研究表明，ChatGPT等功能強(qiáng)大AI工具已經(jīng)被用于網(wǎng)絡(luò)攻擊者實(shí)施犯罪活動(dòng)，例如開發(fā)惡意軟件和生成釣魚郵件等。如果人們的密碼從數(shù)據(jù)庫泄露或被破壞，那么網(wǎng)絡(luò)攻擊者采用AI密碼破解器猜出密碼是概率幾乎是100%，其中50%以上會(huì)在60秒內(nèi)被破解。

AI進(jìn)步大幅提升PassGAN破解密碼的效率

密碼仍然是當(dāng)今最流行的身份驗(yàn)證方法，但這也引出了一個(gè)問題:“AI驅(qū)動(dòng)的工具能否破解用戶密碼?” 

這個(gè)問題的答案已經(jīng)存在了六年，有關(guān)密碼生成式對(duì)抗網(wǎng)絡(luò)（PassGAN）的研究論文為此給出了肯定的回答。近日風(fēng)靡全球的ChatGPT 讓其他AI技術(shù)黯然失色，但在某種程度上也讓人們?cè)谛畔踩矫娓械綋?dān)憂。 

PassGAN是一款基于機(jī)器學(xué)習(xí)的AI密碼破解器，它依靠神經(jīng)網(wǎng)絡(luò)來取代人工分析密碼以破解或猜測(cè)密碼的工作。有關(guān)PassGAN的論文提到了現(xiàn)有的密碼猜測(cè)工具HashCat和John The Ripper技術(shù)在實(shí)踐中效果很好。

《PassGAN：密碼猜測(cè)的深度學(xué)習(xí)方法》報(bào)告的作者Briland Hitaj、Giuseppe Ateniese(史蒂文斯理工學(xué)院)、PaoloGasti(紐約理工大學(xué))和Fernando Perez-Cruz(瑞士數(shù)據(jù)科學(xué)中心)對(duì)于采用機(jī)器學(xué)習(xí)取代基于規(guī)則和簡(jiǎn)單的數(shù)據(jù)驅(qū)動(dòng)技術(shù)(例如馬爾可夫模型)的密碼猜測(cè)進(jìn)行了分析。他們認(rèn)為，人們現(xiàn)在提出的問題不應(yīng)該是“AI驅(qū)動(dòng)的工具能破解用戶密碼嗎?”，而是“基于AI的工具需要多長(zhǎng)時(shí)間才能破解密碼?”” 

總部位于德克薩斯州的網(wǎng)絡(luò)安全初創(chuàng)公司Home Security Heroes（HAH）研究了這個(gè)問題。該公司利用2009年泄露的RockYou數(shù)據(jù)集中的1568萬個(gè)密碼對(duì)PassGAN進(jìn)行了訓(xùn)練。研究發(fā)現(xiàn):

·51%的普通密碼可以在一分鐘內(nèi)被PassGAN破解。 

·65%的普通密碼可以在一小時(shí)內(nèi)被破解。 

·71%的普通密碼可以在一天內(nèi)被破解。 

·81%的普通密碼可以在一個(gè)月內(nèi)被破解。 

HSH表示，“PassGAN代表了密碼破解技術(shù)的一個(gè)重大進(jìn)步。這種最新的方法使用生成式對(duì)抗網(wǎng)絡(luò)(GAN)從實(shí)際的泄漏密碼中自主學(xué)習(xí)真實(shí)密碼的分布，消除了人工密碼分析的需要。雖然這使得密碼破解更快、更高效，但這對(duì)人們的信息安全是一個(gè)嚴(yán)重威脅?！?/p>

HSH的PassGAN測(cè)試表明，任何由數(shù)字、小寫字母和大寫字母以及符號(hào)組成的7個(gè)字符的密碼都可以在不到6分鐘的時(shí)間內(nèi)被破解。對(duì)于包含數(shù)字、小寫字母和大寫字母以及符號(hào)的8個(gè)字符和9個(gè)字符的密碼，PassGAN的密碼猜測(cè)時(shí)間分別增加到7小時(shí)和2周。 

設(shè)置更強(qiáng)大的密碼可以緩解AI工具的破壞

這意味著人們很容易打敗這種破解工具，所需要做的就是設(shè)置一個(gè)更強(qiáng)大的密碼?？梢詤⒖枷旅娴膱D表來衡量自己的密碼需要多安全。作為參考，以使用PassGAN破解一個(gè)18個(gè)字符的密碼為例：

·如果密碼只是由數(shù)字組成，則為10個(gè)月。 

·如果它是由小寫字母組成的，則為2200萬年。 

·如果由小寫字母和大寫字母組成，則為72.3億年。 

·如果由數(shù)字、小寫字母和大寫字母組成，則為96萬億年。 

?如果由數(shù)字、小寫字母和大寫字母以及符號(hào)組成，則為6億億年。 

然而，應(yīng)該指出的是，如果有問題的密碼是從數(shù)據(jù)庫泄露或破壞的，像PassGAN這樣的AI密碼破解器（甚至是傳統(tǒng)的數(shù)據(jù)驅(qū)動(dòng)的密碼破解器）是100%有效的。

如何確保AI工具猜不出密碼？可以參考下面的圖表，能夠更好地理解強(qiáng)密碼的構(gòu)成。

為此網(wǎng)絡(luò)安全專家建議，AI時(shí)代使用密碼時(shí)必須遵循以下一些基本原則：  

·用戶名必須包含至少15個(gè)字符、至少兩個(gè)字母(大寫和小寫)、數(shù)字和符號(hào)。 

·注意不要使用任何明顯的密碼模式。 

·用戶不應(yīng)在多個(gè)帳號(hào)/平臺(tái)上重復(fù)使用相同的密碼。 

·更重要的是，用戶經(jīng)常檢查自己的密碼是否被竊取或泄露。另一種做法是每三到六個(gè)月更改一次密碼。 

·推薦使用密碼管理器和多因素身份驗(yàn)證。