作者 haiduc (小火柴)標題 Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合時間 Mon Apr 17 09:45:40 2023
※ 引述《sxy67230 (charlesgg)》之銘言:
: ※ 引述《dosiris (希望大家開心)》之銘言:
: : 1.媒體來源:
: : 自由
: : 2.記者署名:
: : 劉惠琴
: : 3.完整新聞標題:
: : AI 新技術「秒破解」750萬組常用密碼組合!5招學會設立安全密碼強度
: : 4.完整新聞內文:
: 阿肥外商碼農阿肥啦!
: 本身領域研究員,GAN本身在學理上就是生成範式分佈,以PassGAN為例我們期望生成一組
: 生成密碼的空間分佈來採樣這組密碼,然後判別模型在透過真實洩漏的密碼來判斷是否為
: 真實用戶設置的密碼,透過這樣就可以判斷用戶慣性規則,算是字典攻擊的進化版,因為
: 人類設置的密碼是有規則跟習慣性而非亂數的,也是為了方便人類記憶。這就非常適合模
: 型來做這件事,因為ML/DL真正的強項就是範式學習。
: 當然,很多人都會說我試三次就擋掉IP就好,但是這只是針對普通人,我早說未來這個時
: 代的資安問題早就是AI搭配駭客來進行的,只要駭客透過程式跳板切換IP,然後我在用程
: 式隨機規律去try登入,看你服務端要怎麼承受,了不起你從帳號檔我就把全部帳號組合
: 都try到不能用直接癱瘓系統,而且搭配passGAN縮小範圍讓程式去測比隨機暴力法有效率
: ,搞不好有效試到幾十組竊取資料兜售就夠了。
: 這才是真正新時代真正的資安危機,不是啥金管會說chatGPT偷資料這種就是完全沒有sen
: se的人在講的,也只有台灣官員才會這麼沒sense。
: 然後2FA、OTP或是亂數生成密碼驗證機制依舊是最好的做法,畢竟駭客不可能物理偷竊你
: 的手機或是殺掉你製造你的複製人驗證,這種成本過高也沒有效益,所以2FA、OTP還是相
: 對安全的。
最新測試:11 字元純數字密碼 AI 瞬間破解,擁抱無密碼功能才是王道
作者 Evan | 發布日期 2023 年 04 月 14 日 8:10 | 分類 AI 人工智慧 , 網路 , 資訊
安全
https://reurl.cc/0EGQDK
每隔一陣子總會爆出密碼被駭災情,每次災情後就伴隨許多要求密碼頻繁更新並使用強固
性密碼的呼籲,但最終總會在人性面前敗陣下來。多數使用者雖然不願意被駭,但要頻繁
更新永遠記不住的強固密碼,也是不可能的任務。
某網路安全公司最近測試發現,AI 能不到 1 分就破解大部分常用密碼。隨著 AI 技術不
斷突破,未來即使再強固的密碼都有可能瞬間破解,到時傳統密碼登錄模式可能因毫無作
用遭廢用。其實蘋果、Google 及微軟早在去年中就合作開發無密碼機制,可說兩家都洞
悉人性並預見 AI 會有驚人進展吧。
AI 破解千萬餘密碼,51% 不到 1 分鐘就破解
網路安全公司 Home Security Heroes 最近展開 AI 破解密碼時間的測試。特別使用支援
生成式對抗網路(Generative Adversarial Network,GAN)架構的 PassGAN 密碼生成器
產生待破解密碼。用 PassGAN 從社群小工具 RockYou 資料庫取得 1,568 萬個真實常用
密碼,特別將長度超過 18 個字元、短於 4 個字元的密碼排除。
將千萬餘個密碼餵給 AI 系統後,不到 1 分鐘就破解 51% 密碼,接著 1 小時內破解
65% 密碼,剩下未破解密碼強度更高,破解難度及所耗時間逐漸攀升。測試又花了近一
天才破解至 71%,一個月後升至 81%。
可見目前 AI 破解能力,只要強度夠、複雜度高的密碼大致算安全。從 Home Security
Heroes 官網報告可看出,要能與 AI 抗衡,除了長度夠長,混合大小寫字母及符號就愈
接近牢不可破。數字和小寫字母組成 10 字元密碼,1 小時內破解機率為 65%,若加上大
