PTT推薦

Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合

看板Gossiping標題Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合作者
sxy67230
(charlesgg)
時間推噓15 推:16 噓:1 →:15

※ 引述《dosiris (希望大家開心)》之銘言:
: 1.媒體來源:
: 自由
: 2.記者署名:
: 劉惠琴
: 3.完整新聞標題:
: AI 新技術「秒破解」750萬組常用密碼組合!5招學會設立安全密碼強度
: 4.完整新聞內文:

阿肥外商碼農阿肥啦!

本身領域研究員,GAN本身在學理上就是生成範式分佈,以PassGAN為例我們期望生成一組生成密碼的空間分佈來採樣這組密碼,然後判別模型在透過真實洩漏的密碼來判斷是否為真實用戶設置的密碼,透過這樣就可以判斷用戶慣性規則,算是字典攻擊的進化版,因為人類設置的密碼是有規則跟習慣性而非亂數的,也是為了方便人類記憶。這就非常適合模型來做這件事,因為ML/DL真正的強項就是範式學習。

當然,很多人都會說我試三次就擋掉IP就好,但是這只是針對普通人,我早說未來這個時代的資安問題早就是AI搭配駭客來進行的,只要駭客透過程式跳板切換IP,然後我在用程式隨機規律去try登入,看你服務端要怎麼承受,了不起你從帳號檔我就把全部帳號組合都try到不能用直接癱瘓系統,而且搭配passGAN縮小範圍讓程式去測比隨機暴力法有效率,搞不好有效試到幾十組竊取資料兜售就夠了。

這才是真正新時代真正的資安危機,不是啥金管會說chatGPT偷資料這種就是完全沒有sense的人在講的,也只有台灣官員才會這麼沒sense。

然後2FA、OTP或是亂數生成密碼驗證機制依舊是最好的做法,畢竟駭客不可能物理偷竊你的手機或是殺掉你製造你的複製人驗證,這種成本過高也沒有效益,所以2FA、OTP還是相對安全的。


--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.12.44.245 (臺灣)
PTT 網址

mnxzq 04/10 13:28OTP

oncemore 04/10 13:29OTP

更正啦!one time password

※ 編輯: sxy67230 (101.12.44.245 臺灣), 04/10/2023 13:29:41

ruokcnn 04/10 13:30好奇passGAN架構 沒有label要怎麼模仿人

ruokcnn 04/10 13:30類密碼? Generator先做監督式再拿去做

ruokcnn 04/10 13:30GAN嗎?

Makeinu 04/10 13:30一堆網站沒做webauthn,害我不能用

chigo520 04/10 13:30所以密碼到底要怎麼設

Makeinu 04/10 13:30yubikey和手機指紋驗證

kqalea 04/10 13:31完全同意,一階段是絕對不夠的

kqalea 04/10 13:33鍵盤本身就是就是patten,字典類攻擊

kqalea 04/10 13:35甚至靠xgboost做分類就夠準了

ASEVE 04/10 13:38同意,所以重要的都有設兩段式驗證

tonyian 04/10 13:382FA也要看吧,像是銀行同時寄email/簡訊

tonyian 04/10 13:38,根本跟送答案沒啥兩樣

leolarrel 04/10 13:41所以人類設置的密碼是無慣性且無規則的

leolarrel 04/10 13:41破解時間就大大拉長了

Marty 04/10 13:45銀行同時寄 那是銀行在耍白癡而已..

Marty 04/10 13:46我知道你不是在偷臭永豐..

metcc80211 04/10 13:46真的是突破騎兵庫了

donation12 04/10 14:02其實人身上很多獨有特徵可以做密碼

DREE 04/10 14:08現在三次密碼錯誤 帳號不能試要重認證

AISC 04/10 14:22那以前橘子晶片卡也有人被盜?

b90022790 04/10 14:56不知道有沒有PassDiffusion

vvrr 04/10 15:04如果要癱瘓的話,那跟DDOS之類差在哪…

jecint1707 04/10 15:06癱瘓就不能登入了耶 那破解密碼何用?

bitcch 04/10 15:28這東西根本不用什麼GAN 就密碼心理學

bitcch 04/10 15:28生日單字鍵盤符號什麼排列組合就一大堆了

rey123123 04/10 15:48你能癱瘓那叫DDOS,大哥。還這領域的哩

我一直很清楚啊!面對限制嘗試次數最簡單就是用大量密碼嘗試攻擊用時間換取用戶帳號 密碼,而且搭配passGAN一定有機會拿到幾組可用帳號,還有密碼嘗試攻擊可以設置間隔 、來源跟次數偽裝成真實使用者,不完全是DDOS,最壞狀況就是你全部都試過沒拿到任何 密碼但是可以癱瘓所有用戶帳號,你在細品深思一下吧。

catteamiren 04/10 15:50所以數位發展部要開秀了嗎?

JackTheRippe 04/10 16:02說個笑話 天才IT大臣

rhox 04/10 16:44笑死,全國人民資訊都已經上網了,還談資安

※ 編輯: sxy67230 (101.12.44.245 臺灣), 04/10/2023 17:35:55

appleball200 04/10 19:39