Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合
※ 引述《haiduc (小火柴)》之銘言:
: ※ 引述《sxy67230 (charlesgg)》之銘言:
: : 阿肥外商碼農阿肥啦!
: : 本身領域研究員,GAN本身在學理上就是生成範式分佈,以PassGAN為例我們期望生成一組
: : 生成密碼的空間分佈來採樣這組密碼,然後判別模型在透過真實洩漏的密碼來判斷是否為
: : 真實用戶設置的密碼,透過這樣就可以判斷用戶慣性規則,算是字典攻擊的進化版,因為
: : 人類設置的密碼是有規則跟習慣性而非亂數的,也是為了方便人類記憶。這就非常適合模
: : 型來做這件事,因為ML/DL真正的強項就是範式學習。
: : 當然,很多人都會說我試三次就擋掉IP就好,但是這只是針對普通人,我早說未來這個時
: : 代的資安問題早就是AI搭配駭客來進行的,只要駭客透過程式跳板切換IP,然後我在用程
: : 式隨機規律去try登入,看你服務端要怎麼承受,了不起你從帳號檔我就把全部帳號組合
: : 都try到不能用直接癱瘓系統,而且搭配passGAN縮小範圍讓程式去測比隨機暴力法有效率
: : ,搞不好有效試到幾十組竊取資料兜售就夠了。
外商碼農大哥您好, 您應該是機器學習組而非資安組的
順便摘要推文:
推 RisingTackle: 建立字典檔的東西還需要AI? 106.105.2.89 04/17 09:46推 LawLawDer: 可以被試登這麼多次的網站多半也是垃 223.136.155.238 04/17 09:47→ Dirgo: 正常密碼不可能給你這樣無限試誤才是真的 118.163.179.141 04/17 09:47推 VVizZ: 3次直接鎖帳做跳板也沒用吧 220.130.142.210 04/17 09:48
小弟不是專業資安人士, 但對於網站這部份的機制有粗淺研究
看到大部份的留言都談到試登跟鎖帳號, 小弟補充說明一下
現在幾乎所有網站都會做流量限制(throttling) 跟真人驗證 (captcha)
所以密碼破譯的重點不是在面對網站的破譯
而是在密碼檔流出後, 怎樣破解密碼
(若針對網站做試誤反而會歸在 DDoS, 因為編碼往往需要高計算強度演算法)
"密碼檔都流出了還需要破解?"
因為密碼檔即便在網站主機中, 還是會編碼儲存
以避免你的密碼直接被別人知道
現今密碼編碼的機制有兩個重點
1. 必須慢 - 編碼的速度慢到讓你暴力破解不實際.
2. 要加鹽 - 根據不同的鹽值, 同一個密碼每次算出來的雜湊值都不同.
比方說你的密碼是 1234,
那我隨機生成 qwe 把他變成 1234qwe 再編碼成 PVE31RC4FV
最後再把 qwe 附上變 PVE31RC4FV.qwe
1. 是針對密碼檔外流的情境下, 讓你的內容無法被有效解譯, 不是針對 "試登"
所以如果你會講到 "試登", 那你其實不懂密碼破譯這個議題.
2. 則是讓建立字典檔不再有用, 每個編碼每次都不同, 你沒辦法有有效的字典檔.
事實上, 你若沒有做到這兩點, 那你有沒有編碼密碼檔結果大概是一樣的
RockYou 這間公司密碼檔洩漏的時候,
就是因為使用相對不安全的 MD5 編碼, 才招致全文解密上網.
現在則是被拿來做 AI 學習用模型, 在 kaggle 上就有, 53MB, 我剛剛才載了一份呢
( 順道一提, 之前 breached.to 有 LINE TAIWAN 數十萬組帳密明文流出
據說其中不乏知名企業與政府單位的 email , 看文章的您不曉得有沒有在裡面呢? )
但這個 PASSGAN 又是在幹嘛?
外商碼農大哥在 PASSGAN 的部份說明得很好
簡單的說就是用真實密碼範本 RockYou 訓練密碼生成模型,
讓你猜密碼的準確度提高, 就是, 提高猜對的機率, 進而減少需要的費時.
既然 RockYou 密碼表會在 kaggle 上, 代表早就有很多人在做這種研究了
這個 PASSGAN 不會是第一個, 所以核心重點應該要放在 PASSGAN 跟過去模型的比較
但原始出處 homesecurityheroes 只有寫在各種組合跟長度時, PASSGAN 預測猜對的時間要嘛他因為結果沒有比較好而不敢比較, 不然就是比較對他們來說不重要
所以我合理猜測是後者 - 這個 PASSGAN 只是個幌子
實際上是想搭 AI 順風車來做病毒行銷的一個案例.
