研究表明,ChatGPT等功能強大AI工具已經被用於網路攻擊者實施犯罪活動,例如開發惡意軟體和生成釣魚郵件等。如果人們的密碼從資料庫外洩或被破壞,那麼網路攻擊者採用AI密碼破解器猜出密碼是機率幾乎是100%,其中50%以上會在60秒內被破解。
AI進步大幅提升PassGAN破解密碼的效率
密碼仍然是當今最受歡迎的身份驗證方法,但這也引出了一個問題:「AI驅動的工具能否破解使用者密碼?」
這個問題的答案已經存在了六年,有關密碼生成式對抗網路(PassGAN)的研究論文為此給出了肯定的回答。近日風靡全球的ChatGPT 讓其他AI技術黯然失色,但某種程度上也讓人們在資訊安全方面感到擔憂。
PassGAN是一款基於機器學習的AI密碼破解器,它依靠神經網路來取代手動分析密碼以破解或猜測密碼的工作。有關PassGAN的論文提到了現有的密碼猜測工具HashCat和John The Ripper技術在實踐中效果很好。
《PassGAN:密碼猜測的深度學習方法》報告的作者Briland Hitaj、Giuseppe Ateniese(史蒂文斯理工學院)、PaoloGasti(紐約理工大學)和Fernando Perez-Cruz(瑞士資料科學中心)對於採用機器學習取代基於規則和簡單的資料驅動技術(例如馬可夫模型)的密碼猜測進行了分析。他們認為,人們現在提出的問題不應該是“AI驅動的工具能破解用戶密碼嗎?”,而是“基於AI的工具需要多長時間才能破解密碼?””
總部位於德克薩斯州的網路安全新創公司Home Security Heroes(HAH)研究了這個問題。該公司利用2009年洩漏的RockYou資料集中的1568萬個密碼對PassGAN進行了訓練。研究發現:
·81%的普通密碼可以在一個月內被破解。·51%的普通密碼可以在一分鐘內被PassGAN破解。
#·65%的普通密碼可以在一小時內被破解。
##·65%的普通密碼可以在一小時內被破解。
·71%的普通密碼可以在一天內被破解。
HSH表示,「PassGAN代表了密碼破解技術的一個重大進步。這種最新的方法使用生成式對抗網路(GAN)從實際的洩漏密碼中自主學習真實密碼的分佈,消除了人工密碼分析的需要。雖然這使得密碼破解更快、更有高效,但這對人們的資訊安全是一個嚴重威脅。 」
HSH的PassGAN測試表明,任何由數字、小寫字母和大寫字母以及符號組成的7個字元的密碼都可以在不到6分鐘的時間內被破解。對於包含數字、小寫字母和大寫字母以及符號的8個字元和9個字元的密碼,PassGAN的密碼猜測時間分別增加到7小時和2週。
#設定更強大的密碼可以緩解AI工具的破壞
•如果由數字、小寫字母和大寫字母以及符號組成,則為6億億年。這意味著人們很容易打敗這種破解工具,所需要做的就是設定一個更強大的密碼。可以參考下面的圖表來衡量自己的密碼需要多安全。作為參考,以使用PassGAN破解一個18個字元的密碼為例:
·如果密碼只是由數字組成,則為10個月。
·如果它是由小寫字母組成的,則為2200萬年。
#·如果由小寫字母和大寫字母組成,則為72.3億年。
·如果由數字、小寫字母和大寫字母組成,則為96萬億年。
然而,應該指出的是,如果有問題的密碼是從資料庫洩露或破壞的,像PassGAN這樣的AI密碼破解器(甚至是傳統的數據驅動的密碼破解器)是100%有效的。
如何確保AI工具猜不出密碼?可以參考下面的圖表,能夠更好地理解強密碼的構成。
為此網路安全專家建議,AI時代使用密碼時必須遵循以下一些基本原則:
###·使用者名稱必須包含至少15個字元、至少兩個字母(大寫和小寫)、數字和符號。 ######·注意不要使用任何明顯的密碼模式。
·使用者不應在多個帳號/平台上重複使用相同的密碼。
·更重要的是,使用者經常檢查自己的密碼是否被竊取或洩漏。另一種做法是每三到六個月更改一次密碼。
·建議使用密碼管理器和多因素身份驗證。
以上是ChatGPT滲入網路攻擊背後:AI密碼破解器可在60秒內攻破50%以上普通密碼的詳細內容。更多資訊請關注PHP中文網其他相關文章!
