Aurich Lawson | Getty Resimleri
Şimdiye kadar, muhtemelen yeni bir şey duymuşsunuzdur. AI tabanlı şifre kırıcı daha geleneksel yöntemler yerine yapay zeka kullanarak şifrenizi saniyeler içinde tehlikeye atabilecek. Bazı satış noktaları buna “korkutucu,” “endişe verici,” “endişe verici,” Ve “kıvraklık.” Diğer yayınlar, aracın yedi karaktere kadar herhangi bir şifreyi – semboller ve rakamlar olsa bile – altı dakikadan kısa sürede kırabildiğini bildirmek için kendilerini kaptırdılar.
AI içeren pek çok şeyde olduğu gibi, iddialar da bol miktarda duman ve aynalarla sunuluyor. Araç olarak adlandırılan PassGAN, daha geleneksel kırma yöntemlerinden daha iyi performans göstermez. Kısacası, PassGAN’ın yapabildiği her şeyi, bu daha denenmiş ve gerçek araçlar da yapar veya daha iyi yapar. Ve Ars’ın geçmişte eleştirdiği yapay zeka olmayan parola denetleyicilerinin çoğu gibi — örneğin, Burada, BuradaVe Burada— PassGAN’ın arkasındaki araştırmacılar, deneylerinden gerçek güvenliği baltalayan parola önerileri alıyor.
Bir makineye çatlamayı öğretmek
PassGAN, “Şifre” ve “üretken rakip ağlar” kelimelerinin kısaltılmış bir birleşimidir. PassGAN bir yaklaşımdır 2017’de çıkış yaptı. İnsanlar tarafından geliştirilen geleneksel yöntemlerin yerine bir sinir ağı üzerinde çalışan makine öğrenimi algoritmalarını kullanır. Bu GAN’lar, önceki gerçek dünya ihlallerinin ganimetlerini işleyerek parola dağıtımını özerk bir şekilde öğrendikten sonra parola tahminleri üretir. Bu tahminler, bir güvenlik ihlali sonucunda parola karmalarından oluşan bir veritabanı sızdığında mümkün olan çevrimdışı saldırılarda kullanılır.
Üretken bir rakip ağa genel bakış.
Geleneksel şifre tahmini önceki ihlallerden alınan milyarlarca numaralandırılmış sözcük listelerini kullanır. gibi popüler şifre kırma uygulamaları esrar Ve Karındeşen John sonra başvur”parçalamak Anında varyasyonları etkinleştirmek için bu listelere “kurallar” ekleyin.
Örneğin, bir kelime listesinde “şifre” gibi bir kelime göründüğünde, yönlendirme kuralları onu “Şifre” veya “p@ssw0rd” gibi varyasyonlara dönüştürür, ancak bunlar hiçbir zaman doğrudan kelime listesinde yer almaz. Yönetme kullanılarak kırılan gerçek dünya parolalarına örnek olarak şunlar verilebilir: “Coneyisland9/”, “momof3g8kids” “Oscar+emmy2” “k1araj0hns0n” “Sh1a-labe0uf” “Apr!l221973” “Qbesancon321” “DG091101%,” “@Yourmom69”, “ilovetofunot”, “windermere2313”, “tmdmmj17” ve “BandGeek2014.” Bu parolalar yeterince uzun ve karmaşık görünse de, yönetim kuralları bunların tahmin edilmesini son derece kolaylaştırır.
Bu kurallar ve listeler, paralel bilgi işlemde uzmanlaşmış kümelerde çalışır, yani çok sayıda parola tahminini CPU’lardan çok daha hızlı yapmak gibi tekrarlayan görevleri gerçekleştirebilirler. Uygun olmayan algoritmalar kullanıldığında, bu kırma donanımları “şifre” gibi düz metin bir kelimeyi saniyede milyarlarca kez “5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8” gibi bir hash’e dönüştürebilir.
Sözcük listelerini çok daha güçlü kılan başka bir teknik, birleştirici saldırı. Adından da anlaşılacağı gibi, bu saldırı listedeki iki veya daha fazla kelimeyi birleştirir. İçinde 2013 tatbikatışifre kırma uzmanı Jens Steube, listelerinde zaten “momof3g” ve “8kids” olduğu için “momof3g8kids” şifresini kurtarmayı başardı.
Parola kırma aynı zamanda, kırma için genel bir terim olarak yanlış kullanılmasına rağmen, bir listedeki sözcükleri kullanan kırmalardan belirgin şekilde farklı olan, kaba kuvvet adı verilen bir tekniğe dayanır. Aksine, kaba kuvvet kırma, belirli bir uzunluktaki bir parola için olası her kombinasyonu dener. Altı karaktere kadar olan bir parola için, “a”yı tahmin ederek başlar ve “//////” değerine ulaşana kadar olası tüm dizgilerden geçer.
Altı veya daha az karakterden oluşan parolalar için olası kombinasyonların sayısı, Home Security Heroes’un PassGAN yazımında tasavvur ettiği daha zayıf karma algoritma türleri için saniyeler içinde tamamlanacak kadar küçüktür.