研究表明，ChatGPT等功能強大AI工具已經(jīng)被用于網(wǎng)絡(luò)攻擊者實施犯罪活動，例如開發(fā)惡意軟件和生成釣魚郵件等。如果人們的密碼從數(shù)據(jù)庫泄露或被破壞，那么網(wǎng)絡(luò)攻擊者采用AI密碼破解器猜出密碼是概率幾乎是100%，其中50%以上會在60秒內(nèi)被破解。

AI進步大幅提升PassGAN破解密碼的效率

密碼仍然是當(dāng)今最流行的身份驗證方法，但這也引出了一個問題:“AI驅(qū)動的工具能否破解用戶密碼?” 

這個問題的答案已經(jīng)存在了六年，有關(guān)密碼生成式對抗網(wǎng)絡(luò)（PassGAN）的研究論文為此給出了肯定的回答。近日風(fēng)靡全球的ChatGPT 讓其他AI技術(shù)黯然失色，但在某種程度上也讓人們在信息安全方面感到擔(dān)憂。 

PassGAN是一款基于機器學(xué)習(xí)的AI密碼破解器，它依靠神經(jīng)網(wǎng)絡(luò)來取代人工分析密碼以破解或猜測密碼的工作。有關(guān)PassGAN的論文提到了現(xiàn)有的密碼猜測工具HashCat和John The Ripper技術(shù)在實踐中效果很好。

《PassGAN：密碼猜測的深度學(xué)習(xí)方法》報告的作者Briland Hitaj、Giuseppe Ateniese(史蒂文斯理工學(xué)院)、PaoloGasti(紐約理工大學(xué))和Fernando Perez-Cruz(瑞士數(shù)據(jù)科學(xué)中心)對于采用機器學(xué)習(xí)取代基于規(guī)則和簡單的數(shù)據(jù)驅(qū)動技術(shù)(例如馬爾可夫模型)的密碼猜測進行了分析。他們認為，人們現(xiàn)在提出的問題不應(yīng)該是“AI驅(qū)動的工具能破解用戶密碼嗎?”，而是“基于AI的工具需要多長時間才能破解密碼?”” 

總部位于德克薩斯州的網(wǎng)絡(luò)安全初創(chuàng)公司Home Security Heroes（HAH）研究了這個問題。該公司利用2009年泄露的RockYou數(shù)據(jù)集中的1568萬個密碼對PassGAN進行了訓(xùn)練。研究發(fā)現(xiàn):

·51%的普通密碼可以在一分鐘內(nèi)被PassGAN破解。 

·65%的普通密碼可以在一小時內(nèi)被破解。 

·71%的普通密碼可以在一天內(nèi)被破解。 

·81%的普通密碼可以在一個月內(nèi)被破解。 

HSH表示，“PassGAN代表了密碼破解技術(shù)的一個重大進步。這種最新的方法使用生成式對抗網(wǎng)絡(luò)(GAN)從實際的泄漏密碼中自主學(xué)習(xí)真實密碼的分布，消除了人工密碼分析的需要。雖然這使得密碼破解更快、更高效，但這對人們的信息安全是一個嚴重威脅。”

HSH的PassGAN測試表明，任何由數(shù)字、小寫字母和大寫字母以及符號組成的7個字符的密碼都可以在不到6分鐘的時間內(nèi)被破解。對于包含數(shù)字、小寫字母和大寫字母以及符號的8個字符和9個字符的密碼，PassGAN的密碼猜測時間分別增加到7小時和2周。 

設(shè)置更強大的密碼可以緩解AI工具的破壞

這意味著人們很容易打敗這種破解工具，所需要做的就是設(shè)置一個更強大的密碼。可以參考下面的圖表來衡量自己的密碼需要多安全。作為參考，以使用PassGAN破解一個18個字符的密碼為例：

·如果密碼只是由數(shù)字組成，則為10個月。 

·如果它是由小寫字母組成的，則為2200萬年。 

·如果由小寫字母和大寫字母組成，則為72.3億年。 

·如果由數(shù)字、小寫字母和大寫字母組成，則為96萬億年。 

?如果由數(shù)字、小寫字母和大寫字母以及符號組成，則為6億億年。 

然而，應(yīng)該指出的是，如果有問題的密碼是從數(shù)據(jù)庫泄露或破壞的，像PassGAN這樣的AI密碼破解器（甚至是傳統(tǒng)的數(shù)據(jù)驅(qū)動的密碼破解器）是100%有效的。

如何確保AI工具猜不出密碼？可以參考下面的圖表，能夠更好地理解強密碼的構(gòu)成。

為此網(wǎng)絡(luò)安全專家建議，AI時代使用密碼時必須遵循以下一些基本原則：  

·用戶名必須包含至少15個字符、至少兩個字母(大寫和小寫)、數(shù)字和符號。 

·注意不要使用任何明顯的密碼模式。 

·用戶不應(yīng)在多個帳號/平臺上重復(fù)使用相同的密碼。 

·更重要的是，用戶經(jīng)常檢查自己的密碼是否被竊取或泄露。另一種做法是每三到六個月更改一次密碼。 

·推薦使用密碼管理器和多因素身份驗證。