Chagua Lugha

Uboreshaji wa Usalama wa Nenosiri: Mfumo wa Uhakiki wa Usahihi wa Juu Kwa Kutumia Misitu ya Nasibu

Uchambuzi wa mfumo wa uhakiki wa nguvu ya nenosiri unaotumia masomo ya mashine (Random Forests), ukifikia usahihi wa 99.12% kwa uhandisi wa vipengele mseto mpya.
strongpassword.org | PDF Size: 0.5 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - Uboreshaji wa Usalama wa Nenosiri: Mfumo wa Uhakiki wa Usahihi wa Juu Kwa Kutumia Misitu ya Nasibu
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » Uboreshaji wa Usalama wa Nenosiri: Mfumo wa Uhakiki wa Usahihi wa Juu Kwa Kutumia Misitu ya Nasibu

Yaliyomo

1. Utangulizi

Nenosiri bado ndio utaratibu mkuu wa uthibitishaji, lakini ni udhaifu mkubwa. Vipima nguvu za jadi vya nenosiri, vinavyotegemea kanuni zisizobadilika kama mahitaji ya aina ya herufi (LUDS), vinaweza kupitishwa kwa urahisi na mifumo inayotabirika (k.m., 'P@ssw0rd1!'), na kutoa hisia potofu ya usalama. Karatasi hii inashughulikia pengo hili kwa kupendekeza mfumo wa uhakiki wa nguvu ya nenosiri unaotumia masomo ya mashine. Lengo kuu ni kuacha ukaguzi wa kanuni rahisi na kuelekea kwenye modeli inayoelewa udhaifu tata na wa muktadha katika nenosiri zinazochaguliwa na binadamu, na hatimaye kutoa tathmini ya usalama sahihi zaidi na inayoweza kutekelezwa.

2. Kazi Zinazohusiana

Utafiti uliopita katika tathmini ya nguvu ya nenosiri umebadilika kutoka kwa vipima rahisi vinavyotegemea kanuni hadi kwenye mifumo ya uwezekano. Kazi za awali zililenga kanuni za muundo. Baadaye, sarufi zisizo na muktadha za uwezekano (PCFGs) na mifumo ya Markov ilianzishwa kuiga tabia za uundaji wa nenosiri. Hivi karibuni zaidi, mbinu za masomo ya mashine, zikiwemo mitandao ya neva, zimetumika. Hata hivyo, nyingi hazina ufafanuzi au hazishirikishi seti kamili ya vipengele vinavyoshika udhaifu wa kisintaksia na kisemantiki. Kazi hii inajenga juu ya misingi hii kwa kuchanganya uhandisi wa vipengele wa hali ya juu na modeli inayoweza kufafanuliwa na yenye utendaji wa juu.

3. Mbinu Iliyopendekezwa

Mfumo uliopendekezwa unajumuisha hatua tatu muhimu: utayarishaji wa data, uchimbaji wa kina wa vipengele, na mafunzo/tathmini ya modeli.

3.1. Seti ya Data & Utayarishaji

Modeli imefunzwa na kutathminiwa kwenye seti ya data ya nenosiri zaidi ya 660,000 za ulimwengu halisi, ambazo pengine zimetokana na uvunjaji wa umma (kwa kutokuwambulisha kwa usahihi). Nenosiri zimewekewa lebo kulingana na nguvu zake zinazokadiriwa au udhaifu unaojulikana kutokana na majaribio ya kuvunja. Utayarishaji wa data unajumuisha usimamizi wa usimbuaji na uwekaji wa kawaida wa msingi.

3.2. Uhandisi wa Vipengele Mseto

Huu ndio ubunifu mkuu wa karatasi hii. Seti ya vipengele inazidi vipimo vya msingi ili kushika udhaifu wa kina:

