极客网·人工智能4月17日 研究表明,ChatGPT等功能强大AI工具已经被用于网络攻击者实施犯罪活动,例如开发恶意软件和生成钓鱼邮件等。如果人们的密码从数据库泄露或被破坏,那么网络攻击者采用AI密码破解器猜出密码是概率几乎是100%,其中50%以上会在60秒内被破解。
AI进步大幅提升PassGAN破解密码的效率
【资料图】
密码仍然是当今最流行的身份验证方法,但这也引出了一个问题:“AI驱动的工具能否破解用户密码?”
这个问题的答案已经存在了六年,有关密码生成式对抗网络(PassGAN)的研究论文为此给出了肯定的回答。近日风靡全球的ChatGPT 让其他AI技术黯然失色,但在某种程度上也让人们在信息安全方面感到担忧。
PassGAN是一款基于机器学习的AI密码破解器,它依靠神经网络来取代人工分析密码以破解或猜测密码的工作。有关PassGAN的论文提到了现有的密码猜测工具HashCat和John The Ripper技术在实践中效果很好。
《PassGAN:密码猜测的深度学习方法》报告的作者Briland Hitaj、Giuseppe Ateniese(史蒂文斯理工学院)、PaoloGasti(纽约理工大学)和Fernando Perez-Cruz(瑞士数据科学中心)对于采用机器学习取代基于规则和简单的数据驱动技术(例如马尔可夫模型)的密码猜测进行了分析。他们认为,人们现在提出的问题不应该是“AI驱动的工具能破解用户密码吗?”,而是“基于AI的工具需要多长时间才能破解密码?””
总部位于德克萨斯州的网络安全初创公司Home Security Heroes(HAH)研究了这个问题。该公司利用2009年泄露的RockYou数据集中的1568万个密码对PassGAN进行了训练。研究发现:
·51%的普通密码可以在一分钟内被PassGAN破解。
·65%的普通密码可以在一小时内被破解。
·71%的普通密码可以在一天内被破解。
·81%的普通密码可以在一个月内被破解。
HSH表示,“PassGAN代表了密码破解技术的一个重大进步。这种最新的方法使用生成式对抗网络(GAN)从实际的泄漏密码中自主学习真实密码的分布,消除了人工密码分析的需要。虽然这使得密码破解更快、更高效,但这对人们的信息安全是一个严重威胁。”
HSH的PassGAN测试表明,任何由数字、小写字母和大写字母以及符号组成的7个字符的密码都可以在不到6分钟的时间内被破解。对于包含数字、小写字母和大写字母以及符号的8个字符和9个字符的密码,PassGAN的密码猜测时间分别增加到7小时和2周。
设置更强大的密码可以缓解AI工具的破坏
这意味着人们很容易打败这种破解工具,所需要做的就是设置一个更强大的密码。可以参考下面的图表来衡量自己的密码需要多安全。作为参考,以使用PassGAN破解一个18个字符的密码为例:
·如果密码只是由数字组成,则为10个月。
·如果它是由小写字母组成的,则为2200万年。
·如果由小写字母和大写字母组成,则为72.3亿年。
·如果由数字、小写字母和大写字母组成,则为96万亿年。
•如果由数字、小写字母和大写字母以及符号组成,则为6亿亿年。
然而,应该指出的是,如果有问题的密码是从数据库泄露或破坏的,像PassGAN这样的AI密码破解器(甚至是传统的数据驱动的密码破解器)是100%有效的。
如何确保AI工具猜不出密码?可以参考下面的图表,能够更好地理解强密码的构成。
为此网络安全专家建议,AI时代使用密码时必须遵循以下一些基本原则:
·用户名必须包含至少15个字符、至少两个字母(大写和小写)、数字和符号。
·注意不要使用任何明显的密码模式。
·用户不应在多个帐号/平台上重复使用相同的密码。
·更重要的是,用户经常检查自己的密码是否被窃取或泄露。另一种做法是每三到六个月更改一次密码。
·推荐使用密码管理器和多因素身份验证。