AI發力：研究數百萬條密碼以預測下一條潛在密碼內容

至頂網軟體頻道消息：Eggheads公司已經構建起一套機器學習系統，其對人們在網路上使用的數百萬條密碼進行研究，進而猜測人們可能使用的其它密碼內容。

這些AI猜測出的密碼能夠與現有工具配合使用，共同破解更多散列密碼，並最終實現遠超以往的他人系統帳戶登錄成功率。

在進行密碼破解時，大家通常會從密碼的散列版本開始，而這類數據通常竊取自資料庫或者其它類似的文件。散列處理意味著密碼內容已經進行單向加密，即我們無法通過解密獲取原始內容。目前的工具通過猜測密碼所有單詞與字母可能組合（例如AAAAA、AAAAB、AAAAC等）的方式進行暴力破解，並將所有組合的哈希值同竊取到的哈希值進行比較。如果匹配，那麼密碼內容即被正確猜出。這種方式需要耗費大量資源，特別是在密碼內容進行salt強化的情況之下。

而作為另一種優化方法，部分工具能夠利用詞典與常用密碼詞典，配合以往已經破解的密碼進行哈希值轉換，進而將其與竊取到的密碼進行比較。

然而，如果我們能夠進一步訓練這類軟體，從而根據人們以往的習慣預測其當前或者未來可能使用的密碼，結果又會如何？

來自新澤西州史蒂文森理工學院的研究團隊本月發表了一篇論文，其中詳細介紹了如何利用一套由兩款機器學習系統構成的PassGAN生成式對話網路達成這一目標。其中的兩款機器學習系統負責相互訓練，其能夠將HashCat及Jack Ripper等開源工具的密碼破解能力倍增，更可以立足防禦角度預防密碼竊取類攻擊。

研究人員們利用機器學習系統對2010年泄露自音樂網站RockYou的3260萬3388條明文密碼進行了分析，並藉此識別人們創建密碼的具體規則。此後，機器學習系統即依靠相關知識嘗試破解2016年領英公司不慎流出的密碼散列數據。

起初，AI利用RockYou密碼進行訓練，並依靠相關知識成功猜測出46.85%的RockYou密碼——即總計591萬9936條密碼中的277萬4269條; 而對領英密碼的猜測正確率則為11.53%，即4335萬4871條中的499萬6980條。如果將被正確猜出的領英密碼中與RockYou訓練期間見到過的相同密碼內容排除在外，則正確猜測比例將降低至9.582%，即389萬43條。換句話來說，這套AI方案能夠以十分之一的成功率猜出其從未見過的領英密碼。

這樣的結果意味著，其實際表現要優於John Ripper（其能夠破解6.37%的陌生領英密碼（排除其已經見過的相同密碼），但尚不僅HashCat——破解成功率分別為22.9%與17.67%。但如果將該神經網路軟體與HashCat相結合，效果將更上一層樓，能夠分別以27%與22.039%的比例成功破解泄露帳戶。具體來講，AI與HashCat這一組合能夠實現五分之一與四分之一的領英散列密碼破解比例。

為了實現這一切，PassGAN需要創建5億2883萬4530條新密碼; HashCat會生成4萬4135萬7719條新密碼，而John Ripper則生成5億2883萬4530條新密碼。HashCat與AI結合之後，生成的密碼量更是高達9億4760萬6924條。

該團隊對此項工作做出如下總結：

我們的實驗表明，這種方法確實具備實用價值。在利用PassGAN對兩套大型密碼數據集進行評估時，我們的實際效果平均達到John Ripper SpyderLab規則的2倍，而且亦可與HashCat的best64以及gen2規則一爭短長——我們的結果為HashCat處理結果的2倍之內。更重要的是，當我們將PassGAN的輸出結果同HashCat的輸出結果相結合時，能夠匹配較HashCat自身高18%到24%的密碼比例。這樣的結果非常可觀，且意味著PassGAN能夠生成當前工具所無法企及的巨大猜測密碼量。

他們同時補充稱，「此外，我們對於訓練成效的評估顯示，當擁有足夠大的密碼數據集時，PassGAN的成效很可能超越目前基於規則的最佳密碼生成技術方案。」

換句話來說，HashCat的表現仍然相當出色。而作為早期AI成果，PassGAN目前只是一種填充空白的手段——要獲得最終成功，其還需要努力全面擊敗HashCat。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！