之前,征信公司 Equifax宣布其系统中 1.43 亿人的个人信息已经被黑客恶意泄露。这当然是令人担忧的,但是事实上,如果一个黑客想要通过直接破解你密码的方式访问你的在线数据,恐怕不到一小时你的账号就被盗。
而现在,更坏的消息来了:科学家们已经利用AI的力量创建了一个程序,结合现有的工具,从一组超过 4300 万个领英的个人资料中推算出四分之一以上账户的密码。研究人员说,这项技术也可能被用来击败密码保卫战中的“大反派”——黑客。
“这项新技术也可能用于生成诱饵密码以帮助检测违规。”Thomas Ristenpart说。也就是说人们可以利用这项技术帮助用户和公司衡量密码的强度。他是康涅狄格州纽约市研究计算机安全的计算机科学家,但并没有参与这项研究。
最强大的密码猜测程序John Ripper和hashCat使用了许多种技术。其中一种就是直接暴力破解,即随机尝试许多字符的组合,直到得到正确的答案。其他方法则包括基于先前泄露的密码和利用概率方法推断密码中的每个字符。在一些网站上,这些程序已经破解了 90% 以上的密码。 但是他们需要花耗费多年的时间来手工编写代码,构建攻击计划。
新的研究旨通过应用深度学习来加快这一进程。研究人员们试图从生成式对抗网络,即生成式对抗网络着手。这其中包含两个人工神经网络:一个为“发生器”,负责产生类似于实际例子(实际照片)的人工输出(如图像),另一个为“鉴别器”,试图从假冒的例子中检测出真实的例子。 它们彼此互助完善,直到发生器变成娴熟的造假机器。研究人员之一 Giuseppe Ateniese 将发生器和鉴别器相应地比作警方的犯罪侧写师和目击者。
该团队创建了一个名为PassGAN的生成对抗网络,并将其与两个版本的hashCat 和一个版本的 John the Ripper 进行了比较。科学家向每个工具提供数千万个从一个称为RockYou的游戏网站泄露的密码,并要求他们自己生成数亿个新密码。然后,他们计算了这些新密码中有多少与领英中的一组泄露密码相匹配,以衡量他们如何成功地破解他们。
最后,PassGAN 自行生成了领英集合中 12% 的密码,而其三个竞争对手则分别是 6% 至 23%。但是性能最好的是PassGAN 和 hashCat 的组合。正如研究人员在本月份在 arXiv 上发布的一份论文草稿中报告的,二者结合后能够在领英集中破解 27% 的密码。有意思的是,PassGAN 破解失败的密码似乎都很有现实意义:saddracula,santazone,coolarse18。
纽约大学计算机科学家Martin Arjovsky说,使用GANs来帮助猜测密码是“新奇的”。他说:“这证明了一个明显而重要的问题,那就是应用简单的机器学习解决方案可以带来关键性的的优势。”
同时,Ristenpart说:“我不清楚是否真的需要GANs的繁重机制才能得到这样的效果。”也许更简单的机器学习技术和hashCat结合就可以达到同样的效果(Arjovsky也赞同这一点)。
事实上,最近宾夕法尼亚州匹兹堡卡内基梅隆大学制作的一个高效神经网络在这方面的表现颇具前景,并且Ateniese计划在提交他的同行评审论文之前直接将其与PassGAN的效果进行比较。
Ateniese说,虽然在这次试点示范中PassGAN协助了hashCat,但他确信在未来的迭代中会超过 hashCat。其中一部分原因是因为hashCat使用固定规则,并且无法自行生成超过 6.5 亿个密码。 而发明自己的规则的PassGAN则可以无限制地创造密码。“当我们说话的时候就会产生数以百万计的密码,”他说。
Ateniese还表示,PassGAN将改进神经网络中的更多层级,并根据更多泄露的密码进行训练。他将PassGAN比做AlphaGo,就是最近在围棋比赛中使用深度学习算法击败人类冠军的谷歌DeepMind的项目。“AlphaGo设计出专家们从未见过的新策略,”Ateniese说。 “所以我个人相信,如果你给PassGAN提供足够的数据,它就能设计出人类无法想到的规则。”
最后,如果您担心自己账号的安全问题,专家建议使用高强度的密码,例如使其长度更长(但仍易于记住),并使用两步验证。
本文采用「CC BY-SA 4.0 CN」协议转载自互联网、仅供学习交流,内容版权归原作者所有,如涉作品、版权和其他问题请给「我们」留言处理。