  • Vipimo vya Msingi: Urefu, hesabu za aina za herufi (LUDS).
  • Entropi ya Shannon Iliyowekwa Kawaida ya Leetspeak: Inakokotoa entropi baada ya kubadilisha vibadala vya kawaida vya leetspeak (k.m., '@' -> 'a', '3' -> 'e') ili kutathmini usumbufu wa kweli. Entropi $H$ inakokotolewa kama: $H = -\sum_{i=1}^{n} P(x_i) \log_2 P(x_i)$ ambapo $P(x_i)$ ni uwezekano wa herufi $x_i$.
  • Ugunduzi wa Muundo: Inatambua matembezi ya kibodi (k.m., 'qwerty'), mfuatano (k.m., '12345'), na herufi zilizorudiwa.
  • Vipengele vya Kamusi & N-gram: Inakagua dhidi ya maneno ya kawaida ya kamusi (lugha nyingi) na hutumia TF-IDF ya kiwango cha herufi kwenye n-gram (k.m., bi-gram, tri-gram) ili kutambua sehemu ndogo za maneno zinazorudiwa mara kwa mara kutoka kwenye seti za data zilizovunjwa.
  • Vipengele vya Kimuundo: Nafasi ya aina za herufi, uwiano wa herufi za kipekee kwa urefu.

3.3. Muundo wa Modeli & Mafunzo

Modeli nne zilinganishwa: Msitu wa Nasibu (RF), Mashine ya Vekta ya Usaidizi (SVM), Mtandao wa Neva wa Convolutional (CNN), na Uregeshaji wa Logistic. Msitu wa Nasibu ulichaguliwa kuwa modeli ya mwisho kutokana na utendaji wake bora na uwezo wake wa asili wa kufafanuliwa. Seti ya data iligawanywa katika seti za mafunzo, uthibitishaji, na majaribio. Urekebishaji wa vigezo vya juu ulifanywa kwa kutumia utafutaji wa gridi au utafutaji wa nasibu wa uthibitishaji-pitio.

4. Matokeo & Uchambuzi

4.1. Vipimo vya Utendaji

Modeli ya Msitu wa Nasibu ilifikia usahihi wa 99.12% kwenye seti ya majaribio iliyohifadhiwa, ikishinda kwa kiasi kikubwa modeli nyingine. Vipimo muhimu vya utendaji vimefupishwa hapa chini:

Ulinganisho wa Utendaji wa Modeli

Msitu wa Nasibu: Usahihi 99.12%

Mashine ya Vekta ya Usaidizi: Usahihi ~97.5%

Mtandao wa Neva wa Convolutional: Usahihi ~98.0%

Uregeshaji wa Logistic: Usahihi ~95.8%

Takwimu za Seti ya Data

Jumla ya Nenosiri: 660,000+

Kipimo cha Vekta ya Kipengele: 50+

Ukubwa wa Seti ya Majaribio: 20% ya data yote

Maelezo ya Chati: Chati ya mhimili ingewakilisha kwa macho usahihi wa modeli zote nne, ikionyesha wazi uongozi wa Msitu wa Nasibu. Chati ya pili ingeonyesha mkunjo wa usahihi-ukumbusho wa modeli ya RF, ikionyesha uthabiti wake katika viwango tofauti vya uainishaji.

4.2. Umuhimu wa Kipengele

Faida kubwa ya modeli ya Msitu wa Nasibu ni uwezo wa kutoa alama za umuhimu wa kipengele. Uchambuzi ulifunua kuwa entropi iliyowekwa kawaida ya leetspeak na bendera za mechi za kamusi zilikuwa miongoni mwa viashiria vya juu, ikithibitisha dhana kwamba vipengele hivi vya mseto ni muhimu. Vipengele vya ugunduzi wa muundo kwa matembezi ya kibodi pia vilipata nafasi ya juu.

4.3. Uchambuzi wa Kulinganisha

Utendaji wa modeli ya RF unaonyesha kwamba mbinu za mseto zinazotegemea miti zinaweza kufanana au kuzidi nguvu ya utabiri ya mitandao changamano zaidi ya neva (CNN) kwa kazi hii yenye muundo na vipengele vingi, huku ikitoa uwazi mkubwa zaidi. Utendaji duni wa Uregeshaji wa Logistic unaangazia uhusiano usio wa mstari na tata kati ya vipengele ambao modeli rahisi za za mstari haziwezi kushika.

5. Majadiliano & Kazi ya Baadaye

Matumizi & Ushirikishaji: Mfumo huu wa uhakiki unaweza kushirikishwa katika viwango vya uundaji wa nenosiri vya wakati halisi, na kutoa maoni ya papo hapo na ya kina (k.m., "Dhaifu kutokana na muundo wa kawaida wa kibodi 'qwerty'") badala ya lebo rahisi ya "Dhaifu/Imara". Pia unaweza kutumika kwa ukaguzi wa mara kwa mara wa hifadhidata za nenosiri zilizopo.

