Dil Seçin

SODA ADVANCE: Sosyal Ağ Verileri ve Büyük Dil Modellerine Dayalı Şifre Gücü Analizi

Bu araştırma makalesi, sosyal ağ veri sızıntıları üzerinden parola gücünü analiz ederek, SODA ADVANCE gibi veri yeniden yapılandırma araçları ile büyük dil modellerinin yeteneklerini ve risklerini birleştirmektedir.
strongpassword.org | PDF Boyutu: 0.8 MB
Derecelendirme: 4.5/5
Sizin Derecelendirmeniz
Bu belgeyi zaten derecelendirdiniz
PDF Doküman Kapağı - SODA ADVANCE: Sosyal Ağ Verileri ve Büyük Dil Modellerine Dayalı Şifre Gücü Analizi
PDF Belgesini Görüntüle PDF İndir PDF Çevir
Ana Sayfa » Belgeler » SODA ADVANCE: Sosyal Ağ Verileri ve Büyük Dil Modellerine Dayalı Şifre Gücü Analizi

1. Giriş

Parolalar, yetkisiz erişime karşı ana savunma aracı olmaya devam etmektedir; ancak kullanıcı davranışları genellikle güvenlikten ziyade hatırlanabilirliği önceliklendirir. Geleneksel parola güçlü kontrolörleri, kullanıcı seçimlerini dikkate almayan statik dilbilgisi kurallarına (örneğin uzunluk, karakter çeşitliliği) dayanır.Anlamsal BağlamKullanıcılar sıklıkla kişisel bilgilerinden (isim, doğum günü, hobiler gibi) parola türetirler ve bu bilgilerin çoğu artık sosyal medya platformlarında kamuya açık olarak bulunabilmektedir.

Bu makale,SODA ADVANCE, halka açık sosyal ağ verilerinden yararlanarak parola gücünü değerlendirmek için bir modülü genişleten bir veri yeniden yapılandırma aracını tanıtmaktadır. Ayrıca, makaleBüyük Dil Modelleri'ninçift taraflı rolünü ele almaktadır: güçlü, kişiselleştirilmiş parolalar oluşturmak ve güvenliği değerlendirmek için potansiyel bir varlık olarak ve kötüye kullanıldığında parola kırma için önemli bir tehdit oluşturması olarak.

Bu araştırma üç temel soru etrafında şekillenmektedir: Büyük Dil Modelleri, halka açık verilere dayanarak karmaşık ancak hatırlaması kolay parolalar oluşturabilir mi? Kişisel bilgileri dikkate alarak parola gücünü etkili bir şekilde değerlendirebilirler mi? Verilerin birden fazla ağ üzerinden yayılması bu yetenekleri nasıl etkiler?

2. SODA ADVANCE Çerçevesi

SODA ADVANCE, kullanıcıların dijital ayak izlerini halka açık kaynaklardan yeniden yapılandırarak parola zafiyetini değerlendirmek için özel olarak tasarlanmış, SODA aracının gelişmiş bir versiyonudur.

2.1. Çekirdek Mimari ve Modüller

Bu çerçevenin mimarisi (PDF'deki Şekil 1'de gösterildiği gibi) birden fazla entegre modül içerir:

  • Veri Toplama:Web örümcekleri ve kazıma araçları, birden fazla sosyal ağdan herkese açık kullanıcı verilerini (profil bilgileri, gönderiler, fotoğraflar) toplar.
  • Veri Yeniden Yapılandırma ve Birleştirme:Farklı kaynaklardan gelen bilgiler, kapsamlı bir kullanıcı profili oluşturmak için birleştirilir. Yüz tanıma gibi teknolojiler, profil fotoğraflarını diğer kimliklerle ilişkilendirebilir.
  • Şifre Gücü Modülü:Çekirdek Analiz Modülü, girilen şifreyi ve yeniden oluşturulan kullanıcı profilini alır, çeşitli metrikler kullanarak gücü değerlendirir.