目前類神經網路基礎的 AI 說到底, 你大概可以想成是做出一個人
人不能做到的他大概也做不到, 但他速度快很多, 大小彈性, 也可以自動化
所以看似會比人類強很多, 也會有很多應用情境
但他並沒有本質上摧毀當前的加密機制
關於密碼, 如果真的要擔心, 或許量子電腦會是比較需要煩惱的
真.知識型網紅 Veritasium 最近剛好有一個影片在談這件事, 我節錄其中一段:
https://youtu.be/-UrdExQW0cs?t=1021
他的圖表預測, 根據當前的量子電腦發展的速度,
目前主流的加密演算法可能會在 2030 ~ 2040 年間過時.
所以已經有很多人在尋找 QC-Proof 的加密演算法了.
這才是真.真正新時代真正的資安危機.
想像一下如果對岸早就偷偷發展 QC 到某個程度
然後天天攔截台灣官方軍方自以為萬無一失的加密通訊在嘗試破解..
二戰德軍會輸, Enigma 被破解可說是其中一個主因呢.
: : 這才是真正新時代真正的資安危機,不是啥金管會說chatGPT偷資料這種就是完全沒有sen
: : se的人在講的,也只有台灣官員才會這麼沒sense。
: : 然後2FA、OTP或是亂數生成密碼驗證機制依舊是最好的做法,畢竟駭客不可能物理偷竊你
: : 的手機或是殺掉你製造你的複製人驗證,這種成本過高也沒有效益,所以2FA、OTP還是相
: : 對安全的。
: 最新測試:11 字元純數字密碼 AI 瞬間破解,擁抱無密碼功能才是王道
: 作者 Evan | 發布日期 2023 年 04 月 14 日 8:10 | 分類 AI 人工智慧 , 網路 , 資訊: 安全
: https://reurl.cc/0EGQDK
: 每隔一陣子總會爆出密碼被駭災情,每次災情後就伴隨許多要求密碼頻繁更新並使用強固: 性密碼的呼籲,但最終總會在人性面前敗陣下來。多數使用者雖然不願意被駭,但要頻繁: 更新永遠記不住的強固密碼,也是不可能的任務。
: 某網路安全公司最近測試發現,AI 能不到 1 分就破解大部分常用密碼。隨著 AI 技術不: 斷突破,未來即使再強固的密碼都有可能瞬間破解,到時傳統密碼登錄模式可能因毫無作: 用遭廢用。其實蘋果、Google 及微軟早在去年中就合作開發無密碼機制,可說兩家都洞: 悉人性並預見 AI 會有驚人進展吧。
: AI 破解千萬餘密碼,51% 不到 1 分鐘就破解
: 網路安全公司 Home Security Heroes 最近展開 AI 破解密碼時間的測試。特別使用支援: 生成式對抗網路(Generative Adversarial Network,GAN)架構的 PassGAN 密碼生成器: 產生待破解密碼。用 PassGAN 從社群小工具 RockYou 資料庫取得 1,568 萬個真實常用: 密碼,特別將長度超過 18 個字元、短於 4 個字元的密碼排除。
: 將千萬餘個密碼餵給 AI 系統後,不到 1 分鐘就破解 51% 密碼,接著 1 小時內破解: 65% 密碼,剩下未破解密碼強度更高,破解難度及所耗時間逐漸攀升。測試又花了近一: 天才破解至 71%,一個月後升至 81%。
: 可見目前 AI 破解能力,只要強度夠、複雜度高的密碼大致算安全。從 Home Security: Heroes 官網報告可看出,要能與 AI 抗衡,除了長度夠長,混合大小寫字母及符號就愈: 接近牢不可破。數字和小寫字母組成 10 字元密碼,1 小時內破解機率為 65%,若加上大: 寫字母或特殊符號,破解時間可增至 5 年。
: 18 字元密碼可保安全無虞,安全公司建議至少 15 字元才安全
: 基本上密碼長度只要大於 18 字元,可完全無懼現行 AI。即使純數字 18 字元密碼,AI: 破解也要耗費 10 個月之久,如果再混合大小寫子母及符號,破解時間更達難以想像的: 100 京(Quintillion,10 的 18 次方)年。
: 現行 AI 連 11 字元純數字密碼都可瞬間破解,即使加長到 14 字元也只需 36 分,所以: Home Security Heroes 建議密碼長度起碼要 15 字元(AI 破解約需 5 小時)才夠安全: ,且只要再複雜一點,15 字元皆改成小寫字母,破解時間可拉長到 890 年。Home
: Security Heroes 建議使用者重要密碼最好每隔幾個月就換一次。
: https://reurl.cc/Dm7eZR
