PTT推薦

Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合

看板Gossiping標題Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合作者
haiduc
(小火柴)
時間推噓 7 推:8 噓:1 →:11

※ 引述《sxy67230 (charlesgg)》之銘言:
: ※ 引述《dosiris (希望大家開心)》之銘言:
: : 1.媒體來源:
: : 自由
: : 2.記者署名:
: : 劉惠琴
: : 3.完整新聞標題:
: : AI 新技術「秒破解」750萬組常用密碼組合!5招學會設立安全密碼強度
: : 4.完整新聞內文:
: 阿肥外商碼農阿肥啦!
: 本身領域研究員,GAN本身在學理上就是生成範式分佈,以PassGAN為例我們期望生成一組: 生成密碼的空間分佈來採樣這組密碼,然後判別模型在透過真實洩漏的密碼來判斷是否為: 真實用戶設置的密碼,透過這樣就可以判斷用戶慣性規則,算是字典攻擊的進化版,因為: 人類設置的密碼是有規則跟習慣性而非亂數的,也是為了方便人類記憶。這就非常適合模: 型來做這件事,因為ML/DL真正的強項就是範式學習。
: 當然,很多人都會說我試三次就擋掉IP就好,但是這只是針對普通人,我早說未來這個時: 代的資安問題早就是AI搭配駭客來進行的,只要駭客透過程式跳板切換IP,然後我在用程: 式隨機規律去try登入,看你服務端要怎麼承受,了不起你從帳號檔我就把全部帳號組合: 都try到不能用直接癱瘓系統,而且搭配passGAN縮小範圍讓程式去測比隨機暴力法有效率: ,搞不好有效試到幾十組竊取資料兜售就夠了。
: 這才是真正新時代真正的資安危機,不是啥金管會說chatGPT偷資料這種就是完全沒有sen: se的人在講的,也只有台灣官員才會這麼沒sense。
: 然後2FA、OTP或是亂數生成密碼驗證機制依舊是最好的做法,畢竟駭客不可能物理偷竊你: 的手機或是殺掉你製造你的複製人驗證,這種成本過高也沒有效益,所以2FA、OTP還是相: 對安全的。