Grafik Açıklaması (Şekil 1 Özeti):Bu şekil, sosyal ağ veri toplama (web örümceği/kazıyıcı) ile başlayan, bir birleştirme modülüne (yüz tanıma, veri birleştirme) yönlendiren bir süreci göstermektedir. Yeniden oluşturulan profil (ad, soyad, şehir vb. içerir) ve girilen bir şifre, metrikleri (CUPP, LEET, COVERAGE, FORCE, CPS) hesaplayan ve bir terazinin "Evet" veya "Hayır"a yönelmesiyle görselleştirilen bir güç puanı çıktısı veren bir toplama modülüne beslenir.

2.2. Parola Gücü Ölçüm Metrikleri

SODA ADVANCE, birkaç yerleşik metriği benimser ve genişletir:

  • CUPP (Common User Password Profiler):Şifrenin kullanıcıyla ilişkili yaygın sözlüklerde veya kalıplarda bulunup bulunmadığını kontrol eder (yaygınsa puan 1, değilse daha düşüktür).
  • Leet Dönüşümü:Basit karakter değişimlerine (örneğin, a→@, e→3) karşı direnci değerlendirir. Düşük puan, yüksek Leet dönüşüm derecesini gösterir ve zayıf bir temel kelimeyi gizleme girişimine işaret eder.
  • COVERAGE (Kapsam):Parolanın, kullanıcının yeniden oluşturduğu kişisel verilerden (token) ne oranda içerdiğini ölçer. Yüksek kapsam olumsuzdur.
  • FORCE (Parola Gücü):Uzunluk, karakter seti ve entropiye dayalı olarak kırılma süresini tahmin eden bileşik bir ölçüm metriği.

Bu makale, yeni birKümülatif Parola GücüÖlçüm metrikleri, yukarıdaki yöntemlerin puanlarını tek, kapsamlı bir güç göstergesinde birleştirir.

3. Büyük Dil Modelleri: Parola Güvenliğindeki İkili Rolü

Bu çalışma, GPT-4 gibi büyük dil modellerinin hem savunma için güçlü bir araç hem de saldırı için bir silah olarak bir paradigma değişimini temsil ettiğini düşünmektedir.

3.1. Parola Oluşturmada Büyük Dil Modellerinin Kullanımı

Kullanıcının kamuya açık profil verileri girildiğinde, büyük dil modelleri aşağıdaki özelliklere sahip parolalar oluşturabilir:

  • Yüksek Güçlü:Yüksek entropi, uzunluk ve karakter çeşitliliği içerir.
  • Kişiselleştirilmiş ve akılda kalıcı:Kullanıcı ilgi alanlarına göre şifre oluşturabilir (örneğin, portakalı seven ve sistem bilgisi öğrenmiş George için "OrangeSystem23" üretmek gibi), bu da rastgele dizilerden daha kolay hatırlanmasını sağlar.
  • Bağlamdan haberdar:Talimat verilirse, belirgin kişisel veri tuzaklarından kaçınabilirler.

Bu yetenek, ilk araştırma sorusunu olumlu yanıtlar, ancak aynı zamanda tehdidi de vurgular: Saldırganlar aynı tekniği kullanarak yüksek olasılıklı şifre tahminleri oluşturabilir.

3.2. Parola Değerlendirmesi için Büyük Dil Modelleri

Üretmenin yanı sıra, büyük dil modelleri kullanıcı profillerine göre de yönlendirilebilir.DeğerlendirmeVerilen bir şifrenin gücünü değerlendirirler. Anlamsal çıkarımlar yapabilir, açık olmayan ilişkileri tanıyabilirler (örneğin, "Orange123", favori basketbol takımı Orlando Magic ve doğum günü 12 Mart olan bir kullanıcı için zayıf olabilir). Bu bağlamsal değerlendirme, geleneksel kural tabanlı denetleyicilerin ötesine geçer ve ikinci araştırma sorusuna olumlu bir yanıt oluşturur.