: ▲ AI 破解不同長度及複雜度密碼時間表。(Source:Home Security Heroes)
: 多年來,安全專家一再呼籲用戶定期更換密碼,並使用強固式密碼,但成效不彰。對多數: 使用者而言,即使 8 字元密碼都不見得記得住,更別說 15 字元、混合密碼,甚至定期: 更換等不切實際的建議。事實證明,定期更換強固式密碼的建議窒礙難行。或許蘋果、: Google 及微軟早看透這點,才會聯手推動無密碼技術。隨著 AI 技術突飛猛進,AI 破解: 更複雜密碼絕對比人類定期更新高強度密碼更快實現。有鑑於此,擁抱無密碼時代,或許: 才是最貼合人性的可行之道。
: AI Can Now Crack Most Passwords in Less Than a Minute
: ↓
: https://reurl.cc/XLgp5j (英文原文版本)
: (首圖來源:科技新報)
: https://reurl.cc/o06pQg
--
由於它對純粹體質上的耐力以及手指上的輝煌技巧要求太高,在當時的鋼琴家中極少
有人能夠勝任它的演奏。直到二十世紀三零年代鋼琴演奏技巧才發展到了一個相當的高
度﹝它包括了從細微的音色變化到踏板的使用,從手指的極度靈巧到肌肉的永不疲勞等
所有的尖端的技巧﹞,從而造就了一批具備超凡演奏才能的代表人物,如:霍洛維茲
﹝Vladimir Horowitz﹞、英年早逝的赫爾曼﹝Alexander Helman﹞、季雪金﹝Walter
Gieseking﹞,拉赫曼尼諾夫對他演奏這首協奏曲的喜愛超過其他任何人﹞等。
--
謝謝你寫這篇,我推文一堆人看不懂,很冏
>.^ →
LawLawDer: 不對223.136.155.238 04/17 11:03
他們不懂密碼檔是hash過,只用來比對用的
AI只要繞過輸入帳密頁面就行了
這位大哥 我節錄到的您的推文部份其實是正確的, 可以被試登很多次的網站的確很糟糕 所以下次大家要用網站時可以多試幾次看他會不會擋你, 不擋的盡量就不要用
※ 編輯: TKirby (36.226.64.115 臺灣), 04/17/2023 11:05:48秒破解!
要怎麼繞過密碼錯誤次數
你能拿到密碼檔就可以無數次嘗試了,不受
三次限制好嗎
聽起來像AI破解加密的事??
跟我想的一樣 謝謝你幫我說完了
AI是機器人 可以4D繞過去
AI從2015年台灣就開始技術投入 秒解應該的
能輕鬆繞過 都去當自耕農吧 一定很愉快
拿到密碼檔可以無限嘗試?不用跑驗證?
當後端87,繞過網頁?
所以是破解登入後拿到加密的key?
業業老公
推 專業
一堆人還是聽不懂有夠好笑XD
後端紙糊的才能玩到爽,破密碼不如釣魚連
結盜token
一直覺得加鹽這個名詞很奇怪
雖然原文的確就是salt沒錯
錯3次就鎖定帳號,根本無法try
感覺大家都是質疑「你密碼檔怎麼可能取得」 簡單說明一下 密碼大多存在資料庫中, 所以要先侵入網站主機或取得資料庫傾倒 幾種可能的方式: 1. 粗心的網管, 讓資料庫允許對外連線 + 預設帳密 2. 前端有 XSS 漏洞, 導致特定帳號 session secret 外流 攻擊方取得登入權杖後變身成系統管理員 進而進入 phpmyadmin 之類的地方 3. 社交工程: "hi Musk 我是你麻吉啦, 對了那個登入幫我開一下, 我的email 是
[email protected]"
※ 編輯: TKirby (36.226.64.115 臺灣), 04/17/2023 11:19:32什麼叫做拿到密碼檔可以無限嘗試?願
台灣真的需要中文教育一堆人沒有閱讀能力
聞其詳
拿到之後就開始算怎樣的密碼算出來會跟
密碼檔裡加密過的一樣啊 無限嘗試
現在還有哪個網站可以讓你試密碼試到爽
當然不是在網站試 租個aws用GPU暴力算
意思是整個table撈出來嘗試嗎.. 不是
在網頁端嘗試密碼
Adobe前幾年才流出,沒加鹽的
漏洞造成的無法防
可是DB存的都是hash值去頭去尾
沒辦法還原為密碼
現在應該都是用sha256來存密碼
但這樣問題其實是在保管密碼的公司身上,
應該是要求他們確實避免密碼外流才對
拉機網站邏輯
不是編碼是hash,編碼會是1-1的
盜YT之前是直接拿走你的登入狀態去用
技術文給推,漲之事了
所以資安很爛的 密碼用再複雜也沒意義嗎?
拉基論壇都用明碼存密碼
感謝分享
好難 先給推留著看
推一下
推優文
原來如此......
