上周,征信公司 Equifax宣布其系統(tǒng)中 1.43 億人的個(gè)人信息已經(jīng)被黑客惡意泄露。這當(dāng)然是令人擔(dān)憂的,但是事實(shí)上,如果一個(gè)黑客想要通過直接破解你密碼的方式訪問你的在線數(shù)據(jù),恐怕不到一小時(shí)你的賬號(hào)就被盜。
而現(xiàn)在,更壞的消息來了:科學(xué)家們已經(jīng)利用AI的力量創(chuàng)建了一個(gè)程序,結(jié)合現(xiàn)有的工具,從一組超過 4300 萬個(gè)領(lǐng)英的個(gè)人資料中推算出四分之一以上賬戶的密碼。研究人員說,這項(xiàng)技術(shù)也可能被用來擊敗密碼保衛(wèi)戰(zhàn)中的“大反派”——黑客。
“這項(xiàng)新技術(shù)也可能用于生成誘餌密碼以幫助檢測(cè)違規(guī)。”Thomas Ristenpart說。也就是說人們可以利用這項(xiàng)技術(shù)幫助用戶和公司衡量密碼的強(qiáng)度。他是康涅狄格州紐約市研究計(jì)算機(jī)安全的計(jì)算機(jī)科學(xué)家,但并沒有參與這項(xiàng)研究。
最強(qiáng)大的密碼猜測(cè)程序John Ripper和hashCat使用了許多種技術(shù)。其中一種就是直接暴力破解,即隨機(jī)嘗試許多字符的組合,直到得到正確的答案。其他方法則包括基于先前泄露的密碼和利用概率方法推斷密碼中的每個(gè)字符。在一些網(wǎng)站上,這些程序已經(jīng)破解了 90% 以上的密碼。 但是他們需要花耗費(fèi)多年的時(shí)間來手工編寫代碼,構(gòu)建攻擊計(jì)劃。
新的研究旨通過應(yīng)用深度學(xué)習(xí)來加快這一進(jìn)程。研究人員們?cè)噲D從生成式對(duì)抗網(wǎng)絡(luò),即生成式對(duì)抗網(wǎng)絡(luò)著手。這其中包含兩個(gè)人工神經(jīng)網(wǎng)絡(luò):一個(gè)為“發(fā)生器”,負(fù)責(zé)產(chǎn)生類似于實(shí)際例子(實(shí)際照片)的人工輸出(如圖像),另一個(gè)為“鑒別器”,試圖從假冒的例子中檢測(cè)出真實(shí)的例子。 它們彼此互助完善,直到發(fā)生器變成嫻熟的造假機(jī)器。研究人員之一 Giuseppe Ateniese 將發(fā)生器和鑒別器相應(yīng)地比作警方的犯罪側(cè)寫師和目擊者。
該團(tuán)隊(duì)創(chuàng)建了一個(gè)名為PassGAN的生成對(duì)抗網(wǎng)絡(luò),并將其與兩個(gè)版本的hashCat 和一個(gè)版本的 John the Ripper 進(jìn)行了比較。科學(xué)家向每個(gè)工具提供數(shù)千萬個(gè)從一個(gè)稱為RockYou的游戲網(wǎng)站泄露的密碼,并要求他們自己生成數(shù)億個(gè)新密碼。然后,他們計(jì)算了這些新密碼中有多少與領(lǐng)英中的一組泄露密碼相匹配,以衡量他們?nèi)绾纬晒Φ仄平馑麄儭?/p>
最后,PassGAN 自行生成了領(lǐng)英集合中 12% 的密碼,而其三個(gè)競(jìng)爭(zhēng)對(duì)手則分別是 6% 至 23%。但是性能最好的是PassGAN 和 hashCat 的組合。正如研究人員在本月份在 arXiv 上發(fā)布的一份論文草稿中報(bào)告的,二者結(jié)合后能夠在領(lǐng)英集中破解 27% 的密碼。有意思的是,PassGAN 破解失敗的密碼似乎都很有現(xiàn)實(shí)意義:saddracula,santazone,coolarse18。
紐約大學(xué)計(jì)算機(jī)科學(xué)家Martin Arjovsky說,使用GANs來幫助猜測(cè)密碼是“新奇的”。他說:“這證明了一個(gè)明顯而重要的問題,那就是應(yīng)用簡單的機(jī)器學(xué)習(xí)解決方案可以帶來關(guān)鍵性的的優(yōu)勢(shì)。”
同時(shí),Ristenpart說:“我不清楚是否真的需要GANs的繁重機(jī)制才能得到這樣的效果。”也許更簡單的機(jī)器學(xué)習(xí)技術(shù)和hashCat結(jié)合就可以達(dá)到同樣的效果(Arjovsky也贊同這一點(diǎn))。
事實(shí)上,最近賓夕法尼亞州匹茲堡卡內(nèi)基梅隆大學(xué)制作的一個(gè)高效神經(jīng)網(wǎng)絡(luò)在這方面的表現(xiàn)頗具前景,并且Ateniese計(jì)劃在提交他的同行評(píng)審論文之前直接將其與PassGAN的效果進(jìn)行比較。
Ateniese說,雖然在這次試點(diǎn)示范中PassGAN協(xié)助了hashCat,但他確信在未來的迭代中會(huì)超過 hashCat。其中一部分原因是因?yàn)閔ashCat使用固定規(guī)則,并且無法自行生成超過 6.5 億個(gè)密碼。 而發(fā)明自己的規(guī)則的PassGAN則可以無限制地創(chuàng)造密碼。“當(dāng)我們說話的時(shí)候就會(huì)產(chǎn)生數(shù)以百萬計(jì)的密碼,”他說。
Ateniese還表示,PassGAN將改進(jìn)神經(jīng)網(wǎng)絡(luò)中的更多層級(jí),并根據(jù)更多泄露的密碼進(jìn)行訓(xùn)練。他將PassGAN比做AlphaGo,就是最近在圍棋比賽中使用深度學(xué)習(xí)算法擊敗人類冠軍的谷歌DeepMind的項(xiàng)目。“AlphaGo設(shè)計(jì)出專家們從未見過的新策略,”Ateniese說。 “所以我個(gè)人相信,如果你給PassGAN提供足夠的數(shù)據(jù),它就能設(shè)計(jì)出人類無法想到的規(guī)則。”
最后,如果您擔(dān)心自己賬號(hào)的安全問題,專家建議使用高強(qiáng)度的密碼,例如使其長度更長(但仍易于記。⑹褂脙刹津(yàn)證。