Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合

※ 引述《haiduc (小火柴)》之銘言：
: ※ 引述《sxy67230 (charlesgg)》之銘言：
: : 阿肥外商碼農阿肥啦！
: : 本身領域研究員，GAN本身在學理上就是生成範式分佈，以PassGAN為例我們期望生成一組
: : 生成密碼的空間分佈來採樣這組密碼，然後判別模型在透過真實洩漏的密碼來判斷是否為
: : 真實用戶設置的密碼，透過這樣就可以判斷用戶慣性規則，算是字典攻擊的進化版，因為
: : 人類設置的密碼是有規則跟習慣性而非亂數的，也是為了方便人類記憶。這就非常適合模
: : 型來做這件事，因為ML/DL真正的強項就是範式學習。
: : 當然，很多人都會說我試三次就擋掉IP就好，但是這只是針對普通人，我早說未來這個時
: : 代的資安問題早就是AI搭配駭客來進行的，只要駭客透過程式跳板切換IP，然後我在用程
: : 式隨機規律去try登入，看你服務端要怎麼承受，了不起你從帳號檔我就把全部帳號組合
: : 都try到不能用直接癱瘓系統，而且搭配passGAN縮小範圍讓程式去測比隨機暴力法有效率
: : ，搞不好有效試到幾十組竊取資料兜售就夠了。

外商碼農大哥您好, 您應該是機器學習組而非資安組的
順便摘要推文:

推 RisingTackle: 建立字典檔的東西還需要AI？ 106.105.2.89 04/17 09:46推 LawLawDer: 可以被試登這麼多次的網站多半也是垃 223.136.155.238 04/17 09:47→ Dirgo: 正常密碼不可能給你這樣無限試誤才是真的 118.163.179.141 04/17 09:47推 VVizZ: 3次直接鎖帳做跳板也沒用吧 220.130.142.210 04/17 09:48

小弟不是專業資安人士, 但對於網站這部份的機制有粗淺研究
看到大部份的留言都談到試登跟鎖帳號, 小弟補充說明一下

現在幾乎所有網站都會做流量限制(throttling) 跟真人驗證 (captcha)
所以密碼破譯的重點不是在面對網站的破譯
而是在密碼檔流出後, 怎樣破解密碼
(若針對網站做試誤反而會歸在 DDoS, 因為編碼往往需要高計算強度演算法)

"密碼檔都流出了還需要破解?"
因為密碼檔即便在網站主機中, 還是會編碼儲存
以避免你的密碼直接被別人知道

現今密碼編碼的機制有兩個重點

1. 必須慢 - 編碼的速度慢到讓你暴力破解不實際.
2. 要加鹽 - 根據不同的鹽值, 同一個密碼每次算出來的雜湊值都不同.
比方說你的密碼是 1234,
那我隨機生成 qwe 把他變成 1234qwe 再編碼成 PVE31RC4FV
最後再把 qwe 附上變 PVE31RC4FV.qwe

1. 是針對密碼檔外流的情境下, 讓你的內容無法被有效解譯, 不是針對 "試登"
所以如果你會講到 "試登", 那你其實不懂密碼破譯這個議題.
2. 則是讓建立字典檔不再有用, 每個編碼每次都不同, 你沒辦法有有效的字典檔.

事實上, 你若沒有做到這兩點, 那你有沒有編碼密碼檔結果大概是一樣的
RockYou 這間公司密碼檔洩漏的時候,
就是因為使用相對不安全的 MD5 編碼, 才招致全文解密上網.
現在則是被拿來做 AI 學習用模型, 在 kaggle 上就有, 53MB, 我剛剛才載了一份呢

( 順道一提, 之前 breached.to 有 LINE TAIWAN 數十萬組帳密明文流出
據說其中不乏知名企業與政府單位的 email , 看文章的您不曉得有沒有在裡面呢? )

但這個 PASSGAN 又是在幹嘛?

