Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合
原本想繼續改原文, 但主題不太一樣,
我另外開一篇文補完, 順便重貼一下原文底下的補充好了
---------
我提到密碼破解的重點其實是在取得密碼檔後
感覺大家都是質疑「你密碼檔怎麼可能取得」「能被取得網站一定也很爛」
先簡單說明一下
密碼大多存在資料庫中, 所以要先侵入網站主機或取得資料庫傾倒
幾種可能的方式:
1. 粗心的網管, 讓資料庫允許對外連線 + 預設帳密
2. 前端有 XSS 漏洞, 導致特定帳號 session secret 外流
攻擊方取得登入權杖後變身成系統管理員
進而進入 phpmyadmin 之類的地方
3. 社交工程:
"hi Musk 我是你麻吉啦, 對了那個登入幫我開一下,
我的email 是 [email protected]"
嚴格說起來, 比起直接暴力猜你的密碼, 聽起來的確相對不容易發生
但事實上各位想想看你用過多少網站
不是每個網站的工程師薪水都夠高
甚至 twitter 都曾經發生過意外把密碼明文存進 log 中的事件
Google 也有 Hall of Fame 來招安白帽, 上面的感謝名單可也是不少呢.
如果你都用同一組密碼, 那根據木桶定理
你的密碼的安全性取決於你用過的所有網站中, 最不安全的一個.
又或者像 Wordpress 這種開源,普及又充滿外掛的東西
想辦法鑽到一次漏洞, 能帶來的收益是相當可觀的
所以很多人是不惜代價在試
我自己的網站翻 access.log 每天都可以看到有人來掃
很多都是針對像 wordpress 這類知名框架的弱點在試的.
這大大提高了這類網站被擊落的機會.
最後, 現代軟體幾乎都是基於開源套件建立的
這無關你技術厲不厲害, 因為從無到有建起所有東西, 沒有人辦得到
就算你辦得到, 你也無法維護.
但很多深層相依套件, 你其實不知道有沒有問題, 甚至不知道未來會不會有問題
這種事發生過好幾次了, 比方說 Marak/colors.js 事件
簡短的說, 就熱門套件 colors.js 的作者 Marak,
某天忽然在程式中塞了個無窮迴圈 + 吐出一堆垃圾, 讓一堆網站工程師崩潰
你各位的人生沒什麼改變, 真的就像漫畫一樣, 有一群人默默的幫各位處理掉了.
關於這點, 推薦大家看一下這篇文章:
"I’m harvesting credit card numbers and passwords
from your site. Here’s how."
https://david-gilbertson.medium.com/9a8cb347c5b5
我個人認為, 現今的軟體世界其實比你我想像的都還脆弱.
即便如此, 個人要提升自己的安全性, 大概幾點做好就對了
1. 2FA. 大家都懂, 無需贅述
但手機被偷或 email 被攻破/ban掉時, 應該會很困擾?
2. 用密碼管理器, 讓你每個網站都是用拋棄式的密碼
其實 Chrome 就能幫你存密碼了, 不失為一個手段
3. 至少管理器的主密碼必須夠長.
※ 引述《TKirby ( :D)》之銘言:
: ※ 引述《haiduc (小火柴)》之銘言:
: 外商碼農大哥您好, 您應該是機器學習組而非資安組的
: 順便摘要推文:
: 推 RisingTackle: 建立字典檔的東西還需要AI? 106.105.2.89 04/17 09:46: 推 LawLawDer: 可以被試登這麼多次的網站多半也是垃 223.136.155.238 04/17 09:47: → Dirgo: 正常密碼不可能給你這樣無限試誤才是真的 118.163.179.141 04/17 09:47: 推 VVizZ: 3次直接鎖帳做跳板也沒用吧 220.130.142.210 04/17 09:48: 小弟不是專業資安人士, 但對於網站這部份的機制有粗淺研究
: 看到大部份的留言都談到試登跟鎖帳號, 小弟補充說明一下
: 現在幾乎所有網站都會做流量限制(throttling) 跟真人驗證 (captcha)
: 所以密碼破譯的重點不是在面對網站的破譯
: 而是在密碼檔流出後, 怎樣破解密碼
: (若針對網站做試誤反而會歸在 DDoS, 因為編碼往往需要高計算強度演算法)
: "密碼檔都流出了還需要破解?"
: 因為密碼檔即便在網站主機中, 還是會編碼儲存
: 以避免你的密碼直接被別人知道
: 現今密碼編碼的機制有兩個重點
: 1. 必須慢 - 編碼的速度慢到讓你暴力破解不實際.
: 2. 要加鹽 - 根據不同的鹽值, 同一個密碼每次算出來的雜湊值都不同.
