密碼危機:深度學習正在加速密碼破解!

信息安全專家們一直在探索“生成式對抗網絡”(GAN)如何提高我們的在線安全性,并取得了令人鼓舞的結果。近日,新澤西州史蒂文斯理工學院和紐約理工學院的研究人員開發了使用GAN猜測密碼的方法。

該小組開發了一個實驗,通過其被稱為“PassGan”的密碼猜測技術來查看泄露密碼的數據,并發現該軟件能夠從這些帳戶中猜出47%的密碼,比HashCat和Ripper這樣的競爭算法要高得多。在這篇文章中,我們將詳細介紹下述內容:

這項技術所處的歷史背景

  犯罪分子可以利用這項技術的哪些功能

  這項技術如何運作

  如果你是紅隊(攻擊方),如何運用該技術

  作為用戶如何保護自身安全

  作為藍隊(防守方)如何保護自身和企業安全

進入正題前,讓我們先來了解一下什么是“密碼猜測”?這是一個相當模糊的術語,在本文語境中,它表示破解密碼散列。那么問題又來了,什么是“密碼散列”(password hashes)呢?



 

  什么是密碼散列?

當發生諸如Dropbox、LinkedIn以及Ashley Madison等大型數據泄露時,其發布的就是(通常情況下)電子郵件和密碼散列列表。所謂Hash——一般翻譯為“散列”,也可直接音譯為“哈希”——就是把任意長度的輸入(叫做預映射,pre-image),通過散列算法,變換成固定長度的輸出,該輸出就是散列值。這種轉換是一種壓縮映射,也就是,散列值的空間通常遠小于輸入的空間,不同的輸入可能會散列成相同的輸出,所以不可能從散列值來唯一的確定輸入值。

例如,假設我將明文密碼“12345”使用MD5算法處理成一個類似“5f4dcc3b5aa765d61d8327deb882cf99”的字符串,這就稱之為“哈希值”。其具有不可逆的特點,也就是說,不能從這個哈希值反推出明文密碼(也就是之前的123456)。

這一點在安全方面十分有用,因為這就意味著,像Adobe、LinkedIn或Google這樣的網站可以擁有數億個用戶帳戶,但不會存儲任何人的實際密碼。即使如此,他們仍然有能力在不知道密碼的情況下,檢查用戶是否知曉密碼。這一過程僅僅是通過存儲的密碼“哈希值”而不是密碼本身來實現的。當用戶想要登錄這些網站時,他們會發送自己的密碼,系統隨后會對這些密碼進行hash處理,并檢查得到的哈希值是否與數據庫中和該電子郵件地址相關聯的哈希值相匹配。

如此一來,就可以有效地放緩攻擊者破解密碼的速度,但是并不能完全阻止他們。通過利用現代工具,攻擊者每秒可以猜測出數十萬至數億個密碼,具體取決于攻擊者試圖破解的哈希算法類型。這就使得攻擊者具有更多的時間和精力來檢查潛在的密碼,而不是耗費過多時間來猜測密碼。

  PassGAN加入對抗戰斗

攻擊者和安全專家正在進行一場永無休止的競賽,力圖找到更好、更快的方式來破解密碼列表。目前,PassGAN技術就是實現這一過程最有力的“武器”。

PassGAN使用了一種稱為“生成對抗網絡”(Generative Adversarial Network,簡稱GAN)的相對較新的技術,其生成的正確密碼猜測能夠比傳統方法多出18%-24%。所謂“生成對抗網絡”是一類神經網絡,通過輪流訓練判別器(Discriminator)和生成器(Generator),令其相互對抗,來從復雜概率分布中采樣,例如生成圖片、文字、語音等。

先來說說第一個程序——“判別器”(Discriminator),它是一個深度卷積神經網絡,簡言之就是一個可以在越來越抽象的層次上學習模式的系統,其作用是用于判別“生成器”所生成的數據是否接近于真實。它最終會返回一個介于0和1之間的數字,其中0表示不是密碼,1表示與密碼非常相似。

下一個程序是“生成器”,主要用于生成可以迷惑“判別器”的數據。它以隨機的文本串開始,通過“判別器”測試得到相應的分數。這第一次得到的分數一般會非常低,因為它只是一串隨機字符。

接下來,“生成器”就會對該字符串進行修改,然后再去“判別器”處查看修改后的字符串得到的分數。如果分數升高,則保持該修改結果;如果不是,則撤銷該修改并繼續進行新的修改操作;不斷重復該過程,使得分達到給定的數值,以便提升自身計算能力。

簡單來說,“GAN”的基本思想是,生成器和判別器玩一場“道高一尺,魔高一丈”的游戲:判別器要練就“火眼金睛”,盡量區分出真實的樣本(如真實的圖片)和由生成器生成的假樣本;生成器要學著“以假亂真”,生成出使判別器判別為真實的“假樣本”。競爭的理想狀態是雙方都不斷進步——判別器的眼睛越發“雪亮”,生成器的欺騙能力也不斷提高。

  善意和惡意行為者如何使用PassGan

正如其他任何安全創新技術一樣,PassGan也可能會被惡意行為者濫用于攻擊存在密碼重用現象的系統,危害企業和系統安全。當然,密碼重用(Password reuse)對于普通用戶也會造成異常嚴重的危害。因此,為了保護自身免受安全威脅,用戶不能僅寄希望于密碼這一層防護上,還需要啟用多因子身份認證(MFA)。許多網站都已經提供了此項功能,希望大家能夠及時啟用。

當然,對于旨在加強組織安全性的“紅色團隊”而言,PassGAN也可以很好地幫助他們破解本地密碼,例如Windows SAM哈希或linux / etc / shadow密碼哈希等。

