Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合
※ 引述《sxy67230 (charlesgg)》之銘言:
: ※ 引述《dosiris (希望大家開心)》之銘言:
: : 1.媒體來源:
: : 自由
: : 2.記者署名:
: : 劉惠琴
: : 3.完整新聞標題:
: : AI 新技術「秒破解」750萬組常用密碼組合!5招學會設立安全密碼強度
: : 4.完整新聞內文:
: 阿肥外商碼農阿肥啦!
: 本身領域研究員,GAN本身在學理上就是生成範式分佈,以PassGAN為例我們期望生成一組: 生成密碼的空間分佈來採樣這組密碼,然後判別模型在透過真實洩漏的密碼來判斷是否為: 真實用戶設置的密碼,透過這樣就可以判斷用戶慣性規則,算是字典攻擊的進化版,因為: 人類設置的密碼是有規則跟習慣性而非亂數的,也是為了方便人類記憶。這就非常適合模: 型來做這件事,因為ML/DL真正的強項就是範式學習。
: 當然,很多人都會說我試三次就擋掉IP就好,但是這只是針對普通人,我早說未來這個時: 代的資安問題早就是AI搭配駭客來進行的,只要駭客透過程式跳板切換IP,然後我在用程: 式隨機規律去try登入,看你服務端要怎麼承受,了不起你從帳號檔我就把全部帳號組合: 都try到不能用直接癱瘓系統,而且搭配passGAN縮小範圍讓程式去測比隨機暴力法有效率: ,搞不好有效試到幾十組竊取資料兜售就夠了。
: 這才是真正新時代真正的資安危機,不是啥金管會說chatGPT偷資料這種就是完全沒有sen: se的人在講的,也只有台灣官員才會這麼沒sense。
: 然後2FA、OTP或是亂數生成密碼驗證機制依舊是最好的做法,畢竟駭客不可能物理偷竊你: 的手機或是殺掉你製造你的複製人驗證,這種成本過高也沒有效益,所以2FA、OTP還是相: 對安全的。
最新測試:11 字元純數字密碼 AI 瞬間破解,擁抱無密碼功能才是王道
作者 Evan | 發布日期 2023 年 04 月 14 日 8:10 | 分類 AI 人工智慧 , 網路 , 資訊安全
每隔一陣子總會爆出密碼被駭災情,每次災情後就伴隨許多要求密碼頻繁更新並使用強固
性密碼的呼籲,但最終總會在人性面前敗陣下來。多數使用者雖然不願意被駭,但要頻繁
更新永遠記不住的強固密碼,也是不可能的任務。
某網路安全公司最近測試發現,AI 能不到 1 分就破解大部分常用密碼。隨著 AI 技術不
斷突破,未來即使再強固的密碼都有可能瞬間破解,到時傳統密碼登錄模式可能因毫無作
用遭廢用。其實蘋果、Google 及微軟早在去年中就合作開發無密碼機制,可說兩家都洞
悉人性並預見 AI 會有驚人進展吧。
AI 破解千萬餘密碼,51% 不到 1 分鐘就破解
網路安全公司 Home Security Heroes 最近展開 AI 破解密碼時間的測試。特別使用支援
生成式對抗網路(Generative Adversarial Network,GAN)架構的 PassGAN 密碼生成器
產生待破解密碼。用 PassGAN 從社群小工具 RockYou 資料庫取得 1,568 萬個真實常用
密碼,特別將長度超過 18 個字元、短於 4 個字元的密碼排除。
將千萬餘個密碼餵給 AI 系統後,不到 1 分鐘就破解 51% 密碼,接著 1 小時內破解
65% 密碼,剩下未破解密碼強度更高,破解難度及所耗時間逐漸攀升。測試又花了近一
天才破解至 71%,一個月後升至 81%。
可見目前 AI 破解能力,只要強度夠、複雜度高的密碼大致算安全。從 Home Security
Heroes 官網報告可看出,要能與 AI 抗衡,除了長度夠長,混合大小寫字母及符號就愈
接近牢不可破。數字和小寫字母組成 10 字元密碼,1 小時內破解機率為 65%,若加上大
寫字母或特殊符號,破解時間可增至 5 年。
18 字元密碼可保安全無虞,安全公司建議至少 15 字元才安全
基本上密碼長度只要大於 18 字元,可完全無懼現行 AI。即使純數字 18 字元密碼,AI
破解也要耗費 10 個月之久,如果再混合大小寫子母及符號,破解時間更達難以想像的
100 京(Quintillion,10 的 18 次方)年。
現行 AI 連 11 字元純數字密碼都可瞬間破解,即使加長到 14 字元也只需 36 分,所以
Home Security Heroes 建議密碼長度起碼要 15 字元(AI 破解約需 5 小時)才夠安全
,且只要再複雜一點,15 字元皆改成小寫字母,破解時間可拉長到 890 年。Home
Security Heroes 建議使用者重要密碼最好每隔幾個月就換一次。
https://reurl.cc/Dm7eZR
▲ AI 破解不同長度及複雜度密碼時間表。(Source:Home Security Heroes)
多年來,安全專家一再呼籲用戶定期更換密碼,並使用強固式密碼,但成效不彰。對多數
使用者而言,即使 8 字元密碼都不見得記得住,更別說 15 字元、混合密碼,甚至定期
更換等不切實際的建議。事實證明,定期更換強固式密碼的建議窒礙難行。或許蘋果、
Google 及微軟早看透這點,才會聯手推動無密碼技術。隨著 AI 技術突飛猛進,AI 破解
更複雜密碼絕對比人類定期更新高強度密碼更快實現。有鑑於此,擁抱無密碼時代,或許
才是最貼合人性的可行之道。
AI Can Now Crack Most Passwords in Less Than a Minute
↓
https://reurl.cc/XLgp5j (英文原文版本)
(首圖來源:科技新報)
心得感想:
暴力破解密碼看起來沒有什麼,
但是密碼都是純數字,破解純數字密碼很快,
只要用程式去跑,純數字密碼很快就可以破解出來,
時間長短的問題而已,
電腦速度愈來愈快,再加上有AI破解,純數字密碼感覺形同虛設。
--
建立字典檔的東西還需要AI?
