Mejorando la seguridad de contraseñas con PassTSL
Un nuevo modelo mejora la adivinanza de contraseñas y la evaluación de su fuerza.
― 6 minilectura
Tabla de contenidos
- La Necesidad de Mejores Modelos de Contraseñas
- Presentando PassTSL
- Cómo Funciona PassTSL
- Probando la Efectividad de PassTSL
- Medidores de Fuerza de Contraseñas
- La Importancia de los Datos de Entrenamiento
- Ajuste Fino para Necesidades Específicas
- Aplicaciones en el Mundo Real
- Conclusión
- Fuente original
- Enlaces de referencia
Las contraseñas de texto son la principal forma en que la gente se autentica en línea. Son comunes porque son fáciles de usar y recordar. Sin embargo, la forma en que la gente crea contraseñas puede hacer que sean débiles y vulnerables a ataques. Los atacantes pueden usar varios métodos para adivinar contraseñas basándose en patrones de cómo la gente las crea.
La Necesidad de Mejores Modelos de Contraseñas
Con más gente en línea, el reto de mantener las cuentas seguras se vuelve más grande. Los investigadores y desarrolladores siempre están buscando formas de mejorar la seguridad de las contraseñas. Los métodos actuales para adivinar contraseñas a menudo se basan en analizar grandes conjuntos de datos de contraseñas filtradas. Se utilizan diferentes modelos para hacer estas adivinanzas, como los modelos de Markov, que estudian la probabilidad de que ciertas letras o secuencias aparezcan a continuación, o redes neuronales que aprenden de contraseñas anteriores.
Presentando PassTSL
Se ha desarrollado un nuevo enfoque para el modelado de contraseñas llamado PassTSL. Este método está inspirado en técnicas usadas en procesamiento de lenguaje y aprendizaje automático. PassTSL utiliza un proceso de aprendizaje en dos pasos llamado Preentrenamiento y Ajuste fino para modelar cómo la gente crea contraseñas.
Durante la fase de preentrenamiento, PassTSL aprende de un gran conjunto de datos de contraseñas. En la fase de ajuste fino, refina su comprensión usando un conjunto de datos más pequeño y específico que es más relevante para un grupo específico de usuarios. Esto ayuda a mejorar su precisión al adivinar contraseñas.
Cómo Funciona PassTSL
PassTSL opera a nivel de caracteres en lugar de a nivel de palabras, que es lo que se usa a menudo en otras tareas de procesamiento de lenguaje. Esto es porque las contraseñas no tienen espacios ni separadores claros como las palabras normales. Cada contraseña se convierte en una secuencia de caracteres, lo que permite a PassTSL analizar patrones en cómo se forman las contraseñas.
El modelo se construye usando un tipo de red neuronal llamada Transformador. Los transformadores tienen un mecanismo de atención propia único que permite al modelo valorar la importancia de diferentes partes de la entrada al hacer predicciones. Esto lo hace más efectivo para entender la estructura de las contraseñas.
Probando la Efectividad de PassTSL
Para ver qué tan bien funciona PassTSL, se probó contra varios otros modelos de adivinanza de contraseñas. Estas pruebas utilizaron grandes bases de datos de contraseñas filtradas para evaluar cuántas contraseñas podía adivinar correctamente el modelo. PassTSL mostró mejoras significativas sobre otros modelos, logrando tasas de precisión más altas al adivinar contraseñas.
En un experimento, PassTSL pudo adivinar contraseñas de diferentes bases de datos con tasas de éxito que fueron del 4% al 65% mejores que otros métodos. Esto muestra cuán efectivo es el proceso de preentrenamiento y ajuste fino para entender los patrones de las contraseñas.
Medidores de Fuerza de Contraseñas
Junto con la adivinanza de contraseñas, PassTSL también se puede usar para crear un medidor de fuerza de contraseñas. Esta herramienta ayuda a los usuarios a evaluar qué tan fuertes son sus contraseñas. Una contraseña fuerte tiene menos probabilidad de ser adivinada por atacantes y normalmente incluye una mezcla de letras, números y símbolos.
En las pruebas, el medidor de fuerza de contraseñas hecho por PassTSL dio evaluaciones más precisas que otras herramientas disponibles. Cometió menos errores al declarar que una contraseña era fuerte cuando no lo era, ayudando así a los usuarios a elegir mejores contraseñas.
