444
機器人
實驗證明,人工智能可以輕易破譯你的密碼
上周,征信公司 Equifax宣布其係統中 1.43 億人的個人信息已經被黑客惡意泄露。這當然是令人擔憂的,但是事實上,如果一個黑客想要通過直接破解你密碼的方式訪問你的在線數據,恐怕不到一小時你的賬號就被盜。
而現在,更壞的消息來了:科學家們已經利用AI的力量創建了一個程序,結合現有的工具,從一組超過 4300 萬個領英的個人資料中推算出四分之一以上賬戶的密碼。研究人員說,這項技術也可能被用來擊敗密碼保衛戰中的“大反派”——黑客。
“這項新技術也可能用於生成誘餌密碼以幫助檢測違規。”Thomas Ristenpart說。也就是說人們可以利用這項技術幫助用戶和公司衡量密碼的強度。他是康涅狄格州紐約市研究計算機安全的計算機科學家,但並沒有參與這項研究。
最強大的密碼猜測程序John Ripper和hashCat使用了許多種技術。其中一種就是直接暴力破解,即隨機嚐試許多字符的組合,直到得到正確的答案。其他方法則包括基於先前泄露的密碼和利用概率方法推斷密碼中的每個字符。在一些網站上,這些程序已經破解了 90% 以上的密碼。 但是他們需要花耗費多年的時間來手工編寫代碼,構建攻擊計劃。
新的研究旨通過應用深度學習來加快這一進程。研究人員們試圖從生成式對抗網絡,即生成式對抗網絡著手。這其中包含兩個人工神經網絡:一個為“發生器”,負責產生類似於實際例子(實際照片)的人工輸出(如圖像),另一個為“鑒別器”,試圖從假冒的例子中檢測出真實的例子。 它們彼此互助完善,直到發生器變成嫻熟的造假機器。研究人員之一 Giuseppe Ateniese 將發生器和鑒別器相應地比作警方的犯罪側寫師和目擊者。
該團隊創建了一個名為PassGAN的生成對抗網絡,並將其與兩個版本的hashCat 和一個版本的 John the Ripper 進行了比較。科學家向每個工具提供數千萬個從一個稱為RockYou的遊戲網站泄露的密碼,並要求他們自己生成數億個新密碼。然後,他們計算了這些新密碼中有多少與領英中的一組泄露密碼相匹配,以衡量他們如何成功地破解他們。
最後,PassGAN 自行生成了領英集合中 12% 的密碼,而其三個競爭對手則分別是 6% 至 23%。但是性能最好的是PassGAN 和 hashCat 的組合。正如研究人員在本月份在 arXiv 上發布的一份論文草稿中報告的,二者結合後能夠在領英集中破解 27% 的密碼。有意思的是,PassGAN 破解失敗的密碼似乎都很有現實意義:saddracula,santazone,coolarse18。
紐約大學計算機科學家Martin Arjovsky說,使用GANs來幫助猜測密碼是“新奇的”。他說:“這證明了一個明顯而重要的問題,那就是應用簡單的機器學習解決方案可以帶來關鍵性的的優勢。”
同時,Ristenpart說:“我不清楚是否真的需要GANs的繁重機製才能得到這樣的效果。”也許更簡單的機器學習技術和hashCat結合就可以達到同樣的效果(Arjovsky也讚同這一點)。
事實上,最近賓夕法尼亞州匹茲堡卡內基梅隆大學製作的一個高效神經網絡在這方麵的表現頗具前景,並且Ateniese計劃在提交他的同行評審論文之前直接將其與PassGAN的效果進行比較。
Ateniese說,雖然在這次試點示範中PassGAN協助了hashCat,但他確信在未來的迭代中會超過 hashCat。其中一部分原因是因為hashCat使用固定規則,並且無法自行生成超過 6.5 億個密碼。而發明自己的規則的PassGAN則可以無限製地創造密碼。“當我們說話的時候就會產生數以百萬計的密碼,”他說。
Ateniese還表示,PassGAN將改進神經網絡中的更多層級,並根據更多泄露的密碼進行訓練。他將PassGAN比做AlphaGo,就是最近在圍棋比賽中使用深度學習算法擊敗人類冠軍的穀歌DeepMind的項目。“AlphaGo設計出專家們從未見過的新策略,”Ateniese說。 “所以我個人相信,如果你給PassGAN提供足夠的數據,它就能設計出人類無法想到的規則。”
最後,如果您擔心自己賬號的安全問題,專家建議使用高強度的密碼,例如使其長度更長(但仍易於記住),並使用兩步驗證。
最後更新:2017-10-08 04:03:48