: 比方說你的密碼是 1234,
: 那我隨機生成 qwe 把他變成 1234qwe 再編碼成 PVE31RC4FV
: 最後再把 qwe 附上變 PVE31RC4FV.qwe
: 1. 是針對密碼檔外流的情境下, 讓你的內容無法被有效解譯, 不是針對 "試登"
: 所以如果你會講到 "試登", 那你其實不懂密碼破譯這個議題.
: 2. 則是讓建立字典檔不再有用, 每個編碼每次都不同, 你沒辦法有有效的字典檔.
: 事實上, 你若沒有做到這兩點, 那你有沒有編碼密碼檔結果大概是一樣的
: RockYou 這間公司密碼檔洩漏的時候,
: 就是因為使用相對不安全的 MD5 編碼, 才招致全文解密上網.
: 現在則是被拿來做 AI 學習用模型, 在 kaggle 上就有, 53MB, 我剛剛才載了一份呢
: ( 順道一提, 之前 breached.to 有 LINE TAIWAN 數十萬組帳密明文流出
: 據說其中不乏知名企業與政府單位的 email , 看文章的您不曉得有沒有在裡面呢? ): 但這個 PASSGAN 又是在幹嘛?
: 雖然外商碼農大哥在 PASSGAN 的部份說明得很好
: 簡單的說就是用真實密碼範本 RockYou 訓練密碼生成模型,
: 讓你猜密碼的準確度提高, 就是, 提高猜對的機率, 進而減少需要的費時.
: 既然 RockYou 密碼表會在 kaggle 上, 代表早就有很多人在做這種研究了
: 這個 PASSGAN 不會是第一個, 所以核心重點應該要放在 PASSGAN 跟過去模型的比較
: 但原始出處 homesecurityheroes 只有寫在各種組合跟長度時, PASSGAN 預測猜對的時間: 要嘛他因為結果沒有比較好而不敢比較, 不然就是比較對他們來說不重要
: 所以我合理猜測是後者 - 這個 PASSGAN 只是個幌子
: 實際上是想搭 AI 順風車來做病毒行銷的一個案例.
: 目前類神經網路基礎的 AI 說到底, 你大概可以想成是做出一個人
: 人不能做到的他大概也做不到, 但他速度快很多, 大小彈性, 也可以自動化
: 所以看似會比人類強很多, 也會有很多應用情境
: 但他並沒有本質上摧毀當前的加密機制
: 關於密碼, 如果真的要擔心, 或許量子電腦會是比較需要煩惱的
: 真.知識型網紅 Veritasium 最近剛好有一個影片在談這件事, 我節錄其中一段:
: https://youtu.be/-UrdExQW0cs?t=1021
: 目前主流的加密演算法可能會在 2030 ~ 2040 年間過時.
: 所以已經有很多人在尋找 QC-Proof 的加密演算法了.
: 這才是真.真正新時代真正的資安危機.
: 想像一下如果對岸早就偷偷發展 QC 到某個程度
: 然後天天攔截台灣官方軍方自以為萬無一失的加密通訊在嘗試破解..
: 二戰德軍會輸, Enigma 被破解可說是其中一個主因呢.
: : 最新測試:11 字元純數字密碼 AI 瞬間破解,擁抱無密碼功能才是王道
: : 作者 Evan | 發布日期 2023 年 04 月 14 日 8:10 | 分類 AI 人工智慧 , 網路 , 資訊
: : 安全
: : https://reurl.cc/0EGQDK
: : 每隔一陣子總會爆出密碼被駭災情,每次災情後就伴隨許多要求密碼頻繁更新並使用強固
: : 性密碼的呼籲,但最終總會在人性面前敗陣下來。多數使用者雖然不願意被駭,但要頻繁
: : 更新永遠記不住的強固密碼,也是不可能的任務。
: : 某網路安全公司最近測試發現,AI 能不到 1 分就破解大部分常用密碼。隨著 AI 技術不
: : 斷突破,未來即使再強固的密碼都有可能瞬間破解,到時傳統密碼登錄模式可能因毫無作
: : 用遭廢用。其實蘋果、Google 及微軟早在去年中就合作開發無密碼機制,可說兩家都洞
: : 悉人性並預見 AI 會有驚人進展吧。
: : AI 破解千萬餘密碼,51% 不到 1 分鐘就破解
: : 網路安全公司 Home Security Heroes 最近展開 AI 破解密碼時間的測試。特別使用支援
: : 生成式對抗網路(Generative Adversarial Network,GAN)架構的 PassGAN 密碼生成器
: : 產生待破解密碼。用 PassGAN 從社群小工具 RockYou 資料庫取得 1,568 萬個真實常用