如果你是“紅隊”成員,并且對PassGAN工具感興趣,你可以前往https://github.com/brannondorsey/PassGAN尋找有關Brannon Dorsey發布的PassGAN開源實現資源。

在PassGAN實驗中,研究人員探索了不同的神經網絡配置、參數和訓練流程,以確定學習和過度擬合之間的適當平衡。具體來說,研究者的主要貢獻如下:

1. 顯示GAN可以生成高質量的密碼猜測。在實驗中,對于RockYou數據集來說,研究者能夠匹配真實用戶密碼組成的測試集5,919,936個密碼中的2,774,269(46.86%),而匹配LinkedIn數據集43,454,871個密碼中的4,996,980個(11.53%)。

2. 研究顯示,該技術可以與之前最先進的密碼生成規則一較高下。盡管這些規則是針對評估中使用的數據集進行了專門調整的,但是PassGAN的輸出質量與密碼生成規則相當(在HashCat中),或者比密碼生成規則更好(在John Ripper中)。

3. PassGAN可以用來補充密碼生成規則。在實驗中,研究人員成功地使用PassGAN生成了任何密碼規則都未能生成的密碼匹配。

4. 研究人員還指出,表現最好的密碼破解結果來自于PassGAN和HashCat的組合。通過將PassGAN和HashCat的輸出結合起來之后,發現比 HashCat自己匹配的密碼多出18%-24%。

5. 與密碼生成規則相反,PassGAN可以生成幾乎無限數量的密碼猜測。實驗表明,新的(唯一的)密碼猜測數量會隨著GAN產生的密碼總數穩步增加。這一點很重要,因為目前使用規則生成的唯一密碼的數量,最終會受到密碼數據集(用于實例化這些規則)大小的限制。

6. 通過標準的、基于變異的密碼規則集運行PassGAN的輸出,以獲得更大的覆蓋范圍也可能是有用的。

  企業密碼最佳實踐

如果您負責管理企業,那么建議您執行強密碼策略,用passphrase代替passwords。根據維基百科指出,兩者的區別在于Passphrase比普通的passwords更長。



 

近年來,很多專家開始傾向于認為,使用足夠長的Passphrase,可以擺脫以前密碼要求大小寫字母、數字、特殊符號等導致密碼難以記憶的情況。比如,使用“恰似一江春水向東流”首字母組成的密碼不僅十分好記,而且會比Password這種滿足各種要求,卻沒有卵用的密碼更好。

下面就以“*dJoeo30(#JS)3%$”密碼為例進行分析。

從熵的角度來看,這是一個非常好的密碼。因為它包含一切,具備16個字符,有大寫字母、小寫字母、符號和數字。以每個字符都存在95種可能性來計算,那么這組密碼的就有95^16(即95的16次方)種可能,即便是每秒可以猜測1萬億次,可能也需要一萬億年的時間才能猜到。

就密碼強度而言,它確實是個好密碼,但是可惜沒人能記住它。因為我們的大腦很難記住對我們沒有任何意義的隨機字符串。這也正是PassGAN能夠輕易破解如此多密碼的原因所在,因為人類可以很容易記住的密碼(如[email protected]$$word),一定也很容易猜測得出。



 

這就是我們主張使用passphrase的原因所在。我們可以使用具有很多熵的東西,但這樣產生的密碼并不是任意或隨機字符,而是有跡可循且便于記憶的內容。例如“這張專輯很好、天氣很冷”等很容易記住的東西。如果,我們假設攻擊者知道用戶正在使用一個英文單詞的密碼組合,那么以人均20000個詞匯量來計算,我們就有20000^8(20000的8次方)種可能的組合,想要成功破解也非易事。

接下來,您就需要考慮用戶如何在企業中擁有給定的密碼。您是否應該期待前臺人員了解如何創建安全密碼?您是否應該期待企業中的每個人都配置強大的密碼?你給定用戶的密碼是否便于他們記憶,或者他們會不會寫在便簽紙上?這些問題都是值得關注和思考的!

 

(責任編輯:安博濤)

分享到:

更多
發表評論
請自覺遵守互聯網相關的政策法規,嚴禁發布色情、暴力、反動的言論。
評價:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奮斗/fd
  • 疑問/yw
  • 暈/y
  • 偷笑/wx
  • 可愛/ka
  • 傲慢/am
  • 驚恐/jk
用戶名: 驗證碼:點擊我更換圖片
資料下載專區
圖文資訊

最安全的WiFi身份驗證與加密協議來了:WPA3

最安全的WiFi身份驗證與加密協議來了:WPA3

WiFi聯盟正式宣布最新協議,為個人、企業和IoT無線網絡提供新功能。WiFi聯盟的新安全...[詳細]

密碼危機:深度學習正在加速密碼破解!

密碼危機:深度學習正在加速密碼破解!

信息安全專家們一直在探索生成式對抗網絡(GAN)如何提高我們的在線安全性,并取得了令...[詳細]

區塊鏈新用法:控制僵尸網絡

區塊鏈新用法:控制僵尸網絡

區塊鏈技術可被用于創建抗緩解的僵尸網絡基礎設施。 6月19日的特拉維夫BSides大會上,...[詳細]

麻省理工實現人工智能無線信號穿墻識別及追

麻省理工實現人工智能無線信號穿墻識別及追蹤

麻省理工大學(MIT)計算機科學及人工智能實驗室(CSAIL)開發了一款無線姿勢識別系統,能...[詳細]

數據庫防火墻的正確打開方式

數據庫防火墻的正確打開方式

在已經發布的等保2.0標準中,作為實現強制訪問控制的數據庫防御工事,數據庫防火墻已...[詳細]

返回首頁 返回頂部
体彩31选7开奖结果