最新測試:11 字元純數字密碼 AI 瞬間破解,擁抱無密碼功能才是王道

作者 Evan | 發布日期 2023 年 04 月 14 日 8:10 | 分類 AI 人工智慧 , 網路 , 資訊安全

https://reurl.cc/0EGQDK


每隔一陣子總會爆出密碼被駭災情,每次災情後就伴隨許多要求密碼頻繁更新並使用強固

性密碼的呼籲,但最終總會在人性面前敗陣下來。多數使用者雖然不願意被駭,但要頻繁

更新永遠記不住的強固密碼,也是不可能的任務。

某網路安全公司最近測試發現,AI 能不到 1 分就破解大部分常用密碼。隨著 AI 技術不

斷突破,未來即使再強固的密碼都有可能瞬間破解,到時傳統密碼登錄模式可能因毫無作

用遭廢用。其實蘋果、Google 及微軟早在去年中就合作開發無密碼機制,可說兩家都洞

悉人性並預見 AI 會有驚人進展吧。

AI 破解千萬餘密碼,51% 不到 1 分鐘就破解

網路安全公司 Home Security Heroes 最近展開 AI 破解密碼時間的測試。特別使用支援

生成式對抗網路(Generative Adversarial Network,GAN)架構的 PassGAN 密碼生成器

產生待破解密碼。用 PassGAN 從社群小工具 RockYou 資料庫取得 1,568 萬個真實常用

密碼,特別將長度超過 18 個字元、短於 4 個字元的密碼排除。

將千萬餘個密碼餵給 AI 系統後,不到 1 分鐘就破解 51% 密碼,接著 1 小時內破解

65% 密碼,剩下未破解密碼強度更高,破解難度及所耗時間逐漸攀升。測試又花了近一

天才破解至 71%,一個月後升至 81%。

可見目前 AI 破解能力,只要強度夠、複雜度高的密碼大致算安全。從 Home Security

Heroes 官網報告可看出,要能與 AI 抗衡,除了長度夠長,混合大小寫字母及符號就愈

接近牢不可破。數字和小寫字母組成 10 字元密碼,1 小時內破解機率為 65%,若加上大

寫字母或特殊符號,破解時間可增至 5 年。

18 字元密碼可保安全無虞,安全公司建議至少 15 字元才安全

基本上密碼長度只要大於 18 字元,可完全無懼現行 AI。即使純數字 18 字元密碼,AI

破解也要耗費 10 個月之久,如果再混合大小寫子母及符號,破解時間更達難以想像的

100 京(Quintillion,10 的 18 次方)年。

現行 AI 連 11 字元純數字密碼都可瞬間破解,即使加長到 14 字元也只需 36 分,所以

Home Security Heroes 建議密碼長度起碼要 15 字元(AI 破解約需 5 小時)才夠安全

,且只要再複雜一點,15 字元皆改成小寫字母,破解時間可拉長到 890 年。Home

Security Heroes 建議使用者重要密碼最好每隔幾個月就換一次。

https://reurl.cc/Dm7eZR
▲ AI 破解不同長度及複雜度密碼時間表。(Source:Home Security Heroes)

多年來,安全專家一再呼籲用戶定期更換密碼,並使用強固式密碼,但成效不彰。對多數

使用者而言,即使 8 字元密碼都不見得記得住,更別說 15 字元、混合密碼,甚至定期

更換等不切實際的建議。事實證明,定期更換強固式密碼的建議窒礙難行。或許蘋果、

Google 及微軟早看透這點,才會聯手推動無密碼技術。隨著 AI 技術突飛猛進,AI 破解

更複雜密碼絕對比人類定期更新高強度密碼更快實現。有鑑於此,擁抱無密碼時代,或許

才是最貼合人性的可行之道。

AI Can Now Crack Most Passwords in Less Than a Minute

https://reurl.cc/XLgp5j (英文原文版本)

(首圖來源:科技新報)

https://reurl.cc/o06pQg



心得感想:

暴力破解密碼看起來沒有什麼,

但是密碼都是純數字,破解純數字密碼很快,

只要用程式去跑,純數字密碼很快就可以破解出來,

時間長短的問題而已,

電腦速度愈來愈快,再加上有AI破解,純數字密碼感覺形同虛設。



--

※ PTT留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.160.0.242 (臺灣)
PTT 網址

RisingTackle 04/17 09:46建立字典檔的東西還需要AI?

LawLawDer 04/17 09:47可以被試登這麼多次的網站多半也是垃

LawLawDer 04/17 09:47圾網站 沒差吧

Dirgo 04/17 09:47正常密碼不可能給你這樣無限試誤才是真的

RisingTackle 04/17 09:47AI能破2FA嗎?

VVizZ 04/17 09:483次直接鎖帳做跳板也沒用吧

VVizZ 04/17 09:48但比較可能被報復性攻擊全部洗過

VVizZ 04/17 09:48然後真正的使用者一直去抗議 公司煩死倒閉

gxlin 04/17 09:49好的生日數字重複5次輸入

hoos891405 04/17 10:02之前不是有人才說大小寫沒用嗎

ChungLi5566 04/17 10:07幹勒哪個低能要增加密碼長度的

ihfreud 04/17 10:07每三個月強制換密碼真的超智障

ChungLi5566 04/17 10:08每次打密碼都要開記事本看一下

ronga 04/17 10:20暴力破解 嚴謹的網站通常3次就鎖帳號了吧

isu0911 04/17 10:50直接鎖網路位址呢?有些外租的伺服器好

isu0911 04/17 10:50像就這樣做,我被鎖過,還是管理員處理

isu0911 04/17 10:50後才能從我的電腦再次登入

mikeneko 04/17 11:06E04SU3SU;6 AI有種來破解我的密碼

mecca 04/17 11:08暴力破解有啥好報導的??

※ 編輯: haiduc (1.160.0.242 臺灣), 04/17/2023 11:59:39

aowen 04/18 09:05這跟AI有什麼關係@@?