: : 密碼,特別將長度超過 18 個字元、短於 4 個字元的密碼排除。
: : 將千萬餘個密碼餵給 AI 系統後,不到 1 分鐘就破解 51% 密碼,接著 1 小時內破解: : 65% 密碼,剩下未破解密碼強度更高,破解難度及所耗時間逐漸攀升。測試又花了近一
: : 天才破解至 71%,一個月後升至 81%。
: : 可見目前 AI 破解能力,只要強度夠、複雜度高的密碼大致算安全。從 Home Security: : Heroes 官網報告可看出,要能與 AI 抗衡,除了長度夠長,混合大小寫字母及符號就愈
: : 接近牢不可破。數字和小寫字母組成 10 字元密碼,1 小時內破解機率為 65%,若加上大
: : 寫字母或特殊符號,破解時間可增至 5 年。
: : 18 字元密碼可保安全無虞,安全公司建議至少 15 字元才安全
: : 基本上密碼長度只要大於 18 字元,可完全無懼現行 AI。即使純數字 18 字元密碼,AI
: : 破解也要耗費 10 個月之久,如果再混合大小寫子母及符號,破解時間更達難以想像的: : 100 京(Quintillion,10 的 18 次方)年。
: : 現行 AI 連 11 字元純數字密碼都可瞬間破解,即使加長到 14 字元也只需 36 分,所以
: : Home Security Heroes 建議密碼長度起碼要 15 字元(AI 破解約需 5 小時)才夠安全
: : ,且只要再複雜一點,15 字元皆改成小寫字母,破解時間可拉長到 890 年。Home
: : Security Heroes 建議使用者重要密碼最好每隔幾個月就換一次。
: : https://reurl.cc/Dm7eZR
: : ▲ AI 破解不同長度及複雜度密碼時間表。(Source:Home Security Heroes)
: : 多年來,安全專家一再呼籲用戶定期更換密碼,並使用強固式密碼,但成效不彰。對多數
: : 使用者而言,即使 8 字元密碼都不見得記得住,更別說 15 字元、混合密碼,甚至定期
: : 更換等不切實際的建議。事實證明,定期更換強固式密碼的建議窒礙難行。或許蘋果、: : Google 及微軟早看透這點,才會聯手推動無密碼技術。隨著 AI 技術突飛猛進,AI 破解
: : 更複雜密碼絕對比人類定期更新高強度密碼更快實現。有鑑於此,擁抱無密碼時代,或許
: : 才是最貼合人性的可行之道。
: : AI Can Now Crack Most Passwords in Less Than a Minute
: : ↓
: : https://reurl.cc/XLgp5j (英文原文版本)
: : (首圖來源:科技新報)
: : https://reurl.cc/o06pQg
--
由於它對純粹體質上的耐力以及手指上的輝煌技巧要求太高,在當時的鋼琴家中極少
有人能夠勝任它的演奏。直到二十世紀三零年代鋼琴演奏技巧才發展到了一個相當的高
度﹝它包括了從細微的音色變化到踏板的使用,從手指的極度靈巧到肌肉的永不疲勞等
所有的尖端的技巧﹞,從而造就了一批具備超凡演奏才能的代表人物,如:霍洛維茲
﹝Vladimir Horowitz﹞、英年早逝的赫爾曼﹝Alexander Helman﹞、季雪金﹝Walter
Gieseking﹞,拉赫曼尼諾夫對他演奏這首協奏曲的喜愛超過其他任何人﹞等。
--
八卦版發優文沒人會理你
推 專業
推一個,現代軟體業是建立在黑洞上的
特別是web前端繞不開node_modeuls XDDD
推推
密碼都會加入 Null * €{%
寫在紙本上現在反而安全
啊不對,這篇是在講別的
兩階段要建立在你沒有被木馬植入
不然木馬偷到你的 session key 兩階段一
樣沒用
yo叔的技術才是最厲害的
資料庫洩密或木馬一般人不太會碰到
大部分都是因為社交工程被盜
所以兩階段認證還是最有用的
綁手機的那種
15
阿肥外商碼農阿肥啦! 本身領域研究員,GAN本身在學理上就是生成範式分佈,以PassGAN為例我們期望生成一組 生成密碼的空間分佈來採樣這組密碼,然後判別模型在透過真實洩漏的密碼來判斷是否為 真實用戶設置的密碼,透過這樣就可以判斷用戶慣性規則,算是字典攻擊的進化版,因為 人類設置的密碼是有規則跟習慣性而非亂數的,也是為了方便人類記憶。這就非常適合模10
八卦是現在這一套早就被宣告不合時宜 kwGf.w@^$T34Mg 這一串密碼強度夠不夠 夠啊 記不記的住 記個屁 幹 現在最新指導是7
