AI 开始抢黑客饭碗?攻击快又准,不到一分钟破解超过半数的密码
在当今的网络环境中,密码已经远称不上是最好的安全防范措施。密码难以创建和管理,也很容易遭到破解。毕竟大多数密码都遵循着可预测的模式和 / 或用到了黑客已经掌握的常用词组合。
Tech.co 报道称,密码管理公司 NordPas 通过整理发现,普通用户的全部在线账户至少要用到 100 个密码。因为大多数人根本记不住 100 种各不相同的密码,所以要么会使用强度过低的密码内容、要么在所有账户间重复使用某些跟自己有关的字符组合。而这两种方法,都抵挡不住黑客和其他线上恶意攻击者的窥探。
如今,更大的威胁已经出现,这就是人工智能。AI 的兴起占据着各种媒体的头版头条,人们开始争论这一技术突破可能在艺术、健康、教育等各个领域掀起的滔天巨浪。而事实证明,AI 对于在线安全也将产生严重影响。
根据网络安全公司 HomeSecurityHeroes 发布的报告,名为 PassGAN 的 AI 密码破解工具能在一分钟之内破解掉 51% 的常用密码组合,一小时内破解掉 65%,一天之内破解 71%,一个月之内破解 81%。
该公司使用这款工具分析了 Rockyou 泄露密码数据集内的超 1500 个凭证,进一步探究了决定密码强弱的原因所在。根据这项研究,PassGAN 平均只需要不到 6 分钟时间就能破解任何少于 8 个字符的密码,无论是否包含符号。
更长的数字密码倒是安全性更高,PassGAN 至少需要 10 个月才能攻破 18 位以上纯数字密码的大门。如果能再加入符号、数字、小写字母和大写字母组合,PassGAN 则要花 6 亿亿年才能将其破解。
当然了,这里的重点是提醒大家一定要为账户选择“无法破解”的密码。但从长远来看,暂时的安全未必就是永远的安全。以 PassGAN 为代表的 AI 密码破解器将为黑客和攻击者带来前所未有的行动能力,未来整个安全世界恐怕都将因此而天翻地覆。
在传统的密码破解过程中,黑客会将单词列表跟已经泄露或者常用的密码数据库进行比对,再根据这些密码的变体尝试猜测其他可能的密码内容。
AI 密码破解器能够自主完成这个操作过程,以远超人类黑客的速度达成目标。
PassGAN 使用的机器学习算法就能快速“从实际泄露的密码中学习真实密码的分布”。例如,假设泄露的数据库内出现了“password”这类密码内容,AI 破解工具就能据此猜测出“Passw0rd”或者“p@assw0rd”等组合,尝试用它登录其他账户。
AI 还会边做边学,随着生成的预测越来越多,其准确率也会一路上升。
虽然现状令人担忧,但可以看到 AI 密码破解器必须先能访问到泄露的密码,之后才能开始探寻其中规律。也就是说,只要大家采取措施保护自己的在线账户免遭入侵或泄露,那就问题不大。
首先,确保密码能抵御 AI 攻击的一种方法,就是至少使用 15 个字符,而且混合用上大小写字母、数字和符号。我们很难为每个账户都想出这么复杂的密码内容,所以这里建议大家使用自动生成密码。没错,就是各位都听说过的密码管理器——它能为账户生成强密码,而后保存并在下次登录时自动填写。
第二,确保不会在多个账户之间重复使用密码。重复使用的密码极易泄露,因为一旦某个账户被破解,黑客就能立即访问所有其他账户。另外,如果您担心自己记不住太复杂的特殊字符串,那密码管理器就是最好的选项。它还能通过 Safari 等浏览器发布密码重复使用和已泄露警报,提醒用户随时进行调整和修改。
第三,定期更新密码内容。安全软件开发商 McAfee 的建议是第三个月更换一次。如果有任何账户受到数据泄露影响,则应立即做密码更新。
第四,通过双因素或多因素身份验证添加额外的安全层。但请注意,别太信任短信验证码——这种机制极易受到攻击。最后,尽量别使用公共 Wi-Fi,特别是别在这类开放网络环境下使用银行应用。
虽然以上建议都不足以完全保证在线账户远离安全威胁,但无论面对的是人类恶意黑客还是 AI 工具,这些良好的安全习惯都能有效降低我们受到攻击影响的概率。
原文链接:
slashgear.com/1268247/heres-how-quickly-ai-can-crack-your-passwords-according-to-new-study/
声明:本文为 InfoQ 翻译,未经许可禁止转载。
点击底部阅读原文访问 InfoQ 官网,获取更多精彩内容!
谷歌、OpenAI 都白干,开源才是终极赢家!谷歌内部文件泄露:欲借开源打败 OpenAI
微信扫码关注该文公众号作者