ChatGPT滲入網(wǎng)絡(luò)攻擊背后：AI密碼破解器可在60秒內(nèi)攻破50%以上普通密碼

極客網(wǎng)·人工智能4月17日 研究表明，ChatGPT等功能強(qiáng)大AI工具已經(jīng)被用于網(wǎng)絡(luò)攻擊者實(shí)施犯罪活動(dòng)，例如開(kāi)發(fā)惡意軟件和生成釣魚(yú)郵件等。如果人們的密碼從數(shù)據(jù)庫(kù)泄露或被破壞，那么網(wǎng)絡(luò)攻擊者采用AI密碼破解器猜出密碼是概率幾乎是100%，其中50%以上會(huì)在60秒內(nèi)被破解。

AI進(jìn)步大幅提升PassGAN破解密碼的效率

密碼仍然是當(dāng)今最流行的身份驗(yàn)證方法，但這也引出了一個(gè)問(wèn)題:“AI驅(qū)動(dòng)的工具能否破解用戶密碼?” 

這個(gè)問(wèn)題的答案已經(jīng)存在了六年，有關(guān)密碼生成式對(duì)抗網(wǎng)絡(luò)（PassGAN）的研究論文為此給出了肯定的回答。近日風(fēng)靡全球的ChatGPT 讓其他AI技術(shù)黯然失色，但在某種程度上也讓人們?cè)谛畔踩矫娓械綋?dān)憂。 

PassGAN是一款基于機(jī)器學(xué)習(xí)的AI密碼破解器，它依靠神經(jīng)網(wǎng)絡(luò)來(lái)取代人工分析密碼以破解或猜測(cè)密碼的工作。有關(guān)PassGAN的論文提到了現(xiàn)有的密碼猜測(cè)工具HashCat和John The Ripper技術(shù)在實(shí)踐中效果很好。

《PassGAN：密碼猜測(cè)的深度學(xué)習(xí)方法》報(bào)告的作者Briland Hitaj、Giuseppe Ateniese(史蒂文斯理工學(xué)院)、PaoloGasti(紐約理工大學(xué))和Fernando Perez-Cruz(瑞士數(shù)據(jù)科學(xué)中心)對(duì)于采用機(jī)器學(xué)習(xí)取代基于規(guī)則和簡(jiǎn)單的數(shù)據(jù)驅(qū)動(dòng)技術(shù)(例如馬爾可夫模型)的密碼猜測(cè)進(jìn)行了分析。他們認(rèn)為，人們現(xiàn)在提出的問(wèn)題不應(yīng)該是“AI驅(qū)動(dòng)的工具能破解用戶密碼嗎?”，而是“基于AI的工具需要多長(zhǎng)時(shí)間才能破解密碼?”” 

總部位于德克薩斯州的網(wǎng)絡(luò)安全初創(chuàng)公司Home Security Heroes（HAH）研究了這個(gè)問(wèn)題。該公司利用2009年泄露的RockYou數(shù)據(jù)集中的1568萬(wàn)個(gè)密碼對(duì)PassGAN進(jìn)行了訓(xùn)練。研究發(fā)現(xiàn):

·51%的普通密碼可以在一分鐘內(nèi)被PassGAN破解。 

·65%的普通密碼可以在一小時(shí)內(nèi)被破解。 

·71%的普通密碼可以在一天內(nèi)被破解。 

·81%的普通密碼可以在一個(gè)月內(nèi)被破解。 

HSH表示，“PassGAN代表了密碼破解技術(shù)的一個(gè)重大進(jìn)步。這種最新的方法使用生成式對(duì)抗網(wǎng)絡(luò)(GAN)從實(shí)際的泄漏密碼中自主學(xué)習(xí)真實(shí)密碼的分布，消除了人工密碼分析的需要。雖然這使得密碼破解更快、更高效，但這對(duì)人們的信息安全是一個(gè)嚴(yán)重威脅?！?/p>

HSH的PassGAN測(cè)試表明，任何由數(shù)字、小寫(xiě)字母和大寫(xiě)字母以及符號(hào)組成的7個(gè)字符的密碼都可以在不到6分鐘的時(shí)間內(nèi)被破解。對(duì)于包含數(shù)字、小寫(xiě)字母和大寫(xiě)字母以及符號(hào)的8個(gè)字符和9個(gè)字符的密碼，PassGAN的密碼猜測(cè)時(shí)間分別增加到7小時(shí)和2周。 

設(shè)置更強(qiáng)大的密碼可以緩解AI工具的破壞

這意味著人們很容易打敗這種破解工具，所需要做的就是設(shè)置一個(gè)更強(qiáng)大的密碼。可以參考下面的圖表來(lái)衡量自己的密碼需要多安全。作為參考，以使用PassGAN破解一個(gè)18個(gè)字符的密碼為例：

·如果密碼只是由數(shù)字組成，則為10個(gè)月。 

·如果它是由小寫(xiě)字母組成的，則為2200萬(wàn)年。 

·如果由小寫(xiě)字母和大寫(xiě)字母組成，則為72.3億年。 

·如果由數(shù)字、小寫(xiě)字母和大寫(xiě)字母組成，則為96萬(wàn)億年。 

?如果由數(shù)字、小寫(xiě)字母和大寫(xiě)字母以及符號(hào)組成，則為6億億年。 

然而，應(yīng)該指出的是，如果有問(wèn)題的密碼是從數(shù)據(jù)庫(kù)泄露或破壞的，像PassGAN這樣的AI密碼破解器（甚至是傳統(tǒng)的數(shù)據(jù)驅(qū)動(dòng)的密碼破解器）是100%有效的。

如何確保AI工具猜不出密碼？可以參考下面的圖表，能夠更好地理解強(qiáng)密碼的構(gòu)成。

為此網(wǎng)絡(luò)安全專家建議，AI時(shí)代使用密碼時(shí)必須遵循以下一些基本原則：  

·用戶名必須包含至少15個(gè)字符、至少兩個(gè)字母(大寫(xiě)和小寫(xiě))、數(shù)字和符號(hào)。 

·注意不要使用任何明顯的密碼模式。 

·用戶不應(yīng)在多個(gè)帳號(hào)/平臺(tái)上重復(fù)使用相同的密碼。 

·更重要的是，用戶經(jīng)常檢查自己的密碼是否被竊取或泄露。另一種做法是每三到六個(gè)月更改一次密碼。 

·推薦使用密碼管理器和多因素身份驗(yàn)證。 

生成海報(bào)

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）