PassTSL: Modeling Human-Created Passwords through Two-Stage Learning

要約

テキスト形式のパスワードは、依然として最も広く使用されているユーザー認証メカニズムです。
テキストのパスワードと自然言語の間には密接な関係があるため、自然言語処理 (NLP) と機械学習 (ML) の高度なテクノロジーを使用して、人間のパスワード作成行動の研究やより高度なパスワード クラッキングの開発など、さまざまな目的でパスワードをモデル化することができます。
より良い防御メカニズムに情報を提供する方法。
このペーパーでは、NLP とディープ ラーニング (DL) で人気のある事前トレーニング微調整フレームワークに触発された PassTSL (2 段階学習による人間が作成したパスワードのモデリング) を提案します。
さまざまな事前トレーニング設定がどのように PassTSL に影響を及ぼし、漏洩した 6 つの大規模なパスワード データベースに適用することでその有効性を証明したかを報告します。
実験結果では、パスワード推測に関して、5 つの最先端 (SOTA) パスワード クラッキング手法を、最大点で 4.11% から 64.69% までの大幅なマージンで上回ることが示されました。
PassTSL に基づいて、パスワード強度メーター (PSM) も実装しました。実験では、パスワード強度をより正確に推定でき、同じパスワードを生成する他の 2 つの SOTA PSM よりも安全でないエラー (パスワード強度の過大評価) が少ないことがわかりました。
安全なエラーの割合 (パスワードの強度を過小評価する): ニューラル ネットワーク ベースの方法と zxcvbn。
さらに、複数の微調整設定を検討し、評価の結果、少量の追加トレーニング データ (たとえば、事前トレーニング データのわずか 0.1%) であっても、パスワード推測の平均 3% 以上の改善につながる可能性があることが示されました。
また、JS (Jensen-Shannon) 発散に基づいて微調整パスワードを選択するヒューリスティックなアプローチも提案し、実験結果によりその有用性が検証されました。
要約すると、私たちの貢献は、高度な NLP および ML 手法をパスワード モデリングとクラッキングに適用する可能性と実現可能性を示しています。

要約(オリジナル)

Textual passwords are still the most widely used user authentication mechanism. Due to the close connections between textual passwords and natural languages, advanced technologies in natural language processing (NLP) and machine learning (ML) could be used to model passwords for different purposes such as studying human password-creation behaviors and developing more advanced password cracking methods for informing better defence mechanisms. In this paper, we propose PassTSL (modeling human-created Passwords through Two-Stage Learning), inspired by the popular pretraining-finetuning framework in NLP and deep learning (DL). We report how different pretraining settings affected PassTSL and proved its effectiveness by applying it to six large leaked password databases. Experimental results showed that it outperforms five state-of-the-art (SOTA) password cracking methods on password guessing by a significant margin ranging from 4.11% to 64.69% at the maximum point. Based on PassTSL, we also implemented a password strength meter (PSM), and our experiments showed that it was able to estimate password strength more accurately, causing fewer unsafe errors (overestimating the password strength) than two other SOTA PSMs when they produce the same rate of safe errors (underestimating the password strength): a neural-network based method and zxcvbn. Furthermore, we explored multiple finetuning settings, and our evaluations showed that, even a small amount of additional training data, e.g., only 0.1% of the pretrained data, can lead to over 3% improvement in password guessing on average. We also proposed a heuristic approach to selecting finetuning passwords based on JS (Jensen-Shannon) divergence and experimental results validated its usefulness. In summary, our contributions demonstrate the potential and feasibility of applying advanced NLP and ML methods to password modeling and cracking.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google