Використання дерев рішень для підбору паролів з додатковим використанням методів соціальної інженерії

Abstract

Бакалаврська кваліфікаційна робота виконана студентом групи КН-408 Пуликом Максимом Андрійовичем. Тема роботи “Використання дерев рішень для підбору паролів з додатковим використанням методів соціальної інженерії”. Робота направлена на здобуття ступеня бакалавра за спеціальністю 122 “Комп’ютерні науки”. Метою роботи є аналіз та порівняння можливості й ефективності підбору паролів облікових записів користувачів на основі отриманої інформації про них із застосуванням машинного навчання. Об’єктом дослідження є процес підбору паролю на основі попередньо навченої моделі, що використовує логіни та паролі користувачів певного ресурсу [13], а також вплив додаткової кількості інформації про них ( без включання чутливих даних, таких як імена та прізвища, місця проживання або ідентифікаційні номери документів ) на вразливість захисту і швидкість підбору. Практична демонстрація результату даної роботи має на меті закликати до більшої обережності у поводженні з власними та чужими даними в мережі та обрання більш надійних захисних механізмів для їх захисту – від довшого паролю який включає великі літери, цифри й символи до використання мультифакторної автентифікації, різних паролів та їх оновлення з певною періодичністю. Модель роботи не передбачає ідеального результату у більшості ситуацій, проте демонструє наскільки часто користувачі нехтують захистом власних даних, а компанії нехтують захистом даних власних клієнтів. Процес виконання включає в себе аналіз можливих шляхів отримання інформації про людей незалежно від їх місцезнаходження, соціального становища, раси, національності чи посади, їх збір або ж генерація та побудова навченої моделі підбору паролів з використанням вищезазначених даних. Результатом є графічне відображення ефективності захисту окремого користувача або групи користувачів у випадку використання та відсутності використання певної кількості використаної інформації для підбору їх паролю й опис випадків коли такий підбір є недоцільним або ж неефективним. Bachelor's qualification work was performed by a student of the group CS-408 Pulyk Maksym Andrijovych. Theme of the work is “Password selection using decision trees with additional help of social engineering methods”. The work is aimed at obtaining a bachelor's degree in 122 "Computer Science". The purpose of the work is to analyze and compare the possibility and effectiveness of selecting passwords for user accounts ( based on the information obtained about them ) with the use of machine learning. The object of the study is the process of password selection based on a pre-trained model that uses logins and passwords of users of a particular resource [13], as well as the impact of additional information about them (excluding sensitive data such as names, places of residence or identification document numbers) on security vulnerabilities and speed of selection. The practical demonstration of this work aims to call for greater care in the handling of personal and third-party data on the net and the choice of more reliable security mechanisms to protect them - using a longer password that includes uppercase letters, numbers and symbols or multifactor authentication, different passwords and frequently updating. The work model does not provide an ideal result in most situations, but it shows how often users neglect the protection of their personal data and companies neglect the protection of their customers' data. The implementation process includes the analysis of possible ways to obtain information about people regardless of their location, social status, race, nationality or position, its collection or generation and constructing a trained model of password selection using the above-mentioned data. The result will be a graphical effectiveness representation of the password protection of an individual user or group of users in relation to the amount of information used to select their password and a description of cases where such selection is impractical or ineffective.