinu hizi hazitambui muundo unaotabirika (k.m., 'P@ssw0rd1!'), na kusababisha hisa bandia ya usalama. Karatasi hii inashughulikia pengo hili kwa kupendekeza mfumo wa kupima unaotumia masomo ya mashine, ambao hutathmini nguvu ya nenosiri kwa usahihi zaidi kwa kujifunza kutoka kwa data halisi ya nenosiri na uhandisi wa kina wa vipengele.

2. Kazi Zinazohusiana

Sehemu hii inapitia mageuzi ya tathmini ya nguvu ya nenosiri, kuanzia vipima vya awali vilivyotegemea kanuni hadi mbinu za kisasa za uwezekano kama vile mifano ya Markov na mitandao ya neva. Inakosoa ukomo wa mbinu zisizobadilika ambazo hupuuza muundo wa maana na udhaifu wa muktadha, na hivyo kuandaa njia ya mbinu iliyopendekezwa inayotokana na data na yenye vipengele vingi.

3. Mbinu Iliyopendekezwa

Kiini cha mbinu yetu ni mfuatano wa uhandisi wa vipengele mseto unaokishia kwenye mfumo wa kulinganisha wa masomo ya mashine.

3.1. Seti ya Data & Utayarishaji

Ili tumia seti ya data ya nenosiri zaidi ya 660,000 kutoka kwa uvunjaji wa data uliojulikana. Nenosiri zilitambuliwa kama 'dhaifu' au 'ngumu' kulingana na uwezo wao wa kukabiliana na majaribio ya kuvunja (k.m., kwa kutumia zana kama Hashcat na seti za kanuni za kawaida).

3.2. Uhandisi wa Vipengele Mseto

Tunapitia vipimo vya msingi (urefu, entropy) ili kukamata udhaifu wa kina:

  • Entropy ya Shannon Iliyosanifishwa ya Leetspeak: Huhesabu entropy baada ya kubadilisha vibadala vya kawaida vya herufi (k.m., '@' -> 'a', '3' -> 'e') ili kutathmini uasi wa kweli.
  • Ugunduzi wa Muundo: Hutambua mtembeo wa kibodi (k.m., 'qwerty'), mfuatano (k.m., '12345'), na herufi zilizorudiwa.
  • N-grams za TF-IDF katika Kiwango cha Herufi: Hutoa sehemu ndogo za nenosiri zinazotokea mara kwa mara kutoka kwenye seti za data zilizovunjwa ili kuonyesha vipande vya nenosiri vinavyotumiwa mara kwa mara.
  • Kulinganisha na Kamusi: Hukagua uwepo wa maneno kutoka kwa kamusi nyingi (Kiingereza, majina, maeneo).

3.3. Muundo wa Modeli & Mafunzo

Modeli nne zilifunzwa na kulinganishwa: Msitu wa Nasibu (RF), Mashine ya Vekta ya Usaidizi (SVM), Mtandao wa Neva wa Convolutional (CNN) kwa uchambuzi wa mfuatano, na Uregeshaji wa Logistic kama msingi wa kulinganisha. Seti ya data iligawanywa katika 70% ya mafunzo, 15% ya uthibitishaji, na 15% ya majaribio.

4. Matokeo & Uchambuzi

4.1. Vipimo vya Utendaji

Modeli ya Msitu wa Nasibu ilifikia utendaji bora zaidi:

Usahihi wa Seti ya Majaribio

99.12%

Msitu wa Nasibu

Usahihi wa Kulinganisha

  • SVM: 97.45%
  • CNN: 98.01%
  • Uregeshaji wa Logistic: 95.88%

Maelezo ya Chati: Chati ya mipango ingeonyesha kwa macho uongozi mkubwa wa modeli ya RF katika usahihi ikilinganishwa na modeli nyingine tatu. Matriki ya kuchanganyikiwa kwa modeli ya RF ingeonyesha hasara ndogo za uwongo (kutambulisha vibaya nenosiri dhaifu kuwa ngumu), ambayo ni muhimu kwa usalama.

4.2. Umuhimu wa Vipengele

Uwezo wa kufafanua wa Msitu wa Nasibu uliruhusu uchambuzi wa umuhimu wa vipengele. Wachangiaji wakuu katika uamuzi wa modeli walikuwa:

  1. Entropy Iliyosanifishwa ya Leetspeak
  2. Uwepo wa Maneno ya Kamusi
  3. Alama ya Muundo wa Kibodi
  4. Alama ya TF-IDF kwa 3-grams za kawaida
  5. Urefu wa Nenosiri Ghafi

Uchambuzi huu unathibitisha kwamba vipengele vipya (entropy iliyosanifishwa, muundo) vina uwezo wa kutofautisha zaidi kuliko vipimo vya jadi vinavyotegemea urefu pekee.