外商碼農大哥在 PASSGAN 的部份說明得很好
簡單的說就是用真實密碼範本 RockYou 訓練密碼生成模型,
讓你猜密碼的準確度提高, 就是, 提高猜對的機率, 進而減少需要的費時.

既然 RockYou 密碼表會在 kaggle 上, 代表早就有很多人在做這種研究了
這個 PASSGAN 不會是第一個, 所以核心重點應該要放在 PASSGAN 跟過去模型的比較
但原始出處 homesecurityheroes 只有寫在各種組合跟長度時, PASSGAN 預測猜對的時間要嘛他因為結果沒有比較好而不敢比較, 不然就是比較對他們來說不重要
所以我合理猜測是後者 - 這個 PASSGAN 只是個幌子
實際上是想搭 AI 順風車來做病毒行銷的一個案例.

目前類神經網路基礎的 AI 說到底, 你大概可以想成是做出一個人
人不能做到的他大概也做不到, 但他速度快很多, 大小彈性, 也可以自動化
所以看似會比人類強很多, 也會有很多應用情境
但他並沒有本質上摧毀當前的加密機制

關於密碼, 如果真的要擔心, 或許量子電腦會是比較需要煩惱的

真．知識型網紅 Veritasium 最近剛好有一個影片在談這件事, 我節錄其中一段:
https://youtu.be/-UrdExQW0cs?t=1021

他的圖表預測, 根據當前的量子電腦發展的速度,
目前主流的加密演算法可能會在 2030 ~ 2040 年間過時.
所以已經有很多人在尋找 QC-Proof 的加密演算法了.
這才是真．真正新時代真正的資安危機.

想像一下如果對岸早就偷偷發展 QC 到某個程度
然後天天攔截台灣官方軍方自以為萬無一失的加密通訊在嘗試破解..

二戰德軍會輸, Enigma 被破解可說是其中一個主因呢.

