Umelá inteligencia spôsobila, že uhádnuť vaše heslo je omnoho ľahšie

Americká úverová agentúra Equifax pred pár týždňami oznámila, že hackeri získali prístup k osobným informáciám 143 miliónov ľudí v jej systéme. To je samozrejme dôvod na obavy. Je tu však ešte jedna zlá správa.

Vedci využili silu umelej inteligencie na vytvorenie programu, ktorý v kombinácii s existujúcimi nástrojmi predstavoval viac ako štvrtinu hesiel zo súboru viac ako 43 miliónov profilov na LinkedIne. Výskumníci však hovoria, že technológia môže byť použitá aj na porazenie nepriateľov v ich vlastnej hre, píše Science.

Štúdia by mohla pomôcť priemerným používateľom a spoločnostiam merať silu hesiel, hovorí Thomas Ristenpart, počítačový vedec, ktorý skúma počítačovú bezpečnosť v spoločnosti Cornell Tech v New Yorku. "Nová technológia by tiež mohla byť potenciálne použitá na generovanie návnadových hesiel, ktoré by pomohli odhaliť trhliny."

Najsilnejšie programy na hádanie hesiel, John Ripper a hashCat, používajú niekoľko techník. Jednou z nich je, že náhodne vyskúšajú veľa kombinácií znakov, až kým nedostanú ten správny. Iné prístupy však zahŕňajú extrapoláciu z predtým uniknutých hesiel a pravdepodobnostných metód na uhádnutie jednotlivých znakov v hesle na základe toho, čo im predchádzalo. Na niektorých stránkach tieto programy uhádli viac ako 90 percent hesiel. Vyžadovalo to však mnoho rokov kódovania, aby mohli vybudovať svoje plány na útok.

Výskumníci na Stevensovom technologickom inštitúte v Hobokene v novej štúdii začali s tzv. generatívnou kontradiktórnou sieťou GAN, ktorá pozostáva z dvoch umelých neurónových sietí. "Generátor" sa pokúša vytvoriť umelé výstupy, ako sú obrazy, ktoré sa podobajú skutočným príkladom (skutočným fotografiam), zatiaľ čo "diskriminátor" sa pokúša odhaliť skutočné od falošných. Pomáhajú sa vzájomne vylepšovať, kým sa generátor nestane kvalifikovaným falšovateľom.

Tím vytvoril generatívnu kontradiktórnu sieť ​​nazývanú PassGAN a porovnal ju s dvoma verziami hashCat a jednou verziou Johna Rippera. Vedci krmili každý nástroj desiatkami miliónov uniknutých hesiel z herného servera RockYou a požiadali ich, aby vytvorili stovky miliónov nových hesiel. Potom spočítali, koľko z týchto nových hesiel sa zhodovalo s množinou uniknutých hesiel od spoločnosti LinkedIn.

Samotný PassGAN generoval 12 percent hesiel v súbore LinkedIn, zatiaľ čo jeho traja konkurenti generovali medzi 6 percent a 23 percent. Ale najlepší výkon pochádza z kombinácie PassGAN a hashCat. Spoločne dokázali rozlúštiť 27 percent hesiel v súbore LinkedIn. 

Použitie GAN na hádanie hesiel je "nové", hovorí Martin Arjovský, počítačový vedec, ktorý študuje technológiu na univerzite v New Yorku. Správa "potvrdzuje, že existujú jasné, dôležité problémy, pri ktorých aplikácia jednoduchých riešení strojového učenia môže priniesť rozhodujúcu výhodu," hovorí.

"Nie je mi jasné, či potrebujete ťažkú ​​mechaniku GAN, aby ste dosiahli takéto zisky," argumentuje Ristenpart.

Ateniese si je však istý, že aj keď v tejto pilotnej verzii PassGAN potreboval pomoc hashCatu, budúce iterácie môžu hashCa prekonať. To je z časti preto, že hashCat používa pevné pravidlá a nedokázal vytvoriť viac ako 650 miliónov hesiel na vlastnú päsť. PassGan, ktorý vytvára vlastné pravidlá, môže vytvárať heslá na neurčito.

PassGAN bude podľa neho trénovať na mnohých ďalších uniknutých heslách. "Osobne verím, že ak dáte PassGAN dostatok dát, bude môcť prísť s pravidlami, na ktoré hackeri nemôžu prísť."