Mwelekeo wa Baadaye:

  • Masomo ya Kipingamizi: Kufunza modeli dhidi ya vunja nenosiri vya hali ya juu kama HashCat au John the Ripper katika usanidi unaofanana na GAN ili kuifanya iwe imara dhidi ya mikakati inayobadilika ya mashambulizi, sawa na mafunzo ya kipingamizi katika modeli za picha kama CycleGAN.
  • Uhakiki Unaozingatia Muktadha: Kujumuisha muktadha wa mtumiaji (k.m., aina ya huduma—benki dhidi ya mitandao ya kijamii, tabia za zamani za nenosiri za mtumiaji) kwa viwango vya nguvu vilivyobinafsishwa.
  • Masomo ya Shirikishi: Kuruhusu modeli kuboresha kila wakati kwa kujifunza kutoka kwa data mpya ya nenosiri katika mashirika bila kuweka data nyeti katikati, na kuhifadhi faragha.
  • Ushirikishaji wa AI Inayoweza Kufafanuliwa (XAI): Kuboresha uchambuzi wa umuhimu wa kipengele kwa maelezo ya ndani yanayoweza kufafanuliwa na yasiyo na modeli maalum (LIME) ili kutoa mwongozo wa wazi zaidi kwa mtumiaji.

6. Mtazamo wa Mchambuzi: Uvunjaji wa Hatua Nne

Uelewa wa Msingi: Mafanikio makubwa ya karatasi hii sio usahihi wa 99%—ni kupunguzwa kwa kimkakati kwa usahihi ghafi kama lengo kuu kwa kupendelea akili inayoweza kufafanuliwa na kutekelezwa. Katika uwanja unaozama kwenye mitandao ya neva isiyoeleweka, waandishi walichagua kwa hekima Msitu wa Nasibu sio tu kwa sababu unafanya kazi, lakini kwa sababu unaweza kuelezea kwa nini unafanya kazi. Hii inabadilisha dhamana kutoka kwa utabiri tu hadi kuelimisha mtumiaji na kuimarisha mfumo, mabadiliko muhimu ambayo mara nyingi yanakosekana katika karatasi za kitaaluma za ML-kwa-usalama.

Mtiririko wa Kimantiki na Usahihi wa Kimkakati: Mantiki haina dosari: 1) Kanuni zisizobadilika zimevunjika, 2) Kwa hivyo, jifunze kutoka kwa data halisi ya uvunjaji, 3) Lakini, kujifunza mifumo changamani kunahitaji vipengele vya hali ya juu (kwa hivyo uhandisi wa mseto), 4) Hata hivyo, kwa ajili ya kupitishwa, mfumo lazima uthibitishe alama zake. Uchaguzi wa kulinganisha na SVM, CNN, na Uregeshaji wa Logistic ni wa hekima—unaonyesha kwamba uhandisi wao wa vipengele ni wenye nguvu sana kwamba modeli rahisi, inayoweza kufafanuliwa inaweza kushinda mbadala changamani zaidi. Hii ni darasa bora katika usanidi wa mfumo wa ML unaoweza kutekelezwa.

Nguvu na Kasoro Zilizo Wazi: Seti ya vipengele vya mseto, hasa entropi iliyowekwa kawaida ya leetspeak, ni ya kifahari na yenye ufanisi. Matumizi ya seti kubwa ya data ya ulimwengu halisi yanaweka utafiti huu katika ukweli. Hata hivyo, kasoro kuu ya karatasi hii ni dhana yake ya kimya: kwamba data ya uvunjaji iliyopita inatabiri kikamilifu udhaifu wa baadaye. Modeli hii kimsingi ni inayotazamia nyuma. Mshambuliaji mwenye ujuzi anayetumia AI ya kuzalisha kuunda nenosiri mpya, zisizo na msingi wa kamusi lakini zinazoweza kukubalika kisaikolojia (mbinu iliyodokezwa katika utafiti wa hivi karibuni wa OpenAI na Anthropic kuhusu usalama wa AI) anaweza uwezekano wa kuipitisha. Modeli hii inapigana vita vya mwisho kwa ustadi, lakini vita vijavyo vinaweza kuhitaji silaha tofauti kabisa.