誒誒誒
敢說我們建中台大法優秀學歷的人不懂
推
推科普
15
阿肥外商碼農阿肥啦! 本身領域研究員,GAN本身在學理上就是生成範式分佈,以PassGAN為例我們期望生成一組 生成密碼的空間分佈來採樣這組密碼,然後判別模型在透過真實洩漏的密碼來判斷是否為 真實用戶設置的密碼,透過這樣就可以判斷用戶慣性規則,算是字典攻擊的進化版,因為 人類設置的密碼是有規則跟習慣性而非亂數的,也是為了方便人類記憶。這就非常適合模10
八卦是現在這一套早就被宣告不合時宜 kwGf.w@^$T34Mg 這一串密碼強度夠不夠 夠啊 記不記的住 記個屁 幹 現在最新指導是7
最新測試:11 字元純數字密碼 AI 瞬間破解,擁抱無密碼功能才是王道 作者 Evan | 發布日期 2023 年 04 月 14 日 8:10 | 分類 AI 人工智慧 , 網路 , 資訊 安全 每隔一陣子總會爆出密碼被駭災情,每次災情後就伴隨許多要求密碼頻繁更新並使用強固9
請教個文組問題 所謂密碼破解 例如 AI 想破解我在中國信託網銀的密碼 問題是AI試個三次錯誤 中國信託帳號就把你鎖住不讓你登入了7
原本想繼續改原文, 但主題不太一樣, 我另外開一篇文補完, 順便重貼一下原文底下的補充好了 --------- 我提到密碼破解的重點其實是在取得密碼檔後 感覺大家都是質疑「你密碼檔怎麼可能取得」「能被取得網站一定也很爛」
22
Re: [討論] 無人機視角的戰車進攻壕溝4G安全嗎? 下面這個攻擊告訴你! 另外,基於行動通訊協定的設計,很容易遭受阻斷服務攻擊,細節不說明! : 甚至WIFI的WPA24
[問卦] 為什麼很複雜的加密 還是有人能破解?怎麼樣才能設計出不會被破解的加密?例如二戰德國有密碼機器 很厲害 但是最後還是被破解了 現在也有一堆遊戲破解 所以說為什麼很複雜的加密密碼 都能夠破解 那麼要怎麼做才能不會被破解 變成最厲害的密碼 讓未來的人 沒有辦法猜到密碼登入帳號看東西? --1
[心得] 密碼的故事作者:Mark Frary 心得: 密碼是現代人類對於自身資料保護的一道關卡,透過密碼的保護將外界與資 料切開成為一個安全的空間。而密碼本身在人類歷史前進的過程中便陪伴人 類,有人就有需要保護的資訊,作者透過人類六個時代來分享關於密碼的故- 自己就三個方法 1. 瀏覽器自動儲存密碼 通常都是一些不重要的網站會員密碼才直接儲存 2. 有自己習慣的密碼組合 但這種很常遇上密碼規則問題都要做變化
98
[問卦] 四爺剛剛被某台記者激怒爆
[問卦] 笑死 邰智源這麼嗆喔88
[問卦] 你最希望那款遊戲可以Remake?56
[問卦] 有人發現中國團隊運動都超爛!70
[問卦] 這晚餐210元你可以嗎?☺61
[問卦] 台灣複姓還真的都是姓疊加 有很帥的嗎42
[問卦] 民視一直報導棒球冠軍44
[問卦] 找一部保鑣跟女主談戀愛的電影?38
[問卦] 中華隊也能有酷酷的外號了嗎?40
[問卦] 找一部當兵一直重來的片75
[問卦] 幹你娘為什麼雲端發票又沒中???78
[問卦] 日本s級投手這麼多 昨天怎不早換?爆
[問卦] 雲端中獎號碼36
[問卦] 李連杰從影多年的醜聞只有利智嗎?27
[問卦] 這次接機LIVE怎麼亂七八糟?90
[爆卦] 中華男籃 64 : 81 紐西蘭24
[問卦] 台男173還算半殘嗎?25
[問卦] 財政部今天會有人中發票嗎?17
[問卦] 棒球板是政黑二板嗎?16
[問卦] 澤倫斯基越來越像蔣介石了?19
[問卦] 那群穿黃色衣服的是誰? 補圖58
[問卦] 有台女在北車開放做愛19
Re: [新聞] 任命拍馬屁的洪申翰接部長 媒體人解讀賴26
[問卦] 為何很多人不推薦買D-Link的路由器?19
[問卦] 日本網友:他們已有赴死的準備13
[問卦] 現在一個人在家,要幹嘛= =...?19
[問卦] 台灣有王建民真的很幸福吧10
[問卦] 我相信ptt結果變成是白癡小丑12
[問卦] 這次棒球要洗板多久啊?11
[問卦] 刺青很普遍為什麼還要特別放大