寫字母或特殊符號,破解時間可增至 5 年。
18 字元密碼可保安全無虞,安全公司建議至少 15 字元才安全
基本上密碼長度只要大於 18 字元,可完全無懼現行 AI。即使純數字 18 字元密碼,AI
破解也要耗費 10 個月之久,如果再混合大小寫子母及符號,破解時間更達難以想像的
100 京(Quintillion,10 的 18 次方)年。
現行 AI 連 11 字元純數字密碼都可瞬間破解,即使加長到 14 字元也只需 36 分,所以
Home Security Heroes 建議密碼長度起碼要 15 字元(AI 破解約需 5 小時)才夠安全
,且只要再複雜一點,15 字元皆改成小寫字母,破解時間可拉長到 890 年。Home
Security Heroes 建議使用者重要密碼最好每隔幾個月就換一次。
https://reurl.cc/Dm7eZR
▲ AI 破解不同長度及複雜度密碼時間表。(Source:Home Security Heroes)
多年來,安全專家一再呼籲用戶定期更換密碼,並使用強固式密碼,但成效不彰。對多數
使用者而言,即使 8 字元密碼都不見得記得住,更別說 15 字元、混合密碼,甚至定期
更換等不切實際的建議。事實證明,定期更換強固式密碼的建議窒礙難行。或許蘋果、
Google 及微軟早看透這點,才會聯手推動無密碼技術。隨著 AI 技術突飛猛進,AI 破解
更複雜密碼絕對比人類定期更新高強度密碼更快實現。有鑑於此,擁抱無密碼時代,或許
才是最貼合人性的可行之道。
AI Can Now Crack Most Passwords in Less Than a Minute
↓
英文原文版本
(首圖來源:科技新報)
https://reurl.cc/o06pQg
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.160.0.242 (臺灣)
※ 作者: haiduc 2023-04-17 09:45:40
※ 文章代碼(AID): #1aFAJ7tK (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1681695943.A.DD4.html
※ 同主題文章:
Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合!5招學會設立安全密碼強度
04-17 09:45 haiduc
推 RisingTackle: 建立字典檔的東西還需要AI?1F 106.105.2.89 台灣 04/17 09:46
推 LawLawDer: 可以被試登這麼多次的網站多半也是垃圾網站 沒差吧2F 223.136.155.238 台灣 04/17 09:47
→ Dirgo: 正常密碼不可能給你這樣無限試誤才是真的4F 118.163.179.141 台灣 04/17 09:47
推 VVizZ: 3次直接鎖帳做跳板也沒用吧
但比較可能被報復性攻擊全部洗過
然後真正的使用者一直去抗議 公司煩死倒閉6F 220.130.142.210 台灣 04/17 09:48
→ gxlin: 好的生日數字重複5次輸入9F 36.227.106.77 台灣 04/17 09:49
→ hoos891405: 之前不是有人才說大小寫沒用嗎10F 111.80.128.136 台灣 04/17 10:02
推 ChungLi5566: 幹勒哪個低能要增加密碼長度的11F 223.137.52.54 台灣 04/17 10:07
噓 ihfreud: 每三個月強制換密碼真的超智障12F 122.116.232.46 台灣 04/17 10:07
→ ChungLi5566: 每次打密碼都要開記事本看一下13F 223.137.52.54 台灣 04/17 10:08
推 ronga: 暴力破解 嚴謹的網站通常3次就鎖帳號了吧14F 210.61.66.43 台灣 04/17 10:20
--