: : 這才是真正新時代真正的資安危機，不是啥金管會說chatGPT偷資料這種就是完全沒有sen
: : se的人在講的，也只有台灣官員才會這麼沒sense。
: : 然後2FA、OTP或是亂數生成密碼驗證機制依舊是最好的做法，畢竟駭客不可能物理偷竊你
: : 的手機或是殺掉你製造你的複製人驗證，這種成本過高也沒有效益，所以2FA、OTP還是相
: : 對安全的。
: 最新測試：11 字元純數字密碼 AI 瞬間破解，擁抱無密碼功能才是王道
: 作者 Evan | 發布日期 2023 年 04 月 14 日 8:10 | 分類 AI 人工智慧 , 網路 , 資訊: 安全
: https://reurl.cc/0EGQDK
: 每隔一陣子總會爆出密碼被駭災情，每次災情後就伴隨許多要求密碼頻繁更新並使用強固: 性密碼的呼籲，但最終總會在人性面前敗陣下來。多數使用者雖然不願意被駭，但要頻繁: 更新永遠記不住的強固密碼，也是不可能的任務。
: 某網路安全公司最近測試發現，AI 能不到 1 分就破解大部分常用密碼。隨著 AI 技術不: 斷突破，未來即使再強固的密碼都有可能瞬間破解，到時傳統密碼登錄模式可能因毫無作: 用遭廢用。其實蘋果、Google 及微軟早在去年中就合作開發無密碼機制，可說兩家都洞: 悉人性並預見 AI 會有驚人進展吧。
: AI 破解千萬餘密碼，51% 不到 1 分鐘就破解
: 網路安全公司 Home Security Heroes 最近展開 AI 破解密碼時間的測試。特別使用支援: 生成式對抗網路（Generative Adversarial Network，GAN）架構的 PassGAN 密碼生成器: 產生待破解密碼。用 PassGAN 從社群小工具 RockYou 資料庫取得 1,568 萬個真實常用: 密碼，特別將長度超過 18 個字元、短於 4 個字元的密碼排除。
: 將千萬餘個密碼餵給 AI 系統後，不到 1 分鐘就破解 51% 密碼，接著 1 小時內破解: 65% 密碼，剩下未破解密碼強度更高，破解難度及所耗時間逐漸攀升。測試又花了近一: 天才破解至 71%，一個月後升至 81%。
: 可見目前 AI 破解能力，只要強度夠、複雜度高的密碼大致算安全。從 Home Security: Heroes 官網報告可看出，要能與 AI 抗衡，除了長度夠長，混合大小寫字母及符號就愈: 接近牢不可破。數字和小寫字母組成 10 字元密碼，1 小時內破解機率為 65%，若加上大: 寫字母或特殊符號，破解時間可增至 5 年。
: 18 字元密碼可保安全無虞，安全公司建議至少 15 字元才安全
: 基本上密碼長度只要大於 18 字元，可完全無懼現行 AI。即使純數字 18 字元密碼，AI: 破解也要耗費 10 個月之久，如果再混合大小寫子母及符號，破解時間更達難以想像的: 100 京（Quintillion，10 的 18 次方）年。
: 現行 AI 連 11 字元純數字密碼都可瞬間破解，即使加長到 14 字元也只需 36 分，所以: Home Security Heroes 建議密碼長度起碼要 15 字元（AI 破解約需 5 小時）才夠安全: ，且只要再複雜一點，15 字元皆改成小寫字母，破解時間可拉長到 890 年。Home
: Security Heroes 建議使用者重要密碼最好每隔幾個月就換一次。
: https://reurl.cc/Dm7eZR
: ▲ AI 破解不同長度及複雜度密碼時間表。（Source：Home Security Heroes）
: 多年來，安全專家一再呼籲用戶定期更換密碼，並使用強固式密碼，但成效不彰。對多數: 使用者而言，即使 8 字元密碼都不見得記得住，更別說 15 字元、混合密碼，甚至定期: 更換等不切實際的建議。事實證明，定期更換強固式密碼的建議窒礙難行。或許蘋果、: Google 及微軟早看透這點，才會聯手推動無密碼技術。隨著 AI 技術突飛猛進，AI 破解: 更複雜密碼絕對比人類定期更新高強度密碼更快實現。有鑑於此，擁抱無密碼時代，或許: 才是最貼合人性的可行之道。
: AI Can Now Crack Most Passwords in Less Than a Minute
: ↓
: https://reurl.cc/XLgp5j (英文原文版本)
: （首圖來源：科技新報）
: https://reurl.cc/o06pQg

--
由於它對純粹體質上的耐力以及手指上的輝煌技巧要求太高，在當時的鋼琴家中極少
有人能夠勝任它的演奏。直到二十世紀三零年代鋼琴演奏技巧才發展到了一個相當的高
度﹝它包括了從細微的音色變化到踏板的使用，從手指的極度靈巧到肌肉的永不疲勞等
所有的尖端的技巧﹞，從而造就了一批具備超凡演奏才能的代表人物，如：霍洛維茲
﹝Vladimir Horowitz﹞、英年早逝的赫爾曼﹝Alexander Helman﹞、季雪金﹝Walter
Gieseking﹞，拉赫曼尼諾夫對他演奏這首協奏曲的喜愛超過其他任何人﹞等。

--

>.^ →

223.136.155.238 04/17 11:03

這位大哥 我節錄到的您的推文部份其實是正確的, 可以被試登很多次的網站的確很糟糕 所以下次大家要用網站時可以多試幾次看他會不會擋你, 不擋的盡量就不要用

感覺大家都是質疑「你密碼檔怎麼可能取得」 簡單說明一下 密碼大多存在資料庫中, 所以要先侵入網站主機或取得資料庫傾倒 幾種可能的方式: 1. 粗心的網管, 讓資料庫允許對外連線 + 預設帳密 2. 前端有 XSS 漏洞, 導致特定帳號 session secret 外流 攻擊方取得登入權杖後變身成系統管理員 進而進入 phpmyadmin 之類的地方 3. 社交工程: "hi Musk 我是你麻吉啦, 對了那個登入幫我開一下, 我的email 是

"