4. Deney Yöntemi ve Sonuçları

4.1. Deney Kurulumu

Araştırma,100 gerçek kullanıcıyıiçermektedir. Araştırmacılar, sosyal ağlardan bu kullanıcıların kamuya açık profillerini yeniden oluşturdu. İki ana süreç test edildi:

  1. Büyük Dil Modelleri tarafından oluşturulan şifreler:Kullanıcı profili büyük dil modeline sağlanır ve "güçlü ama akılda kalıcı" şifreler oluşturması istenir.
  2. Büyük dil modeli tarafından değerlendirilen şifreler:Büyük dil modeline bir kullanıcı profili ve (profilden türetilen zayıf şifreler de dahil) bir dizi aday şifre sağlanarak, şifre gücünü sıralaması veya puanlaması istenir.

Bu sonuçlar, SODA ADVANCE'ın metrik tabanlı modülünün değerlendirme sonuçlarıyla karşılaştırılmıştır.

4.2. Ana Bulgular

Büyük dil modeli şifre oluşturma başarı oranı

Büyük dil modeli, hem yüksek güçte (yüksek entropi) hem de kullanıcı için bağlamsal olarak kişiselleştirilmiş şifreleri tutarlı bir şekilde oluşturmuştur.

Doğruluk Değerlendirmesi

Bağlamla Birleştirildiğinde Daha İyi

Kullanıcı profili verisi sağlandığında, büyük dil modelleri anlamsal açıdan zayıf şifreleri tanımada geleneksel ölçütlerden daha üstündür.

Çoklu Ağ Etkisi

Belirgin

Birden fazla platformdaki (Facebook, LinkedIn, Instagram) veri zenginliği ve fazlalığı, SODA ADVANCE rekonstrüksiyonunun doğruluğunu ve büyük dil modeli tabanlı üretim/değerlendirmenin etkinliğini büyük ölçüde artırır.

Deneyler, kişisel bilgilerin kamuya açık erişilebilirliğinin hem savunma araçları hem de benzer yapay zeka destekli yöntemler kullanabilecek potansiyel saldırganlar için birkuvvet çarpanıgörevi gördüğünü göstermektedir.

5. Teknik Analiz ve Çerçeve

5.1. Matematiksel Formülasyon

YeniKümülatif Parola Gücümetrik, çeşitli metriklerden alınan normalleştirilmiş puanların ağırlıklı bir toplamı olarak kavramsallaştırılmıştır. Alıntıda kesin formül ayrıntılı olarak açıklanmamış olsa da, şu şekilde çıkarım yapılabilir:

$CPS = 1 - \frac{1}{N} \sum_{i=1}^{N} w_i \cdot S_i$

Bunlar arasında:

  • $N$, temel metriklerin sayısıdır (örneğin, CUPP, LEET, COVERAGE, FORCE).
  • $S_i$, $i$ metriğinin normalize edilmiş puanıdır (genellikle 1 yüksek risk/zafiyeti gösterir).
  • $w_i$, $i$ metriğine atanan ağırlıktır ve $\sum w_i = 1$ şartını sağlar.
CPS puanı 1'e ne kadar yakınsa, şifre o kadar güçlüdür. LEET metriği kendi başına modellenebilir. Eğer $L$, Leet dönüşüm kümesiyse (örneğin, {'a': ['@','4'], 'e': ['3']...}) ve $P$ şifreyse, Leet dönüşüm derecesi $\ell$ şu şekilde olabilir:

$\ell(P) = \frac{\text{Şifre } P \text{ içinde Leet değişimi uygulanmış karakter sayısı}}{\text{Şifre } P \text{ uzunluğu}}$

Daha yüksek bir $\ell(P)$, şifrenin sadece bir sözlük kelimesinin basit bir şekilde karıştırılması olabileceğini gösterir.

