ChatGPT渗入网络攻击背后:AI密码破解器可在60秒内攻破50%以上普通密码

人工智能1年前发布 CrushiY
19 00

研究表明,ChatGPT等功能强大AI工具已经被用于网络攻击者实施犯罪活动,例如开发恶意软件和生成钓鱼邮件等。如果人们的密码从数据库泄露或被破坏,那么网络攻击者采用AI密码破解器猜出密码是概率几乎是100%,其中50%以上会在60秒内被破解。

ChatGPT渗入网络攻击背后:AI密码破解器可在60秒内攻破50%以上普通密码

AI进步大幅提升PassGAN破解密码的效率

密码仍然是当今最流行的身份验证方法,但这也引出了一个问题:“AI驱动的工具能否破解用户密码?” 

这个问题的答案已经存在了六年,有关密码生成式对抗网络(PassGAN)的研究论文为此给出了肯定的回答。近日风靡全球的ChatGPT 让其他AI技术黯然失色,但在某种程度上也让人们在信息安全方面感到担忧。 

PassGAN是一款基于机器学习的AI密码破解器,它依靠神经网络来取代人工分析密码以破解或猜测密码的工作。有关PassGAN的论文提到了现有的密码猜测工具HashCat和John The Ripper技术在实践中效果很好。

《PassGAN:密码猜测的深度学习方法》报告的作者Briland Hitaj、Giuseppe Ateniese(史蒂文斯理工学院)、PaoloGasti(纽约理工大学)和Fernando Perez-Cruz(瑞士数据科学中心)对于采用机器学习取代基于规则和简单的数据驱动技术(例如马尔可夫模型)的密码猜测进行了分析。他们认为,人们现在提出的问题不应该是“AI驱动的工具能破解用户密码吗?”,而是“基于AI的工具需要多长时间才能破解密码?”” 

总部位于德克萨斯州的网络安全初创公司Home Security Heroes(HAH)研究了这个问题。该公司利用2009年泄露的RockYou数据集中的1568万个密码对PassGAN进行了训练。研究发现:

·51%的普通密码可以在一分钟内被PassGAN破解。 

·65%的普通密码可以在一小时内被破解。 

·71%的普通密码可以在一天内被破解。 

·81%的普通密码可以在一个月内被破解。 

HSH表示,“PassGAN代表了密码破解技术的一个重大进步。这种最新的方法使用生成式对抗网络(GAN)从实际的泄漏密码中自主学习真实密码的分布,消除了人工密码分析的需要。虽然这使得密码破解更快、更高效,但这对人们的信息安全是一个严重威胁。”

HSH的PassGAN测试表明,任何由数字、小写字母和大写字母以及符号组成的7个字符的密码都可以在不到6分钟的时间内被破解。对于包含数字、小写字母和大写字母以及符号的8个字符和9个字符的密码,PassGAN的密码猜测时间分别增加到7小时和2周。 

设置更强大的密码可以缓解AI工具的破坏

这意味着人们很容易打败这种破解工具,所需要做的就是设置一个更强大的密码。可以参考下面的图表来衡量自己的密码需要多安全。作为参考,以使用PassGAN破解一个18个字符的密码为例:

·如果密码只是由数字组成,则为10个月。 

·如果它是由小写字母组成的,则为2200万年。 

·如果由小写字母和大写字母组成,则为72.3亿年。 

·如果由数字、小写字母和大写字母组成,则为96万亿年。 

•如果由数字、小写字母和大写字母以及符号组成,则为6亿亿年。 

然而,应该指出的是,如果有问题的密码是从数据库泄露或破坏的,像PassGAN这样的AI密码破解器(甚至是传统的数据驱动的密码破解器)是100%有效的。

如何确保AI工具猜不出密码?可以参考下面的图表,能够更好地理解强密码的构成。

ChatGPT渗入网络攻击背后:AI密码破解器可在60秒内攻破50%以上普通密码

为此网络安全专家建议,AI时代使用密码时必须遵循以下一些基本原则:  

·用户名必须包含至少15个字符、至少两个字母(大写和小写)、数字和符号。 

·注意不要使用任何明显的密码模式。 

·用户不应在多个帐号/平台上重复使用相同的密码。 

·更重要的是,用户经常检查自己的密码是否被窃取或泄露。另一种做法是每三到六个月更改一次密码。 

·推荐使用密码管理器和多因素身份验证。 

© 版权声明

相关文章