La Importancia de los Datos de Entrenamiento
En el desarrollo de PassTSL, la cantidad y calidad de los datos de entrenamiento jugaron un papel crucial. Usar un conjunto de datos más grande y variado durante el preentrenamiento ayudó a PassTSL a aprender mejor. Pero incluso pequeñas cantidades de datos de entrenamiento adicionales pueden llevar a mejoras notables. Esto significa que el modelo puede adaptarse a grupos de usuarios específicos de manera eficiente.
Los investigadores también encontraron que el idioma de las contraseñas impactó en qué tan bien se desempeñó el modelo. Cuando PassTSL fue entrenado con contraseñas del mismo idioma que las contraseñas objetivo, pudo hacer mejores adivinanzas.
Ajuste Fino para Necesidades Específicas
El proceso de ajuste fino fue un elemento clave para mejorar el rendimiento de PassTSL. Esta etapa permite que el modelo ajuste sus predicciones basándose en nuevos datos relevantes. Se demostró que incluso usar solo una porción pequeña (como el 0.1%) de los datos de preentrenamiento era suficiente para mejorar notablemente el rendimiento.
Para optimizar este proceso, los investigadores sugirieron seleccionar datos de ajuste fino que se asemejen estrechamente a la base de datos de contraseñas objetivo. Usar un método para medir la similitud entre diferentes conjuntos de contraseñas puede ayudar a asegurar que los datos de ajuste fino seleccionados sean beneficiosos.
Aplicaciones en el Mundo Real
Las técnicas y hallazgos de PassTSL tienen varias aplicaciones prácticas. Por ejemplo, las empresas pueden usar este modelo para mejorar sus medidas de seguridad de contraseñas, haciendo más difícil que los atacantes adivinen contraseñas y accedan a información sensible.
Los usuarios también se benefician porque pueden recibir mejores consejos sobre cómo crear y gestionar sus contraseñas. Las sugerencias de contraseñas más fuertes conducen a una mejor seguridad para las cuentas personales.
Conclusión
PassTSL representa un avance significativo en la comprensión y modelado de contraseñas creadas por humanos. Al combinar técnicas de aprendizaje profundo con un enfoque estructurado hacia los datos de entrenamiento, ofrece una nueva forma de abordar los desafíos constantes de la seguridad de contraseñas. Este modelo no solo mejora las probabilidades de adivinar contraseñas con precisión, sino que también mejora las herramientas diseñadas para ayudar a los usuarios a crear contraseñas más fuertes.
A través de mejores métodos de aprendizaje sobre la creación de contraseñas, podemos construir un entorno en línea más seguro. A medida que la tecnología evoluciona, también deben hacerlo nuestros métodos para proteger información sensible. PassTSL ofrece un paso prometedor en esa dirección, mostrando el poder de las técnicas modernas de aprendizaje automático para abordar problemas del mundo real.
Título: PassTSL: Modeling Human-Created Passwords through Two-Stage Learning
Resumen: Textual passwords are still the most widely used user authentication mechanism. Due to the close connections between textual passwords and natural languages, advanced technologies in natural language processing (NLP) and machine learning (ML) could be used to model passwords for different purposes such as studying human password-creation behaviors and developing more advanced password cracking methods for informing better defence mechanisms. In this paper, we propose PassTSL (modeling human-created Passwords through Two-Stage Learning), inspired by the popular pretraining-finetuning framework in NLP and deep learning (DL). We report how different pretraining settings affected PassTSL and proved its effectiveness by applying it to six large leaked password databases. Experimental results showed that it outperforms five state-of-the-art (SOTA) password cracking methods on password guessing by a significant margin ranging from 4.11% to 64.69% at the maximum point. Based on PassTSL, we also implemented a password strength meter (PSM), and our experiments showed that it was able to estimate password strength more accurately, causing fewer unsafe errors (overestimating the password strength) than two other SOTA PSMs when they produce the same rate of safe errors (underestimating the password strength): a neural-network based method and zxcvbn. Furthermore, we explored multiple finetuning settings, and our evaluations showed that, even a small amount of additional training data, e.g., only 0.1% of the pretrained data, can lead to over 3% improvement in password guessing on average. We also proposed a heuristic approach to selecting finetuning passwords based on JS (Jensen-Shannon) divergence and experimental results validated its usefulness. In summary, our contributions demonstrate the potential and feasibility of applying advanced NLP and ML methods to password modeling and cracking.
Autores: Yangde Wang, Haozhang Li, Weidong Qiu, Shujun Li, Peng Tang
Última actualización: 2024-07-19 00:00:00
Idioma: English
Fuente URL: https://arxiv.org/abs/2407.14145
Fuente PDF: https://arxiv.org/pdf/2407.14145
Licencia: https://creativecommons.org/licenses/by-nc-sa/4.0/
Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.
Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.