5.2. Analiz Çerçevesi Örneği

Vaka Çalışması: "GeorgeCali1023" Değerlendirmesi

Girdi:

  • Şifre:"GeorgeCali1023"
  • Yeniden Oluşturulan Profil: {Ad: "George", Soyadı: "Smith", Eğitim: "California Üniversitesi", Doğum Tarihi: "1994-01-23", Şehir: "Cagliari"}

Çerçeve Uygulaması:

  1. CUPP:"George", "Smith", "California", "Cal" kontrol edildi. "Cali", "California" için yaygın bir kısaltmanın doğrudan eşleşmesidir.Skor: Yüksek Risk (örn. 0.8)
  2. LEET:Karakter değişimi yok (a→@, i→1 vb.).Skor: Düşük Dönüşüm Oranı (örn. 0.1)
  3. KAPSAM:令牌“George”和“Cali”(来自 California)直接来自画像。“1023”可能衍生自出生月/日(1月23日 -> 1/23)。高覆盖率。Puan: Yüksek risk (örneğin, 0.9)
  4. ZORLAMA:Uzunluk 13, karışık büyük/küçük harf ve rakamlar. Sadece sözdizimsel açıdan oldukça yüksek entropi.Puan: Orta güç (örneğin, 0.4 risk)
  5. Büyük Dil Modeli Anlamsal Değerlendirmesi:İstem: "George Smith adında, California Üniversitesi'nde okumuş, 23 Ocak 1994 doğumlu bir kullanıcı için 'GeorgeCali1023' şifresinin gücü nedir?" Büyük Dil Modeli Çıktısı: "Zayıf. Şifre, kullanıcının adını, üniversitesinin kısaltmasını ve muhtemelen doğum ayı ile gününü doğrudan kullanıyor. Bu bilgiler kamuya açık verilerden kolayca tahmin edilebilir."

Sonuç:Geleneksel entropi (FORCE) orta güç gösterse de, bağlamsal metrikler (CUPP, COVERAGE) ve büyük dil modeli değerlendirmesi, şifreyiSon Derece Zayıfolarak işaretlemektedir, çünkü kamuya açık kişisel verilerle yüksek düzeyde semantik ilişkiye sahiptir. Bu, makalenin temel argümanını örneklemektedir.

6. Eleştirel Analist Bakış Açısı

Temel Çıkarımlar:Bu makale, korkunç ve kaçınılmaz bir gerçeği başarıyla vurgulamaktadır: Bağlam boşluğunda şifreleri değerlendirme çağı sona ermiştir. "Güçlü" şifreniz, yalnızca kamuya açık dijital ayak izinizdeki en zayıf halka kadar güçlüdür. SODA ADVANCE bu tehdidi biçimlendirmiştir, ancak asıl oyun değiştirici, büyük dil modellerinin kırma sürecini otomatikleştirmekten fazlasını yaptığını kanıtlamasıdır—onlarAnlamakBu süreç. Bu, saldırı yüzeyini kaba kuvvet hesaplamadan anlamsal çıkarıma kaydırır; bu daha verimli ve daha tehlikeli bir paradigmdır.

Mantıksal Akış:Argüman ikna edicidir: 1) Kişisel veriler kamuya açıktır (gerçek), 2) Şifreler kişisel verilerden türetilir (gerçek), 3) Dolayısıyla, kamuya açık veriler şifreleri kırmak için kullanılabilir (SODA gibi araçlarla doğrulanmıştır). 4) Büyük dil modelleri, kişisel veriler ve şifre kalıpları dahil olmak üzere dili işlemede ve üretmede son derece yeteneklidir. 5) Bu nedenle, büyük dil modelleri bu alandaki nihai çift kullanımlı teknolojidir. Bu çalışma, bu akışı ampirik verilerle net bir şekilde doğrulamaktadır.

