极客网·人工智能4月17日 研究表明,ChatGPT等功能强大AI工具已经被用于网络攻击者实施犯罪活动,例如开发恶意软件和生成钓鱼邮件等。如果人们的密码从数据库泄露或被破坏,那么网络攻击者采用AI密码破解器猜出密码是概率几乎是100%,其中50%以上会在60秒内被破解。
AI进步大幅提升PassGAN破解密码的效率
密码仍然是当今最流行的身份验证方法,但这也引出了一个问题:“AI驱动的工具能否破解用户密码?”
这个问题的答案已经存在了六年,有关密码生成式对抗网络(PassGAN)的研究论文为此给出了肯定的回答。近日风靡全球的ChatGPT 让其他AI技术黯然失色,但在某种程度上也让人们在信息安全方面感到担忧。
PassGAN是一款基于机器学习的AI密码破解器,它依靠神经网络来取代人工分析密码以破解或猜测密码的工作。有关PassGAN的论文提到了现有的密码猜测工具HashCat和John The Ripper技术在实践中效果很好。
《PassGAN:密码猜测的深度学习方法》报告的作者Briland Hitaj、Giuseppe Ateniese(史蒂文斯理工学院)、PaoloGasti(纽约理工大学)和Fernando Perez-Cruz(瑞士数据科学中心)对于采用机器学习取代基于规则和简单的数据驱动技术(例如马尔可夫模型)的密码猜测进行了分析。他们认为,人们现在提出的问题不应该是“AI驱动的工具能破解用户密码吗?”,而是“基于AI的工具需要多长时间才能破解密码?””
总部位于德克萨斯州的网络安全初创公司Home Security Heroes(HAH)研究了这个问题。该公司利用2009年泄露的RockYou数据集中的1568万个密码对PassGAN进行了训练。研究发现:
·51%的普通密码可以在一分钟内被PassGAN破解。
·65%的普通密码可以在一小时内被破解。
·71%的普通密码可以在一天内被破解。
·81%的普通密码可以在一个月内被破解。
HSH表示,“PassGAN代表了密码破解技术的一个重大进步。这种最新的方法使用生成式对抗网络(GAN)从实际的泄漏密码中自主学习真实密码的分布,消除了人工密码分析的需要。虽然这使得密码破解更快、更高效,但这对人们的信息安全是一个严重威胁。”
HSH的PassGAN测试表明,任何由数字、小写字母和大写字母以及符号组成的7个字符的密码都可以在不到6分钟的时间内被破解。对于包含数字、小写字母和大写字母以及符号的8个字符和9个字符的密码,PassGAN的密码猜测时间分别增加到7小时和2周。
设置更强大的密码可以缓解AI工具的破坏
这意味着人们很容易打败这种破解工具,所需要做的就是设置一个更强大的密码。可以参考下面的图表来衡量自己的密码需要多安全。作为参考,以使用PassGAN破解一个18个字符的密码为例:
·如果密码只是由数字组成,则为10个月。
·如果它是由小写字母组成的,则为2200万年。
·如果由小写字母和大写字母组成,则为72.3亿年。
·如果由数字、小写字母和大写字母组成,则为96万亿年。
•如果由数字、小写字母和大写字母以及符号组成,则为6亿亿年。
然而,应该指出的是,如果有问题的密码是从数据库泄露或破坏的,像PassGAN这样的AI密码破解器(甚至是传统的数据驱动的密码破解器)是100%有效的。
如何确保AI工具猜不出密码?可以参考下面的图表,能够更好地理解强密码的构成。
为此网络安全专家建议,AI时代使用密码时必须遵循以下一些基本原则:
·用户名必须包含至少15个字符、至少两个字母(大写和小写)、数字和符号。
·注意不要使用任何明显的密码模式。
·用户不应在多个帐号/平台上重复使用相同的密码。
·更重要的是,用户经常检查自己的密码是否被窃取或泄露。另一种做法是每三到六个月更改一次密码。
·推荐使用密码管理器和多因素身份验证。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )