Aurich Lawson | Getty Photographs
Μέχρι τώρα, πιθανότατα έχετε ακούσει για ένα νέο κροτίδα κωδικών πρόσβασης που βασίζεται σε AI που μπορεί να θέσει σε κίνδυνο τον κωδικό πρόσβασής σας σε δευτερόλεπτα χρησιμοποιώντας τεχνητή νοημοσύνη αντί για πιο παραδοσιακές μεθόδους. Ορισμένα καταστήματα το έχουν χαρακτηρίσει «τρομακτικό», «ανησυχητικό», «ανησυχητικό» και «καταλαβαίνω». Άλλες δημοσιεύσεις ανέφεραν ότι το εργαλείο μπορεί να σπάσει οποιονδήποτε κωδικό πρόσβασης με έως και επτά χαρακτήρες επτά αν έχει σύμβολα και αριθμούς κάτω από έξι λεπτά.
Όπως συμβαίνει με τόσα πολλά πράγματα που αφορούν την τεχνητή νοημοσύνη, οι αξιώσεις εξυπηρετούνται με μια γενναιόδωρη μερίδα καπνού και καθρέφτες. Το PassGAN, όπως ονομάζεται το εργαλείο, δεν έχει καλύτερη απόδοση από τις πιο συμβατικές μεθόδους πυρόλυσης. Εν ολίγοις, οτιδήποτε μπορεί να κάνει το PassGAN, αυτά τα πιο δοκιμασμένα και αληθινά εργαλεία κάνουν το ίδιο καλά ή καλύτερα. Και όπως πολλοί από τους ελέγχους κωδικών πρόσβασης που δεν είναι τεχνητές νοημοσύνη έχει επικρίνει ο Ars στο paste.g., εδώ, εδώ και εδώ, οι ερευνητές πίσω από το PassGAN αντλούν συμβουλές κωδικών πρόσβασης από το πείραμά τους που υπονομεύουν την πραγματική ασφάλεια.
Διδάσκοντας μια μηχανή να σπάει
Το PassGAN είναι ένας συντομευμένος συνδυασμός των λέξεων “Password” και “generative adversarial networks”. Το PassGAN είναι μια προσέγγιση που έκανε το ντεμπούτο της το 2017. Χρησιμοποιεί αλγόριθμους μηχανικής μάθησης που εκτελούνται σε ένα νευρωνικό δίκτυο στη θέση των συμβατικών μεθόδων που επινοήθηκαν από ανθρώπους. Αυτά τα GAN δημιουργούν εικασίες κωδικών πρόσβασης αφού μάθουν αυτόνομα τη διανομή των κωδικών πρόσβασης επεξεργάζοντας τα λάφυρα προηγούμενων παραβιάσεων στον πραγματικό κόσμο. Αυτές οι εικασίες χρησιμοποιούνται σε επιθέσεις εκτός σύνδεσης που γίνονται δυνατές όταν μια βάση δεδομένων κατακερματισμών κωδικών πρόσβασης διαρρέει ως αποτέλεσμα παραβίασης ασφάλειας.
Μια επισκόπηση ενός παραγωγικού ανταγωνιστικού δικτύου.
Η συμβατική εικασία κωδικού πρόσβασης χρησιμοποιεί λίστες λέξεων που αριθμούνται στα δισεκατομμύρια που λαμβάνονται από προηγούμενες παραβιάσεις. Δημοφιλείς εφαρμογές διάρρηξης κωδικών πρόσβασης, όπως το Hashcat και ο John the Ripper, εφαρμόζουν στη συνέχεια “κανόνες παραποίησης” σε αυτές τις λίστες για να ενεργοποιήσουν τις παραλλαγές εν κινήσει.
Όταν μια λέξη όπως “password” εμφανίζεται σε μια λίστα λέξεων, για παράδειγμα, οι κανόνες παραποίησης τη μετατρέπουν σε παραλλαγές όπως “Password” ή “p@ssw0rd”, παρόλο που δεν εμφανίζονται ποτέ απευθείας στη λίστα λέξεων. Παραδείγματα πραγματικών κωδικών πρόσβασης που έχουν σπάσει με χρήση παραποίησης είναι τα εξής: “Coneyisland9/”, “momof3g8kids”, “Oscar+emmy2″ k1araj0hns0n,” “Sh1a-labe0uf”, “Apr!l221973,” “Qbesancon321”, “DG09110″ @Yourmom69”, “ilovetofunot”, “windermere2313”, “tmdmmj17” και “BandGeek2014.” Αν και αυτοί οι κωδικοί πρόσβασης μπορεί να φαίνονται αρκετά μεγάλοι και περίπλοκοι, οι κανόνες παραβίασης τους καθιστούν εξαιρετικά εύκολο να μαντέψουν.
Αυτοί οι κανόνες και οι λίστες εκτελούνται σε συμπλέγματα που ειδικεύονται στον παράλληλο υπολογισμό, πράγμα που σημαίνει ότι μπορούν να εκτελούν επαναλαμβανόμενες εργασίες όπως η εκκίνηση μεγάλου αριθμού εικασιών κωδικών πρόσβασης πολύ πιο γρήγορα από ό,τι οι CPU. Όταν χρησιμοποιούνται κακώς κατάλληλοι αλγόριθμοι, αυτά τα εργαλεία διάρρηξης μπορούν να μετατρέψουν μια λέξη απλού κειμένου όπως ο κωδικός πρόσβασης σε κατακερματισμό όπως το 5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8 δισεκατομμύρια φορές κάθε δευτερόλεπτο.
Μια άλλη τεχνική που κάνει τις λίστες λέξεων πολύ πιο ισχυρές είναι γνωστή ως επίθεση συνδυασμού. Όπως υποδηλώνει το όνομά της, αυτή η επίθεση συνδυάζει δύο ή περισσότερες λέξεις στη λίστα. Σε μια άσκηση το 2013, ο ειδικός στο σπάσιμο κωδικού πρόσβασης, Jens Steube, κατάφερε να ανακτήσει τον κωδικό πρόσβασης “momof3g8kids” επειδή είχε ήδη το “momof3g” και το “8kids” στις λίστες του.
Το σπάσιμο κωδικού πρόσβασης βασίζεται επίσης σε μια τεχνική που ονομάζεται ωμή δύναμη, η οποία, παρά την κακή χρήση της ως γενικός όρος για το σπάσιμο, είναι σαφώς διαφορετική από τις ρωγμές που χρησιμοποιούν λέξεις από μια λίστα. Αντίθετα, το brute drive cracking δοκιμάζει κάθε δυνατό συνδυασμό για έναν κωδικό πρόσβασης δεδομένου μήκους. Για έναν κωδικό πρόσβασης έως έξι χαρακτήρες, ξεκινά μαντεύοντας ένα και διατρέχει κάθε δυνατή συμβολοσειρά μέχρι να φτάσει στο //////.
Ο αριθμός των πιθανών συνδυασμών για κωδικούς πρόσβασης έξι ή λιγότερου χαρακτήρων είναι αρκετά μικρός για να ολοκληρωθεί σε δευτερόλεπτα για τα είδη των πιο αδύναμων αλγορίθμων κατακερματισμού που φαίνεται να οραματίζονται οι Dwelling Safety Heroes στην εγγραφή PassGAN.
Η ωμή επιβολή κωδικών πρόσβασης επτά ή περισσότερων χαρακτήρων είναι πιο εντατική επειδή το keyspace που σημαίνει τον αριθμό των πιθανών συνδυασμών είναι μεγαλύτερες τάξεις μεγέθους. Για να γίνει διαχειρίσιμος ο χώρος κλειδιού, οι κροτίδες αυξάνουν τις επιθέσεις ωμής βίας με τις γνωστές αλυσίδες Markov. Αντί να δοκιμάσει κάθε πιθανό συνδυασμό, μια επίθεση Markov εκτελεί πιθανολογικά διατεταγμένες επιθέσεις ωμής βίας ανά θέση. Σκεφτείτε το ως μια «έξυπνη ωμή δύναμη» που χρησιμοποιεί στατιστικά στοιχεία για να ελέγξει πρώτα τους πιθανότερους κωδικούς πρόσβασης.
Όπου μια κλασική ωμή δύναμη δοκιμάζει «aaa», «aab», «aac», μια επίθεση Markov δίνει προτεραιότητα στις εικασίες με βάση την πιθανότητα τους. Ορισμένοι χαρακτήρες είναι περισσότερο ή λιγότερο πιθανό να εμφανίζονται στην πρώτη, δεύτερη, τρίτη ή υψηλότερη θέση μιας συμβολοσειράς. Ο χαρακτήρας z, για παράδειγμα, μπορεί να μην εμφανίζεται συχνά στη δεύτερη ή τρίτη θέση, ενώ ο χαρακτήρας e εμφανίζεται. Ακόμα ένας άλλος τύπος ωμής βίας είναι γνωστός ως επίθεση με μάσκα. Επιτρέπει στο cracker να επιλέξει ποιοι χαρακτήρες εμφανίζονται σε ποιες θέσεις.
Οι επιθέσεις ωμής δύναμης μπορούν επίσης να συνδυαστούν με επιθέσεις λέξεων. Αυτή η υβριδική επίθεση μπορεί να προσαρτήσει όλες τις πιθανές συμβολοσειρές δύο χαρακτήρων που περιέχουν ψηφία ή σύμβολα στο τέλος κάθε λέξης στη λίστα, ακολουθούμενες από όλες τις συμβολοσειρές τριών χαρακτήρων που περιέχουν ψηφία ή σύμβολα κ.λπ.
Νευρωνική δικτύωση γάτας και ποντικιού
Το PassGAN δεν χρησιμοποιεί καμία από αυτές τις μεθόδους. Αντίθετα, δημιουργεί ένα νευρωνικό δίκτυο, έναν τύπο δομής δεδομένων που εμπνέεται χαλαρά από δίκτυα βιολογικών νευρώνων. Αυτό το νευρωνικό δίκτυο προσπαθεί να εκπαιδεύσει μηχανές να ερμηνεύουν και να αναλύουν δεδομένα με τρόπο παρόμοιο με αυτό που θα έκανε ένας ανθρώπινος νους. Αυτά τα δίκτυα είναι οργανωμένα σε επίπεδα, με εισόδους από ένα επίπεδο συνδεδεμένες με εξόδους από το επόμενο επίπεδο.
Όπως εξηγείται στο παραπάνω συνδεδεμένο έγγραφο του 2017 που παρουσιάζει το PassGAN:
Για να μάθουν το παραγωγικό μοντέλο, τα GAN χρησιμοποιούν ένα παιχνίδι γάτας και ποντικιού, στο οποίο ένα βαθιά παραγωγικό δίκτυο (G) προσπαθεί να μιμηθεί την υποκείμενη κατανομή των δειγμάτων, ενώ ένα διακριτικό βαθύ νευρωνικό δίκτυο (D) προσπαθεί να διακρίνει μεταξύ του αρχικού δείγματα εκπαίδευσης (δηλαδή, αληθινά δείγματα) και τα δείγματα που δημιουργούνται από το G (δηλαδή, πλαστά δείγματα). Αυτή η διαδικασία αντιδικίας αναγκάζει τον Δ να διαρρεύσει τις σχετικές πληροφορίες σχετικά με τα δεδομένα εκπαίδευσης. Αυτές οι πληροφορίες βοηθούν τον G να αναπαράγει επαρκώς την αρχική διανομή δεδομένων. Το PassGAN αξιοποιεί αυτήν την τεχνική για να δημιουργήσει νέες εικασίες κωδικών πρόσβασης.
Το PassGAN ήταν ένα συναρπαστικό πείραμα που βοήθησε στη χρήση υποψήφιων γεννητριών κωδικών πρόσβασης που βασίζονται στην τεχνητή νοημοσύνη, αλλά η ώρα του στον ήλιο ήρθε και παρήλθε, δήλωσε ο ειδικός στο σπάσιμο κωδικών πρόσβασης και Ανώτερος Κύριος Μηχανικός στο Yahoo Jeremi Gosney. Ο Gosney πρόσθεσε ότι μια διαφορετική μέθοδος νευρωνικής δικτύωσης για την εικασία κωδικών πρόσβασης, που εισήχθη το 2016, αποδίδει ελαφρώς καλύτερα από το PassGAN. Επιλαχούσα είναι αυτή η έρευνα του ερευνητή Matt Weir. Χρησιμοποιεί ένα μοντέλο μηχανικής μάθησης γνωστό ως PCFGsshort για “πιθανολογικές γραμματικές χωρίς πλαίσιο”.
Αλλά ακόμη και ως ο κορυφαίος υποψήφιος δημιουργός κωδικών πρόσβασης για τεχνητή νοημοσύνη, το cracker τους είναι σχεδόν στο ίδιο επίπεδο με τις γεννήτριες Markov (όχι σημαντική βελτίωση), έγραψε για το έργο του 2016 σε μια διαδικτυακή συνέντευξη. Αναφερόμενος στα συνολικά αποτελέσματα του εργαλείου PassGAN που εφαρμόστηκε από την Dwelling Safety Heroes, έγραψε, «Δυστυχώς, η απόδοσή του υπολείπεται πολύ από τις υπάρχουσες τεχνικές, συμπεριλαμβανομένων των στατιστικών υποψήφιων γεννητριών όπως ο Markov, των πιθανολογικών υποψήφιων γεννητριών όπως τα PCFG, των λιστών λέξεων με κανόνες παραποίησης και εν συντομία εισροές, ακόμη και ανόητη ωμή δύναμη.
Όλες αυτές οι αποχρώσεις χάνονται στην ομάδα Dwelling Safety Heroes που παρουσίασε το εργαλείο PassGAN. Το εκπαίδευσαν σε 15,7 εκατομμύρια κωδικούς πρόσβασης που ελήφθησαν αποκλειστικά από την παραβίαση του RockYou, ένα μικροσκοπικό και ξεπερασμένο κομμάτι του συνόλου των διαθέσιμων δειγμάτων σήμερα. Μπορεί να σπάσει το 81 τοις εκατό από αυτά σε λιγότερο από ένα μήνα, το 71 τοις εκατό σε λιγότερο από μία ημέρα και το 65 τοις εκατό σε λιγότερο από μία ώρα. Μπορεί επίσης να μαντέψει οποιονδήποτε κωδικό πρόσβασης επτά χαρακτήρων σε έξι λεπτά ή λιγότερο.
Είναι εντυπωσιακό ότι ένα μηχάνημα μπορεί να επιτύχει αυτό το επίπεδο απόδοσης, και σε αυτό έγκειται η αξία της αρχικής έρευνας PassGAN. Αλλά σε σύγκριση με ό,τι είναι δυνατό με συμβατικά μέσα, αυτά τα αποτελέσματα δεν είναι καθόλου αξιοσημείωτα. Οι πιθανότητες να αντικαταστήσει ποτέ το PassGAN πιο συμβατικό σπάσιμο κωδικού πρόσβασης είναι απειροελάχιστες.
Αγνοώντας το γεγονός ότι όλα αυτά θα σπάσουν αμέσως αν χρησιμοποιούσατε απλώς τη λίστα λέξεων Rockyou, όπως γνωρίζετε από τα προηγούμενα ταγκό μας, μπορούμε να καταστρέψουμε παραβιάσεις τύπου Rockyou (ακατέργαστο MD5, χωρίς πολυπλοκότητα κωδικού πρόσβασης), συνήθως φτάνοντας το 80 τοις εκατό μέσα στις πρώτες ώρες , μου είπε ο Γκόσνεϊ. Αυτά τα νούμερα λοιπόν δεν είναι ούτε εντυπωσιακά ούτε συναρπαστικά.
Να φοβάσαι πολύ, πολύ
Αντί να εντάξει το PassGAN στο πλαίσιο, η εγγραφή Dwelling Safety Heroes το μετατρέπει στην επόμενη εξαιρετικά τρομακτική απειλή ασφαλείας. Οι συγγραφείς του γράφουν:
Το PassGAN αντιπροσωπεύει μια ανησυχητική πρόοδο στις τεχνικές διάρρηξης κωδικών πρόσβασης. Αυτή η τελευταία προσέγγιση χρησιμοποιεί το Generative Adversarial Community (GAN) για να μάθει αυτόνομα τη διανομή πραγματικών κωδικών πρόσβασης από πραγματικές διαρροές κωδικών πρόσβασης, εξαλείφοντας την ανάγκη για μη αυτόματη ανάλυση κωδικών πρόσβασης. Αν και αυτό καθιστά τη διάρρηξη κωδικού πρόσβασης ταχύτερη και πιο αποτελεσματική, αποτελεί σοβαρή απειλή για την ασφάλειά σας στο διαδίκτυο.
Το PassGAN μπορεί να δημιουργήσει πολλαπλές ιδιότητες κωδικών πρόσβασης και να βελτιώσει την ποιότητα των προβλεπόμενων κωδικών πρόσβασης, διευκολύνοντας τους εγκληματίες του κυβερνοχώρου να σπάσουν τους κωδικούς πρόσβασής σας και να αποκτήσουν πρόσβαση στα προσωπικά σας δεδομένα. Ως εκ τούτου, είναι σημαντικό να ενημερώνετε τακτικά τους κωδικούς πρόσβασής σας για να προστατεύεστε από αυτήν την επικίνδυνη τεχνολογία.
Συγκεκριμένα, η ανάρτηση συμβουλεύει τους ανθρώπους να αλλάζουν τους κωδικούς πρόσβασής τους κάθε τρεις έως έξι μήνες, παρά τη ρητή καθοδήγηση από τεχνολόγους της Ομοσπονδιακής Επιτροπής Εμπορίου, της Microsoft και της NIST. Όλες αυτές οι οντότητες λένε ότι οι τακτικές αλλαγές κωδικών πρόσβασης είναι περισσότερο επιβλαβείς παρά χρήσιμες για την ασφάλεια, επειδή η προσπάθεια που απαιτείται για την αλλαγή των βαθμολογιών των κωδικών πρόσβασης πολλές φορές το χρόνο ενθαρρύνει ένα άτομο να περικόψει πιθανώς δαπανηρές γωνίες. Σε αντίθεση με τη συμβουλή στη σύνταξη, δεν υπάρχει λόγος να αλλάξετε επαρκώς ισχυρούς κωδικούς πρόσβασης, εκτός εάν υπάρχουν ενδείξεις ότι έχουν παραβιαστεί.
Άλλα παραδείγματα στην ανάρτηση ντύνουν τη μέτρια απόδοση ως κάτι που πρέπει να ανησυχεί. “Το PassGAN χρειάστηκε μόλις έξι λεπτά για να βρει έναν κωδικό πρόσβασης με επτά χαρακτήρες, ακόμα κι αν περιείχε κεφαλαία και πεζά γράμματα, αριθμούς και σύμβολα.” Στην πραγματικότητα, είπε ο Gosney, αυτό είναι λίγο καλύτερο από μια επίθεση ωμής βίας. Και όπως εξηγήθηκε προηγουμένως, οι κωδικοί πρόσβασης που δημιουργήθηκαν από τον άνθρωπο θα χρησιμοποιούσαν ακόμα πιο γρήγορες μεθόδους, όπως η ωμή βία με κανόνες Markov ή μια λίστα λέξεων με κανόνες.
Ως τελευταία αμηχανία, ο έλεγχος ισχύος κωδικού πρόσβασης του Dwelling Safety Heroes δεν είναι τίποτα λιγότερο από απύθμενος. Θυμάστε το “momof3g8kids”, έναν από τους πολλούς κωδικούς πρόσβασης που αναφέρθηκαν προηγουμένως, ο οποίος σπάστηκε σε λίγα λεπτά έως ώρες χρησιμοποιώντας παραδοσιακές μεθόδους; Το πούλι λέει ότι το PassGAN θα χρειαζόταν 14 δισεκατομμύρια χρόνια για να το μαντέψει. Το ίδιο πούλι λέει ότι θα χρειαστούν μόνο 187 εκατομμύρια χρόνια για να σπάσει ο κωδικός «2HdmYfcn!H9VhV», ο οποίος, με όλες τις αντικειμενικές μετρήσεις, είναι αμέτρητα πιο ασφαλής.
Έτσι, για όλους τους ανθρώπους που λένε ότι το PassGAN αντιπροσωπεύει μια νέα απειλή για την ασφάλεια του κωδικού πρόσβασης αριθ. Το PassGAN ήταν ένα ενδιαφέρον πείραμα με ελάχιστα διαρκή πλεονεκτήματα εκτός από το να δείξουμε ότι είναι δυνατή η κατασκευή μιας λειτουργικής υποψήφιας γεννήτριας κωδικών πρόσβασης βασισμένη σε τεχνητή νοημοσύνη που δεν βασίζεται σε ανθρώπους. Το μόνο αξιοσημείωτο ή ανησυχητικό πράγμα για το PassGAN αυτές τις μέρες είναι η διαφημιστική εκστρατεία και οι αντιπαραγωγικές συμβουλές που δημιουργεί.