可以被試登這麼多次的網站多半也是垃
圾網站 沒差吧
正常密碼不可能給你這樣無限試誤才是真的
AI能破2FA嗎?
3次直接鎖帳做跳板也沒用吧
但比較可能被報復性攻擊全部洗過
然後真正的使用者一直去抗議 公司煩死倒閉
好的生日數字重複5次輸入
之前不是有人才說大小寫沒用嗎
幹勒哪個低能要增加密碼長度的
每三個月強制換密碼真的超智障
每次打密碼都要開記事本看一下
暴力破解 嚴謹的網站通常3次就鎖帳號了吧
直接鎖網路位址呢?有些外租的伺服器好
像就這樣做,我被鎖過,還是管理員處理
後才能從我的電腦再次登入
E04SU3SU;6 AI有種來破解我的密碼
暴力破解有啥好報導的??
這跟AI有什麼關係@@?
15
阿肥外商碼農阿肥啦! 本身領域研究員,GAN本身在學理上就是生成範式分佈,以PassGAN為例我們期望生成一組 生成密碼的空間分佈來採樣這組密碼,然後判別模型在透過真實洩漏的密碼來判斷是否為 真實用戶設置的密碼,透過這樣就可以判斷用戶慣性規則,算是字典攻擊的進化版,因為 人類設置的密碼是有規則跟習慣性而非亂數的,也是為了方便人類記憶。這就非常適合模10
八卦是現在這一套早就被宣告不合時宜 kwGf.w@^$T34Mg 這一串密碼強度夠不夠 夠啊 記不記的住 記個屁 幹 現在最新指導是9
請教個文組問題 所謂密碼破解 例如 AI 想破解我在中國信託網銀的密碼 問題是AI試個三次錯誤 中國信託帳號就把你鎖住不讓你登入了28
外商碼農大哥您好, 您應該是機器學習組而非資安組的 順便摘要推文: 推 RisingTackle: 建立字典檔的東西還需要AI? 106.105.2.89 04/17 09:46 推 LawLawDer: 可以被試登這麼多次的網站多半也是垃 223.136.155.238 04/17 09:47 → Dirgo: 正常密碼不可能給你這樣無限試誤才是真的 118.163.179.141 04/17 09:477
原本想繼續改原文, 但主題不太一樣, 我另外開一篇文補完, 順便重貼一下原文底下的補充好了 --------- 我提到密碼破解的重點其實是在取得密碼檔後 感覺大家都是質疑「你密碼檔怎麼可能取得」「能被取得網站一定也很爛」
爆
[問卦] 護理師朋友離職了! 後面還一堆等著走97
[問卦] 為什麼感覺統神瞬間白回來了?95
Re: [新聞] 卓榮泰:天災來時 地方要自己面對67
Re: [新聞] 影/財劃法三讀 黃文益批無視高雄福祉66
[問卦] 蹦闆贏了面子 輸了裡子62
[問卦] 張惠妹演唱會熱度不如周杰倫?78
[爆卦] 蹦闆道歉了37
[問卦] 財劃法會不會對育兒政策有影響50
[問卦] 請問統粉,統神的魅力到底在哪85
[問卦] 蹦蛙的女員工被打傷了?47
[問卦] 中共打來是誰要去面對?41
[問卦] 拳上3的對戰組合?41
[問卦] F18被擊落65
[問卦] 李育昇看統神拿18oz自己都不會臉紅嗎33
[問卦] 林襄是走錯哪一步?33
[問卦] 統神女粉484很多又很暈?33
[問卦] 高鐵的查票機制到底是多爛29
[問卦] 以後高雄淹水 要自己面對嗎18
[問卦] 蹦闆:打人就是不對,有打的都備案,卦?19
Re: [新聞] 財劃法修惡 衝擊國防經費最鉅68
[爆卦] 蹦闆小弟:各位網軍辛苦了23
[問卦] 最強羽絨衣是哪牌?30
Re: [問卦] 桃園中壢是一個怎麼樣的地方?19
[問卦] 好冷喔可以在家燒木炭嗎?20
[問卦] 台灣大法官有不能做到的事情嗎?19
[問卦] 所以另外那46.21%花蓮人是塑膠就對了?17
[問卦] 覺得人生沒意義,正常嗎= =...?5
[問卦] 黃明志經紀人:統神被揍是應該的11
[問卦] 路跑這種白癡活動誰發明的15
[問卦] 昨天是不是破除了8+9的刻板印象