Güçlü ve Zayıf Yönler:

  • Güçlü Yönler:Proaktif Tehdit Modellemesi. Bu makale yalnızca bir güvenlik açığını belgelemekle kalmıyor; yeni nesil saldırı araçlarının (yapay zeka destekli, bağlam duyarlı) yaygınlaşmasından önce onları modellemektedir. Bu, savunma için paha biçilmez bir değere sahiptir.
  • Güçlü Yönler:Pratik doğrulama. 100 gerçek kullanıcı ile yapılan çalışma, teori yerine gerçekliğe dayanmaktadır.
  • Eksiklikler:Büyük dil modellerinin opaklığı. Bu makale, büyük dil modellerini bir kara kutu olarak ele almaktadır.NedenBüyük dil modeli bir şifreyi neden zayıf bulur? Açıklanabilirliğin olmaması, tam güvenmeyi veya otomatik sistemlere entegre etmeyi zorlaştırır. Bu durum, CUPP veya COVERAGE gibi açıklanabilir (her ne kadar daha basit olsa da) metriklerle tezat oluşturur.
  • Önemli Eksiklik:Etik ve Düşmanca Kör Noktalar. Makale tehditlerden kısaca bahsetmekte, ancak ima ettiği büyük silahlanma yarışına karşılık vermemektedir. Araştırmacılar bunu yapabiliyorsa, kötü niyetli aktörler de yapabilir – ve muhtemelen daha büyük ölçekte. Bu yeni tehdit vektörü için herhangi bir hafifletme önlemi veya düzenleyici değerlendirme önerilmemiştir.

Uygulanabilir Öngörüler:

  1. Güvenlik ekipleri için:Geleneksel parola gücü denetleyicilerinin önceliğini hemen düşürün. Yöneticilerin ve kritik çalışanların kimlik bilgilerini denetlemek için, onların halka açık verilerini SODA tarzında yeniden oluşturabilen araçlara yatırım yapın veya geliştirin.
  2. Parola yöneticileri ve SaaS sağlayıcıları için:Bağlamsal güç kontrolünü entegre edin. Parola yöneticisi şu uyarıyı yapmalıdır: "Bu parola çok güçlü, ancak halka açık Instagram hesabınızda kedinizin adı 'Whiskers' ve doğum yılınız '1988' bulduk. Lütfen değiştirmeyi düşünün."
  3. Araştırmacılar için:Acil bir sonraki adım,Düşmanca Büyük Dil Modelleri Güçlendirme. Büyük Dil Modellerini,DirençKendi analitik yeteneklerine karşı bir şifre mi? Bu, üretici ve ayırt edicinin birbirleriyle rekabet ettiği, görüntü oluşturmada kullanılan Generative Adversarial Networks'a benzer. "Şifre GAN"ı çığır açıcı bir savunma yöntemi olabilir.
  4. Herkes için:Bu, şifrenin tek kimlik doğrulama faktörü olarak kullanılmasına son çiviyi çakıyor. Makalenin açıkça ifade edilmeyen sonucu, kimlik avına dayanıklı çok faktörlü kimlik doğrulamanın (WebAuthn/FIDO2) ve şifresiz teknolojilerin benimsenmesinin hızlandırılması için güçlü bir çağrı niteliğindedir.
Atzori ve diğerlerinin çalışması çok önemli bir uyarı işaretidir. Bu sadece daha iyi şifre denetleyicileri ile ilgili değil; yapay zekanın siber güvenlik manzarasını temelden değiştirdiğini ve geçmiş alışkanlıklarımızı ve araçlarımızı tehlikeli bir şekilde modası geçmiş hale getirdiğini kabul etmekle ilgilidir.

7. Gelecek Uygulamalar ve Yönler

Bu çalışmanın anlamı akademik ilginin çok ötesine uzanır:

