超過四分之一的密碼被AI破解，你的還安全嗎？

上周，信用報告機構Equifax宣布，黑客泄露了他們系統中1.43億人的個人信息。當然，這令人擔憂，但如果黑客想要通過猜測你的密碼來訪問你的在線數據，你的密碼很可能在不到一個小時內就會被破解。現在，還有更多的壞消息：科學家利用人工智慧（AI）的力量創建了一個程序，結合現有的工具，在超過4300萬個領英個人資料的集合中破解了超過四分之一的密碼。然而，研究人員表示，這項技術也可用於遊戲中以打敗壞人。

Thomas Ristenpart是一名計算機科學家，在紐約康奈爾大學研究計算機安全，他沒有參與這項研究。他說，這項工作可以幫助普通用戶和公司測量密碼強度。「這項新技術還可能被用於生成誘餌密碼，以幫助發現漏洞。」最強大的密碼猜測程序John theRipperand HashCat使用了幾種技術。一種是簡單的蠻力，在這種力量中，他們會隨機地嘗試許多不同的字元組合，直到找到正確的字元為止。但其他的方法包括根據之前泄露的密碼和概率方法來推測密碼中的每個字元。在一些網站上，這些程序已經破解了超過90%的密碼。但是他們需要多年的手工編碼來建立他們的攻擊計劃。

這項新研究旨在通過應用深度學習來加快這一進程，這是一種以大腦為中心的方法，在人工智慧領域處於領先地位。位於新澤西州霍博肯市的史蒂文斯理工學院的研究人員從一個所謂的「生成式對抗網路」（GAN）開始，該網路由兩個人工神經網路組成。一個「生產者」產生模模擬實例子（真實照片）的人工輸出（如圖片），而「甄別者」則從假例中識別真實的圖像。它們互相完善，直到生產者變成熟練的偽造者。

Giuseppe Ateniese是史蒂文斯的計算機科學家，也是論文的合著者。他把生產者和甄別者分別比作警察素描畫家和目擊者，這位素描藝術家試圖創造出一種可以作為罪犯精確肖像的東西。GANs（生成式對抗網路）用於製作逼真的圖像，但對文本沒有太大的應用。史蒂文斯的團隊創造了一個叫做PassGAN的GAN，並將其與兩個版本的HashCat（GPU破解神器） 和John the Ripperr的一個版本進行了比較。科學家們為每個工具提供了數千萬個被泄露的密碼，這些密碼來自一個名為RockYou的遊戲網站，並要求他們自己生成數億個新密碼。然後，他們計算出這些新密碼中有多少與一組來自領英的泄露密碼相匹配，以此來衡量他們破解密碼的成功率。

就其本身而言，PassGAN在領英上生成了12%的密碼，而它的三個競爭對手的密碼在6%到23%之間。但表現最好的來自於PassGAN和HashCat的組合。研究人員本月在arXiv網站上發表的一篇論文中報告稱，他們在領英上成功破解了27%的密碼。甚至連PassGAN破解失敗的密碼都不太真實，比如：saddracula、santazone、coolarse18。

使用GANs來幫助猜測密碼是「新奇的」，Martin Arjovsky說，他是紐約紐約大學研究這項技術的計算機科學家。他說，這篇論文「證實了在應用簡單的機器學習解決方案能夠帶來關鍵優勢的問題上，存在著一些明顯而重要的問題。」儘管如此，Ristenpart說：「我不清楚，是否需要GANs的重型機械來獲得這樣的收益。」他說，也許更簡單的機器學習技術也可以幫助HashCat（Arjovsky同意）。事實上，賓夕法尼亞州匹茲堡的卡耐基梅隆大學生產的高效神經網路最近有了希望，而Ateniese計劃在提交論文進行同行評審之前，直接與PassGAN進行比較。

Ateniese說，儘管在這個試點演示中，PassGAN給了hashCat幫助，但他「肯定」其未來的迭代可能會超過HashCat。部分原因在於，HashCat使用了固定的規則，無法自己生成6.5億多個密碼。PassGan發明了自己的規則，可以無限期地創建密碼。他說：「在我們說話的時候，它就能生成數百萬個密碼。」Ateniese還表示，PassGAN將在神經網路中增加更多層次，並對更多泄露的密碼進行訓練。

他將PassGAN與AlphaGo進行了比較，後者是谷歌DeepMind的一個項目，該項目最近在棋盤遊戲中使用深度學習演算法擊敗了人類圍棋冠軍。「AlphaGo正在設計一些專家從未見過的新策略，」Ateniese說。「所以我個人認為，如果你向PassGAN提供足夠的數據，它就能制定出人類無法思考的規則。」

如果你擔心自己的密碼安全，專家給出了建議——可以使用長但易記的密碼，並使用兩步驗證。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！