ChatGPT滲入網(wǎng)絡攻擊背后：AI密碼破解器可在60秒內(nèi)攻破50%以上普通密碼

極客網(wǎng)·人工智能4月17日 研究表明，ChatGPT等功能強大AI工具已經(jīng)被用于網(wǎng)絡攻擊者實施犯罪活動，例如開發(fā)惡意軟件和生成釣魚郵件等。如果人們的密碼從數(shù)據(jù)庫泄露或被破壞，那么網(wǎng)絡攻擊者采用AI密碼破解器猜出密碼是概率幾乎是100%，其中50%以上會在60秒內(nèi)被破解。

AI進步大幅提升PassGAN破解密碼的效率

密碼仍然是當今最流行的身份驗證方法，但這也引出了一個問題:“AI驅(qū)動的工具能否破解用戶密碼?” 

這個問題的答案已經(jīng)存在了六年，有關密碼生成式對抗網(wǎng)絡（PassGAN）的研究論文為此給出了肯定的回答。近日風靡全球的ChatGPT 讓其他AI技術黯然失色，但在某種程度上也讓人們在信息安全方面感到擔憂。 

PassGAN是一款基于機器學習的AI密碼破解器，它依靠神經(jīng)網(wǎng)絡來取代人工分析密碼以破解或猜測密碼的工作。有關PassGAN的論文提到了現(xiàn)有的密碼猜測工具HashCat和John The Ripper技術在實踐中效果很好。

《PassGAN：密碼猜測的深度學習方法》報告的作者Briland Hitaj、Giuseppe Ateniese(史蒂文斯理工學院)、PaoloGasti(紐約理工大學)和Fernando Perez-Cruz(瑞士數(shù)據(jù)科學中心)對于采用機器學習取代基于規(guī)則和簡單的數(shù)據(jù)驅(qū)動技術(例如馬爾可夫模型)的密碼猜測進行了分析。他們認為，人們現(xiàn)在提出的問題不應該是“AI驅(qū)動的工具能破解用戶密碼嗎?”，而是“基于AI的工具需要多長時間才能破解密碼?”” 

總部位于德克薩斯州的網(wǎng)絡安全初創(chuàng)公司Home Security Heroes（HAH）研究了這個問題。該公司利用2009年泄露的RockYou數(shù)據(jù)集中的1568萬個密碼對PassGAN進行了訓練。研究發(fā)現(xiàn):

·51%的普通密碼可以在一分鐘內(nèi)被PassGAN破解。 

·65%的普通密碼可以在一小時內(nèi)被破解。 

·71%的普通密碼可以在一天內(nèi)被破解。 

·81%的普通密碼可以在一個月內(nèi)被破解。 

HSH表示，“PassGAN代表了密碼破解技術的一個重大進步。這種最新的方法使用生成式對抗網(wǎng)絡(GAN)從實際的泄漏密碼中自主學習真實密碼的分布，消除了人工密碼分析的需要。雖然這使得密碼破解更快、更高效，但這對人們的信息安全是一個嚴重威脅?！?/p>

HSH的PassGAN測試表明，任何由數(shù)字、小寫字母和大寫字母以及符號組成的7個字符的密碼都可以在不到6分鐘的時間內(nèi)被破解。對于包含數(shù)字、小寫字母和大寫字母以及符號的8個字符和9個字符的密碼，PassGAN的密碼猜測時間分別增加到7小時和2周。 

設置更強大的密碼可以緩解AI工具的破壞

這意味著人們很容易打敗這種破解工具，所需要做的就是設置一個更強大的密碼?？梢詤⒖枷旅娴膱D表來衡量自己的密碼需要多安全。作為參考，以使用PassGAN破解一個18個字符的密碼為例：

·如果密碼只是由數(shù)字組成，則為10個月。 

·如果它是由小寫字母組成的，則為2200萬年。 

·如果由小寫字母和大寫字母組成，則為72.3億年。 

·如果由數(shù)字、小寫字母和大寫字母組成，則為96萬億年。 

?如果由數(shù)字、小寫字母和大寫字母以及符號組成，則為6億億年。 

然而，應該指出的是，如果有問題的密碼是從數(shù)據(jù)庫泄露或破壞的，像PassGAN這樣的AI密碼破解器（甚至是傳統(tǒng)的數(shù)據(jù)驅(qū)動的密碼破解器）是100%有效的。

如何確保AI工具猜不出密碼？可以參考下面的圖表，能夠更好地理解強密碼的構成。

為此網(wǎng)絡安全專家建議，AI時代使用密碼時必須遵循以下一些基本原則：  

·用戶名必須包含至少15個字符、至少兩個字母(大寫和小寫)、數(shù)字和符號。 

·注意不要使用任何明顯的密碼模式。 

·用戶不應在多個帳號/平臺上重復使用相同的密碼。 

·更重要的是，用戶經(jīng)常檢查自己的密碼是否被竊取或泄露。另一種做法是每三到六個月更改一次密碼。 

·推薦使用密碼管理器和多因素身份驗證。 

生成海報

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。 ）