最新測試:11 字元純數字密碼 AI 瞬間破解,擁抱無密碼功能才是王道 作者 Evan | 發布日期 2023 年 04 月 14 日 8:10 | 分類 AI 人工智慧 , 網路 , 資訊 安全 每隔一陣子總會爆出密碼被駭災情,每次災情後就伴隨許多要求密碼頻繁更新並使用強固9
請教個文組問題 所謂密碼破解 例如 AI 想破解我在中國信託網銀的密碼 問題是AI試個三次錯誤 中國信託帳號就把你鎖住不讓你登入了28
外商碼農大哥您好, 您應該是機器學習組而非資安組的 順便摘要推文: 推 RisingTackle: 建立字典檔的東西還需要AI? 106.105.2.89 04/17 09:46 推 LawLawDer: 可以被試登這麼多次的網站多半也是垃 223.136.155.238 04/17 09:47 → Dirgo: 正常密碼不可能給你這樣無限試誤才是真的 118.163.179.141 04/17 09:47
22
Re: [求救]不確定FTX錢是否被盜走了說一下我平常的用法,希望能減少這類事情的發生 1. KeePass 密碼管理軟體 現在那麼多網站需要帳號密碼,有軟體能幫忙其實是更簡單安全 軟體的好處在於每個網站都可以設不同的密碼,提升安全性 而且軟體有熱鍵可以幫你輸入帳戶密碼,很方便也不用擔心被側錄14
[軟體] 分享1Password特點和密碼管理器使用技巧易讀版本 【前言】 密碼管理器的重要性不言可喻,我這邊不特別解釋為什麼要使用它,相關的分享在網路上可 以找到很多,這篇主要是想藉由 1Password 的使用經驗和大家分享我為什麼挑選這款密碼? 理器,以及如何保護和管理自己數百個帳號安全。6
Re: [創作] 主力狙擊手app (免費下載)借文請問 大家有下載這個app 然後最近接到google警告 說有密碼外洩嗎 "有 xxx 個採用同一組使用者名稱和密碼的帳戶有安全風險"4
[心得] 一組密碼+md5=不會共用的萬用密碼最近支付寶被盜才開始考慮密碼安全 之前有分敏感/涉及個資/免洗密碼約5組 但還是會共用到 被木馬側錄到其中一組其他共用的要改掉就很麻煩 就想到配合md5雜湊值來產生密碼 例如要產生12碼英數大小寫(以下舉例 不用照搬)2
Re: [問卦] 大家都怎麼整理密碼?請愛用密碼管理器 人腦有限,有多個帳號後,就會傾向使用單一密碼或強度不足的密碼 當一個密碼外洩,那所有帳號都會受到威脅 從而造成資安風險 密碼管理器X
Re: [問卦] 系統要三個月換一次密碼且要複雜擾民?真的擾民= = 不知道是民國幾年的密碼規范惹 現在最新的密碼規範就是越長越好,有意義的長密碼>無意義短密碼 然後一直換密碼反而會有資安風險 因為很多人會直接抄到紙上,或開個word檔來存密碼
爆
[問卦] 為什麼十年前你選擇上街 這次卻選擇在家?爆
[爆卦] 青島東現場:據傳警察受到壓力爆
[問卦] GPT: 有哪些執政黨喊過革命爆
[問卦] 立法院外這個抽菸妹是之前那個輪椅妹嗎?爆
Re: [爆卦] 綠委邱議瑩:來來來~快進來~~爆
[問卦] 少子化為什麼近五年突然變嚴重???85
[問卦] 幹勒立院這麼亂到底誰害的啊83
[問卦] 雙方團結力差這麼大的原因是什麼?85
[問卦] 憾!三讀了之後要?!爆
[爆卦] 要衝了嗎?74
[問卦] 若今天又上街頭,該取什麼花好呢^_^6X
[問卦] 悲!過了十年,八卦嘲笑公民運動?61
Re: [新聞] 准了!柯文哲聲請解除禁通信 北院曝原因60
[問卦] 急!朋友明天結婚 該在婚禮放啥歌慶祝好55
[問卦] 什麼情況可以喊「民主已死」?爆
[問卦] 這個記者是不是要失業了 QQ49
[問卦] 有人發現鮮奶已經偷偷在降價了嗎?50
[問卦] Threads是不是取代PTT了爆
[問卦] 罷免要出示身分證 民主已死?46
[問卦] 台灣現在到底在幹嘛啊?68
Re: [新聞] 起訴前震撼彈!法官裁准柯文哲寄「黨主45
[問卦] 現在在青島東的人都是什麼樣的人?47
[問卦] 日本女高中生回去會怎麼宣揚台灣39
[問卦] 散播「國家要毀滅了」有違反社維法嗎?39
[問卦] 有人說要守護台灣,是守護台灣的什麼?28
Re: [新聞] 柯文哲寄信辭黨主席 民眾黨嗆法官:自行判定辭職生效24
Re: [問卦] 悲!過了十年,八卦嘲笑公民運動?爆
[爆卦] 立院攻城戰開打30
[問卦] 為什麼 黨衛隊 比正規軍隊還死忠?26
[問卦] 驅散民眾的方法