AI 开始抢黑客饭碗？攻击快又准，不到一分钟破解超过半数的密码

在当今的网络环境中，密码已经远称不上是最好的安全防范措施。密码难以创建和管理，也很容易遭到破解。毕竟大多数密码都遵循着可预测的模式和 / 或用到了黑客已经掌握的常用词组合。

Tech.co 报道称，密码管理公司 NordPas 通过整理发现，普通用户的全部在线账户至少要用到 100 个密码。因为大多数人根本记不住 100 种各不相同的密码，所以要么会使用强度过低的密码内容、要么在所有账户间重复使用某些跟自己有关的字符组合。而这两种方法，都抵挡不住黑客和其他线上恶意攻击者的窥探。

如今，更大的威胁已经出现，这就是人工智能。AI 的兴起占据着各种媒体的头版头条，人们开始争论这一技术突破可能在艺术、健康、教育等各个领域掀起的滔天巨浪。而事实证明，AI 对于在线安全也将产生严重影响。

根据网络安全公司 HomeSecurityHeroes 发布的报告，名为 PassGAN 的 AI 密码破解工具能在一分钟之内破解掉 51% 的常用密码组合，一小时内破解掉 65%，一天之内破解 71%，一个月之内破解 81%。

该公司使用这款工具分析了 Rockyou 泄露密码数据集内的超 1500 个凭证，进一步探究了决定密码强弱的原因所在。根据这项研究，PassGAN 平均只需要不到 6 分钟时间就能破解任何少于 8 个字符的密码，无论是否包含符号。

更长的数字密码倒是安全性更高，PassGAN 至少需要 10 个月才能攻破 18 位以上纯数字密码的大门。如果能再加入符号、数字、小写字母和大写字母组合，PassGAN 则要花 6 亿亿年才能将其破解。

当然了，这里的重点是提醒大家一定要为账户选择“无法破解”的密码。但从长远来看，暂时的安全未必就是永远的安全。以 PassGAN 为代表的 AI 密码破解器将为黑客和攻击者带来前所未有的行动能力，未来整个安全世界恐怕都将因此而天翻地覆。

在传统的密码破解过程中，黑客会将单词列表跟已经泄露或者常用的密码数据库进行比对，再根据这些密码的变体尝试猜测其他可能的密码内容。

AI 密码破解器能够自主完成这个操作过程，以远超人类黑客的速度达成目标。

PassGAN 使用的机器学习算法就能快速“从实际泄露的密码中学习真实密码的分布”。例如，假设泄露的数据库内出现了“password”这类密码内容，AI 破解工具就能据此猜测出“Passw0rd”或者“p@assw0rd”等组合，尝试用它登录其他账户。

AI 还会边做边学，随着生成的预测越来越多，其准确率也会一路上升。

虽然现状令人担忧，但可以看到 AI 密码破解器必须先能访问到泄露的密码，之后才能开始探寻其中规律。也就是说，只要大家采取措施保护自己的在线账户免遭入侵或泄露，那就问题不大。

首先，确保密码能抵御 AI 攻击的一种方法，就是至少使用 15 个字符，而且混合用上大小写字母、数字和符号。我们很难为每个账户都想出这么复杂的密码内容，所以这里建议大家使用自动生成密码。没错，就是各位都听说过的密码管理器——它能为账户生成强密码，而后保存并在下次登录时自动填写。

第二，确保不会在多个账户之间重复使用密码。重复使用的密码极易泄露，因为一旦某个账户被破解，黑客就能立即访问所有其他账户。另外，如果您担心自己记不住太复杂的特殊字符串，那密码管理器就是最好的选项。它还能通过 Safari 等浏览器发布密码重复使用和已泄露警报，提醒用户随时进行调整和修改。

第三，定期更新密码内容。安全软件开发商 McAfee 的建议是第三个月更换一次。如果有任何账户受到数据泄露影响，则应立即做密码更新。

第四，通过双因素或多因素身份验证添加额外的安全层。但请注意，别太信任短信验证码——这种机制极易受到攻击。最后，尽量别使用公共 Wi-Fi，特别是别在这类开放网络环境下使用银行应用。

虽然以上建议都不足以完全保证在线账户远离安全威胁，但无论面对的是人类恶意黑客还是 AI 工具，这些良好的安全习惯都能有效降低我们受到攻击影响的概率。

原文链接：

slashgear.com/1268247/heres-how-quickly-ai-can-crack-your-passwords-according-to-new-study/

声明：本文为 InfoQ 翻译，未经许可禁止转载。

点击底部阅读原文访问 InfoQ 官网，获取更多精彩内容！