5. Majadiliano & Kazi ya Baadaye

Mtazamo wa Utumizi: Mfumo huu wa kupima unaweza kuunganishwa kwenye violezo vya uundaji wa nenosiri kwa wakati halisi (k.m., wakati wa usajili wa mtumiaji) ili kutoa maoni maalum na yanayoweza kutekelezwa (k.m., "Nenosiri lako lina mtembeo wa kawaida wa kibodi 'qwerty'."). Pia unaweza kutumika kwa ukaguzi wa mara kwa mara wa hifadhidata za nenosiri zilizopo.

Mwelekeo wa Baadaye:

  • Masomo Yanayobadilika: Endelea kusasisha modeli kwa data mpya ya uvunjaji na muundo mpya wa mashambulio (k.m., makisio ya nenosiri yanayotokana na AI).
  • Muktadha wa Lugha Nyingi & Kitamaduni: Panua maktaba za kamusi na muundo ili kufunika lugha zisizo za Kiingereza na nenosiri maalum za kitamaduni.
  • Masomo ya Shirikisho: Funza modeli kwenye data ya nenosiri iliyotawanywa bila kufichua nenosiri ghafi, na hivyo kuimarisha faragha.
  • Unganisho na Wasimamizi wa Nenosiri: Tumia modeli kutathmini na kupendekeza maneno ya siri yenye nguvu, lakini yanayokumbukwa.

6. Mtazamo wa Mchambuzi: Uchambuzi wa Hatua Nne

Uelewa wa Kiini: Karatasi hii inatoa ukweli muhimu, lakini ambao mara nyingi hupuuzwa: usalama wa nenosiri ni tatizo la kutambua muundo, sio zoezi la kufuata kanuni. Waandishi wametambua kwa usahihi kwamba adui sio nenosiri fupi tu, bali nenosiri zinazotabirika—tofauti ambayo imepotea kwenye zana nyingi za usalama zinazotokana na utii. Usahihi wao wa 99.12% sio nambari tu; ni kosa la moja kwa moja dhidi ya vipima vinavyotegemea LUDS ambavyo bado vimeingizwa katika mifumo mingi.

Mtiririko wa Mantiki: Hoja imeundwa kwa njia ya kulazimisha. Inaanza kwa kuvunja teknolojia iliyopo (kanuni zisizobadilika), inaweka hitaji la mfumo wa kujifunza, na kisha inajenga hoja yake hatua kwa hatua: seti ya data thabiti, uhandisi wa vipengele wa kipaji (entropy ya leetspeak ni kipande bora), na kulinganisha kwa modeli kwa njia ya vitendo. Kuchagua Msitu wa Nasibu ni hatua ya busara—inakataa sehemu ndogo ya utendaji wa kina wa masomo ya mashine kwa ajili ya kiwango cha dhahabu cha ufafanuzi, ambacho hakikubaliki kwa ushauri wa usalama unaowakabili watumiaji.

Nguvu & Kasoro: Nguvu iko wazi katika seti ya vipengele. Kwa kupita miongozo ya NIST SP 800-63B, wanaishambulia tatizo kama wachanganuzi wa siri, sio watawala. Kasoro, kama ilivyo kwa modeli yoyote iliyosimamiwa, ni utegemezi wake kwenye data ya kihistoria. Ni bora katika kukamata 'P@ssw0rd1!' ya jana, lakini inafanya vipi dhidi ya nenosiri za kesho zilizoundwa na AI, zilizochanganuliwa kisaikolojia? Modeli hii ni ya kukabiliana, sio ya kutabiri. Zaidi ya hayo, ingawa seti ya data ni kubwa, uwakilishi wake wa tabia za nenosiri za kimataifa, za lugha nyingi haujathibitishwa.

