现在,还有更多的坏消息:科学家利用人工智能(AI)的力量创建了一个程序,结合现有的工具,在超过4300万个领英个人资料的集合中破解了超过四分之一的密码。然而,研究人员表示,这项技术也可用于游戏中以打败坏人。
Thomas Ristenpart是一名计算机科学家,在纽约康奈尔大学研究计算机安全,他没有参与这项研究。他说,这项工作可以帮助普通用户和公司测量密码强度。
“这项新技术还可能被用于生成诱饵密码,以帮助发现漏洞。”最强大的密码猜测程序John the Ripper and HashCat使用了几种技术。
一种是简单的蛮力,在这种力量中,他们会随机地尝试许多不同的字符组合,直到找到正确的字符为止。
但其他的方法包括根据之前泄露的密码和概率方法来推测密码中的每个字符。在一些网站上,这些程序已经破解了超过90%的密码。但是他们需要多年的手工编码来建立他们的攻击计划。
一个“生产者”产生模仿真实例子(真实照片)的人工输出(如图片),而“甄别者”则从假例中识别真实的图像。它们互相完善,直到生产者变成熟练的伪造者。
Giuseppe Ateniese是史蒂文斯的计算机科学家,也是论文的合著者。
他把生产者和甄别者分别比作警察素描画家和目击者,这位素描艺术家试图创造出一种可以作为罪犯精确肖像的东西。GANs(生成式对抗网络)用于制作逼真的图像,但对文本没有太大的应用。
史蒂文斯的团队创造了一个叫做PassGAN的GAN,并将其与两个版本的HashCat(GPU破解神器) 和John the Ripperr的一个版本进行了比较。
科学家们为每个工具提供了数千万个被泄露的密码,这些密码来自一个名为RockYou的游戏网站,并要求他们自己生成数亿个新密码。然后,他们计算出这些新密码中有多少与一组来自领英的泄露密码相匹配,以此来衡量他们破解密码的成功率。
就其本身而言,PassGAN在领英上生成了12%的密码,而它的三个竞争对手的密码在6%到23%之间。但表现最好的来自于PassGAN和HashCat的组合。
研究人员本月在arXiv网站上发表的一篇论文中报告称,他们在领英上成功破解了27%的密码。甚至连PassGAN破解失败的密码都不太真实,比如:saddracula、santazone、coolarse18。
他说,这篇论文“证实了在应用简单的机器学习解决方案能够带来关键优势的问题上,存在着一些明显而重要的问题。”尽管如此,Ristenpart说:“我不清楚,是否需要GANs的重型机械来获得这样的收益。”
他说,也许更简单的机器学习技术也可以帮助HashCat(Arjovsky同意)。事实上,宾夕法尼亚州匹兹堡的卡耐基梅隆大学生产的高效神经网络最近有了希望,而Ateniese计划在提交论文进行同行评审之前,直接与PassGAN进行比较。
Ateniese说,尽管在这个试点演示中,PassGAN给了hashCat帮助,但他“肯定”其未来的迭代可能会超过HashCat。部分原因在于,HashCat使用了固定的规则,无法自己生成6.5亿多个密码。
PassGan发明了自己的规则,可以无限期地创建密码。他说:“在我们说话的时候,它就能生成数百万个密码。”
Ateniese还表示,PassGAN将在神经网络中增加更多层次,并对更多泄露的密码进行训练。
他将PassGAN与AlphaGo进行了比较,后者是谷歌DeepMind的一个项目,该项目最近在棋盘游戏中使用深度学习算法击败了人类围棋冠军。“AlphaGo正在设计一些专家从未见过的新策略,”Ateniese说。“所以我个人认为,如果你向PassGAN提供足够的数据,它就能制定出人类无法思考的规则。”
如果你担心自己的密码安全,专家给出了建议——可以使用长但易记的密码,并使用两步验证。
编译 | 网易见外智能编译机器人
审校 | 吴曼