超過 25% 的密碼被人工智慧猜到，你害怕了嗎？

摘要：

AI 時代，是時候重新考慮下你的密碼策略了。

「密碼」這個東西由來已久，公元前 5 世紀，古希臘的斯巴達人就已使用一種叫作scytale 的棍子來傳遞加密信息。現代，密碼有了更長遠的發展，保密通信設備、銀行取款、計算機登陸和屏保、各種個人賬號、保險箱等都需要用到密碼。

有密碼就有人想破解，據新浪科技報道，美國史蒂文斯理工學院（Stevens Institute of Technology）開發了一個所謂的生成式對抗網路，可以對你所使用的密碼進行合理猜測，準確率達到 25%。

這種方法的基本理念來自伊恩·古德菲洛（Ian Goodfellow）：讓一個神經網路構建一個東西，然後由另外一個神經網路判定其質量。基於這個理念，史蒂文斯理工學院的團隊讓一個人工智慧程序利用數千萬個泄露的密碼來學習如何生成新密碼，再讓另外一個人工智慧程序學習如何判斷新生成的密碼是否有效。兩者相互完善，直到輸出最好的結果。

科學家們為測試工具提供了來自名為 RockYou 的遊戲網站的數千萬個被泄露的密碼，並要求它們自己生成數億個新密碼。然後，他們計算出這些新密碼中有多少與一組來自領英的泄露密碼相匹配，以此來衡量破解密碼的成功率。

實驗結果是：人工智慧生成的密碼有 12% 與真實密碼匹配。聽起來更可怕的是：當研究人員將從 HashCat 軟體工具獲得的一些規則加入人工智慧系統後，在超過 4300 萬個領英個人資料的集合中破解了超過 25%的密碼。

這是生成式對抗網路首次被用於破解密碼，雖然該技術尚處早期，但消息傳出後，很多人表示了擔憂：不法分子利用此工具是否會更輕鬆地發動網路攻擊？

360 網路攻防實驗室負責人林偉告訴極客公園：「其實，目前對於那些泄漏出來的領英資料密碼，已破解比例已超過 80%，主要方法是使用 HashCat 等常見 GPU 密碼破解軟體，結合已泄密的常用密碼字典、規則即可實現密碼猜測程序。」

使用 HashCat 的一種方法是簡單的蠻力，隨機地嘗試許多不同的字元組合，直到找到正確的字元為止；另一種方法是根據之前泄露的密碼和概率方法來推測密碼中的每個字元。但是，這些方法需要多年的手工編碼來實現。本文提到的研究可以用深度學習的方法來加速這一進程。

從另一個角度想想，此工具可被用來測試密碼的強度，以提示用戶更換更高級別的密碼。在紐約康奈爾大學研究計算機安全的 Thomas Ristenpart 表示，這項新技術還可能被用於生成誘餌密碼，以幫助發現漏洞。

對於用戶的密碼安全，林偉建議：

1、對密碼進行分級，縮小密碼泄露後影響的範圍和隱私，建議分為不少於三級，分別是：弱密碼、8 位以上字母+數字密碼、10 位以上字母+數字+特殊符號密碼，注意以上密碼請勿使用常見密碼習慣；

2、開啟密碼二次驗證如：簡訊驗證、登陸設備驗證、二級密碼、隨機令牌等。

對此你有什麼看法？歡迎留言交流～

 ■

本文由極客公園原創

轉載聯繫 zhuanzai@geekpark.net

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！