Uelewa Unaoweza Kutekelezwa kwa Watendaji:

  • Hatua ya Papo hapo: Timu za usalama zinapaswa kushinikiza wauzaji kubadilisha vipima vinavyotegemea LUDS na mifumo inayotumia ML na inayoweza kufafanuliwa kama hii. Faida ya uwekezaji (ROI) katika kuzuia mashambulizi ya kujaza hati pekee ni kubwa.
  • Kipaumbele cha Maendeleo: Kulenga kushirikisha matokeo ya umuhimu wa kipengele katika mzunguko wa maoni ya mtumiaji. Kumwambia mtumiaji "nenosiri lako ni dhaifu" halina maana; kumwambia "ni dhaifu kwa sababu lina matembezi ya kawaida ya kibodi na neno la kamusi" inasababisha mabadiliko ya tabia.
  • Uwekezaji wa Kimkakati wa R&D: Baadaye iko katika modeli za kipingamizi, za kuzalisha. Wekeza rasilimali kuunda mifumo ya uhakisi inayofunzwa pamoja na vunja nenosiri vya AI katika uigizaji endelevu wa timu nyekundu/timu bluu, sawa na michakato ya mafunzo ya kipingamizi ambayo ilifanya modeli kama CycleGAN kwa tafsiri ya picha kuwa imara. Kumngojea uvunjaji mkubwa ujao ili kusasisha modeli yako ni mkakati wa kushindwa.
Kwa kumalizia, kazi hii ni ushindi mkubwa wa kimkakati katika vita vya usalama wa nenosiri. Hata hivyo, kuitendea kama suluhisho la mwisho itakuwa kosa la kimkakati. Ni msingi bora zaidi hadi sasa ambao unaweza kujengwa juu yake kizazi kijacho cha mifumo ya kinga ya inayojikimu, inayotabiri.

7. Kiambatisho cha Kiufundi

Mfano wa Mfumo wa Uchambuzi (Sio Msimbo): Fikiria kutathmini nenosiri "S3cur1ty2024!". Kikaguzi cha kawaida cha LUDS kinaona urefu=12, herufi kubwa, ndogo, tarakimu, herufi maalum – kwa uwezekano kinaihakiki kuwa "Imara". Uchambuzi wa mfumo wetu ungekuwa:

  1. Uwekaji Kawaida wa Leetspeak: Inabadilisha kuwa "Security2024!".
  2. Kukokotoa Entropi: Inakokotoa entropi kwenye mfuatano uliowekwa kawaida, ambao umepunguzwa kwa sababu "Security" ni neno la kawaida la kamusi.
  3. Mechi ya Kamusi: Inabainisha "Security" kama neno la Kiingereza lililo kati ya 10,000 bora.
  4. Ugunduzi wa Muundo: Inabainisha "2024" kama muundo wa kawaida wa mfuatano wa mwaka.
  5. Uchambuzi wa N-gram: Inapata kwamba "ty20" ni sehemu ndogo ya maneno inayotokea mara kwa mara katika nenosiri zilizovunjwa (inayounganisha miisho ya kawaida ya maneno na viambishi vya kawaida vya mwaka).
Modeli ya Msitu wa Nasibu inachanganya vipengele hivi vilivyopimwa. Wakati urefu na utofauti wa herufi vinachangia vyema, uzito mzito hasi kutoka kwa mechi ya kamusi, mwaka unaotabirika, na n-gram ya kawaida kwa uwezekano ungesababisha alama ya mwisho ya "Wastani" au "Dhaifu," na kutoa tathmini sahihi zaidi ya hatari na pointi maalum za maoni ("Epuka maneno ya kamusi," "Epuka miaka ya hivi karibuni").

8. Marejeo

  1. Google Cloud. (2022). Ripoti ya Upeo wa Tishio.
  2. Veras, R., et al. (2014). On the Semantic Patterns of Passwords and their Security Impact. In NDSS.
  3. Weir, M., et al. (2010). Password Cracking Using Probabilistic Context-Free Grammars. In IEEE S&P.
  4. Zhu, J.-Y., et al. (2017). Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks. In ICCV (CycleGAN).
  5. OpenAI. (2023). GPT-4 Technical Report. (Inajadili uwezo katika kuzalisha maandishi yanayoweza kukubalika, yanayohusiana na uzalishaji wa nenosiri mpya).
  6. Scikit-learn: Machine Learning in Python. Pedregosa et al., JMLR 12, pp. 2825-2830, 2011.