Uelewa Unaoweza Kutekelezwa: Kwa CISOs, hitimisho ni wazi: amuru tathmini ya vichujio vya nenosiri vinavyotegemea ML kwa maendeleo yoyote ya programu mpya. Kwa watengenezaji, mpango wa uhandisi wa vipengele ni dhahabu ya wazi—anza kutekeleza ukaguzi huu sasa, hata kama safu rahisi ya heuristics juu ya mifumo iliyopo. Jumuiya ya watafiti inapaswa kuitazama hii kama modeli ya msingi na kulenga juhudi kwenye mpaka unaofuata: mafunzo ya kupinga ili kutabiri muundo mpya wa mashambulio, kama vile mitandao ya kupinga ya kizazi (GANs) ilivyobadilika katika taswira ya kompyuta (kama ilivyoonekana katika karatasi ya kipekee ya CycleGAN na Zhu et al.) ili kushughulikia tafsiri ya picha isiyo na jozi, tatizo linalofanana la ramani ngumu.

7. Kiambatisho cha Kiufundi

7.1. Uundaji wa Kihisabati

Entropy Iliyosanifishwa ya Leetspeak: Kwanza, kitendakazi cha kusanifisha $N(p)$ huweka mfuatano wa nenosiri kwa umbo lake 'lililotolewa leetspeak' (k.m., $N("P@ssw0rd") = "Password"$). Entropy ya Shannon $H$ kisha huhesabiwa kwenye mfuatano uliosanifishwa: $$H(X) = -\sum_{i=1}^{n} P(x_i) \log_2 P(x_i)$$ ambapo $X$ ni mfuatano wa nenosiri uliosanifishwa, $n$ ni ukubwa wa seti ya herufi, na $P(x_i)$ ni uwezekano wa herufi $x_i$.

TF-IDF kwa N-grams za Herufi: Kwa n-gram fulani $t$ (k.m., mfuatano wa herufi 3) katika nenosiri $d$, ndani ya mkusanyiko $D$ wa nenosiri zilizovunjwa: $$\text{TF-IDF}(t, d, D) = \text{freq}(t, d) \times \log\left(\frac{|D|}{|\{d \in D : t \in d\}|}\right)$$ Alama ya juu inaonyesha sehemu ndogo ya nenosiri ambayo ni ya kawaida katika nenosiri maalum lakini pia inatokea kwa kawaida katika nenosiri zilizovunjwa, na hivyo kuashiria hatari kubwa.

7.2. Mfano wa Mfumo wa Uchambuzi

Hali: Kutathmini nenosiri "M1cr0$0ft_2024".

Utumizi wa Mfumo:

  1. Vipimo vya Msingi: Urefu=14, ina herufi kubwa, herufi ndogo, nambari, herufi maalum. Kipima cha jadi: NGUMU.
  2. Kusanifisha Leetspeak: N("M1cr0$0ft_2024") -> "Microsoft_2024". Entropy hupungua kwa kiasi kikubwa ikawa neno linalotabirika + mwaka.
  3. Ugunduzi wa Muundo: Hakuna mtembeo wa kibodi. Ina mfuatano "2024".
  4. Kamusi & TF-IDF: Ina neno la kamusi "Microsoft" (baada ya kusanifisha). Sehemu ndogo "soft" inaweza kuwa na alama ya juu ya TF-IDF kutoka kwa uvunjaji wa awali.
  5. Uhitimu wa Modeli: Modeli ya Msitu wa Nasibu, ikizingatia entropy iliyosanifishwa ya chini, uwepo wa neno la kamusi, na sehemu ndogo ya kawaida, ingeweza kuigawa hii kama DHAIFU au WASATANI, na kutoa maoni maalum: "Ina jina la kawaida la kampuni na mwaka wa hivi karibuni."
Mfano huu unaonyesha jinsi mfumo huu unavyoonyesha udhaifu usioonekana kwa mifumo inayotegemea kanuni.

8. Marejeo

  1. Google Cloud. (2022). Utabiri wa Usalama wa Mtandao 2022.
  2. Ur, B., et al. (2016). "Je, Mtazamo wa Watumiaji Kuhusu Usalama wa Nenosiri Unalingana na Ukweli?" Katika Proceedings of CHI 2016.
  3. Weir, M., et al. (2010). "Kuvunja Nenosiri Kwa Kutumia Sarufi ya Mazingira Bila Malipo ya Uwezekano." Katika IEEE Symposium on Security and Privacy.
  4. Zhu, J., Park, T., Isola, P., & Efros, A. A. (2017). "Tafsiri ya Picha hadi Picha Isiyo na Jozi Kwa Kutumia Mitandao ya Kupinga Yenye Mzunguko Thabiti." Katika Proceedings of ICCV 2017. (Iliyotajwa kama mfano wa mageuzi ya mfumo wa kupinga).
  5. Taasisi ya Kitaifa ya Viwango na Teknolojia (NIST). (2017). Miongozo ya Utambulisho Dijitali (SP 800-63B).