  • Proaktif kurumsal güvenlik denetimi:Şirketler, iç tehditleri ve hedefli kimlik avı risklerini azaltmak için, çalışanların mesleki dijital ayak izlerine (LinkedIn, şirket profilleri) dayalı olarak parola uygulamalarını denetlemek amacıyla SODA ADVANCE benzeri araçları şirket içinde konuşlandırabilir.
  • Kimlik ve Erişim Yönetimi ile Entegrasyon:Gelecekteki IAM sistemleri, çalışanların kamuya açık sosyal verilerindeki değişiklikleri izleyen ve yüksek riskli ilişkiler tespit edildiğinde zorunlu parola sıfırlamayı tetikleyen sürekli, pasif bir modül içerebilir.
  • Yapay Zeka Destekli, Gizlilik Odaklı Parola Oluşturma:Bir sonraki evrim aşaması, kişisel verileri buluta göndermeden güçlü parolalar oluşturabilen, yapay zekanın gücünü kullanıcı gizliliğiyle birleştiren cihaz içi büyük dil modelleridir (örneğin, Apple'ın cihaz içi modelleri).Google AI gibi kuruluşlar tarafından araştırılan büyük dil modeli federated learning çalışmaları doğrudan bu alana uygulanabilir.
  • Bağlamsal Parola Metriklerinin Standardizasyonu:CPS metrikleri veya halefleri, yüksek güvenlikli ortamlarda (NIST kılavuzlarının ötesinde) kamuya açık bilgilere karşı kontrolü zorunlu kılan yeni bir standart haline gelebilir.
  • Dijital Okuryazarlık ve Gizlilik Eğitimi:Bu çalışma, kamu eğitimi için somut ve uyarıcı örnekler sunmaktadır. Birkaç sosyal medya paylaşımının şifreyi nasıl kırabileceğini göstermek, aşırı paylaşım konusunda güçlü bir caydırıcıdır.
  • Adli Bilişim ve Soruşturma Araçları:Kolluk kuvvetleri ve etik hacker'lar, geleneksel yöntemlerle kırılamayan güvenli cihazlara veya hesaplara erişmek için adli soruşturmalarda bu teknikleri kullanabilir; bu da paralel olarak geliştirilmesi gereken önemli etik ve yasal sorunları gündeme getirmektedir.

Açık kaynak istihbarat araçları, veri yeniden yapılandırma teknikleri ve üretken yapay zekanın birleşimi, güvenlik alanında yeni bir sınırı işaret etmektedir. Gelecek, giderek daha karmaşık şifreler oluşturmakta değil, kaçınılmaz olarak çevrimiçi olarak ifşa ettiğimiz anlamsal ilişkileri anlayabilen ve bunlara karşı savunma yapabilen akıllı sistemler geliştirmektedir.

8. Kaynakça

  1. Atzori, M., Calò, E., Caruccio, L., Cirillo, S., Polese, G., & Solimando, G. (2025). Password Strength Analysis Through Social Network Data Exposure: A Combined Approach Relying on Data Reconstruction and Generative Models. SEBD 2025 Proceedings.
  2. Yazar. (Yıl). SODA: Bir Veri Yeniden Yapılandırma Aracı. İlgili Konferans veya Dergi. (PDF'deki Kaynak [2]).
  3. Yazar. (Yıl). Veri yeniden yapılandırma ve anlamsal bağlam üzerine. İlgili Yayın. (PDF'deki Kaynak [3]).
  4. Goodfellow, I., Pouget-Abadie, J., Mirza, M., Xu, B., Warde-Farley, D., Ozair, S., Courville, A., & Bengio, Y. (2014). Generative Adversarial Nets. Advances in Neural Information Processing Systems (NeurIPS). (GAN'lar hakkında harici kaynak).
  5. Yazar. (Yıl). FORCE şifre metriği. İlgili Yayın. (PDF'deki referans [5]).
  6. Yazar. (Yıl). LEET speak dönüşüm analizi. İlgili Yayın. (PDF'deki referans [6]).
  7. Yazar. (Yıl). Şifreler için COVERAGE metriği. İlgili Yayın. (PDF'deki referans [7]).
  8. National Institute of Standards and Technology (NIST). (2017). Digital Identity Guidelines (SP 800-63B). https://pages.nist.gov/800-63-3/sp800-63b.html (Kimlik doğrulama hakkında harici otorite kaynağı).
  9. Yazar. (Yıl). CUPP - Common User Password Profiler. İlgili Yayın. (PDF'deki referans [9]).
  10. Google AI. (2023). Federated Learning and Analytics. https://ai.google/research/teams/federated-learning (Gizlilik korumalı yapay zeka hakkında harici kaynak).