※ 引述《haiduc (小火柴)》之铭言:
: ※ 引述《sxy67230 (charlesgg)》之铭言:
: : 阿肥外商码农阿肥啦!
: : 本身领域研究员,GAN本身在学理上就是生成范式分布,以PassGAN为例我们期望生成一组
: : 生成密码的空间分布来采样这组密码,然后判别模型在透过真实泄漏的密码来判断是否为
: : 真实用户设置的密码,透过这样就可以判断用户惯性规则,算是字典攻击的进化版,因为
: : 人类设置的密码是有规则跟习惯性而非乱数的,也是为了方便人类记忆。这就非常适合模
: : 型来做这件事,因为ML/DL真正的强项就是范式学习。
: : 当然,很多人都会说我试三次就挡掉IP就好,但是这只是针对普通人,我早说未来这个时
: : 代的资安问题早就是AI搭配骇客来进行的,只要骇客透过程式跳板切换IP,然后我在用程
: : 式随机规律去try登入,看你服务端要怎么承受,了不起你从帐号档我就把全部帐号组合
: : 都try到不能用直接瘫痪系统,而且搭配passGAN缩小范围让程式去测比随机暴力法有效率
: : ,搞不好有效试到几十组窃取资料兜售就够了。
外商码农大哥您好, 您应该是机器学习组而非资安组的
顺便摘要推文:
推 RisingTackle: 建立字典档的东西还需要AI? 106.105.2.89 04/17 09:46
推 LawLawDer: 可以被试登这么多次的网站多半也是垃 223.136.155.238 04/17 09:47
→ Dirgo: 正常密码不可能给你这样无限试误才是真的 118.163.179.141 04/17 09:47
推 VVizZ: 3次直接锁帐做跳板也没用吧 220.130.142.210 04/17 09:48
小弟不是专业资安人士, 但对于网站这部份的机制有粗浅研究
看到大部份的留言都谈到试登跟锁帐号, 小弟补充说明一下
现在几乎所有网站都会做流量限制(throttling) 跟真人验证 (captcha)
所以密码破译的重点不是在面对网站的破译
而是在密码档流出后, 怎样破解密码
(若针对网站做试误反而会归在 DDoS, 因为编码往往需要高计算强度算法)
"密码档都流出了还需要破解?"
因为密码档即便在网站主机中, 还是会编码储存
以避免你的密码直接被别人知道
现今密码编码的机制有两个重点
1. 必须慢 - 编码的速度慢到让你暴力破解不实际.
2. 要加盐 - 根据不同的盐值, 同一个密码每次算出来的杂凑值都不同.
比方说你的密码是 1234,
那我随机生成 qwe 把他变成 1234qwe 再编码成 PVE31RC4FV
最后再把 qwe 附上变 PVE31RC4FV.qwe
1. 是针对密码档外流的情境下, 让你的内容无法被有效解译, 不是针对 "试登"
所以如果你会讲到 "试登", 那你其实不懂密码破译这个议题.
2. 则是让建立字典档不再有用, 每个编码每次都不同, 你没办法有有效的字典档.
事实上, 你若没有做到这两点, 那你有没有编码密码档结果大概是一样的
RockYou 这间公司密码档泄漏的时候,
就是因为使用相对不安全的 MD5 编码, 才招致全文解密上网.
现在则是被拿来做 AI 学习用模型, 在 kaggle 上就有, 53MB, 我刚刚才载了一份呢
( 顺道一提, 之前 breached.to 有 LINE TAIWAN 数十万组帐密明文流出
据说其中不乏知名企业与政府单位的 email , 看文章的您不晓得有没有在里面呢? )
但这个 PASSGAN 又是在干嘛?
虽然外商码农大哥在 PASSGAN 的部份说明得很好
简单的说就是用真实密码范本 RockYou 训练密码生成模型,
让你猜密码的准确度提高, 就是, 提高猜对的机率, 进而减少需要的费时.
既然 RockYou 密码表会在 kaggle 上, 代表早就有很多人在做这种研究了
这个 PASSGAN 不会是第一个, 所以核心重点应该要放在 PASSGAN 跟过去模型的比较
但原始出处 homesecurityheroes 只有写在各种组合跟长度时, PASSGAN 预测猜对的时间
要嘛他因为结果没有比较好而不敢比较, 不然就是比较对他们来说不重要
所以我合理猜测是后者 - 这个 PASSGAN 只是个幌子
实际上是想搭 AI 顺风车来做病毒行销的一个案例.
目前类神经网络基础的 AI 说到底, 你大概可以想成是做出一个人
人不能做到的他大概也做不到, 但他速度快很多, 大小弹性, 也可以自动化
所以看似会比人类强很多, 也会有很多应用情境
但他并没有本质上摧毁当前的加密机制
关于密码, 如果真的要担心, 或许量子电脑会是比较需要烦恼的
真.知识型网红 Veritasium 最近刚好有一个影片在谈这件事, 我节录其中一段:
https://youtu.be/-UrdExQW0cs?t=1021
他的图表预测, 根据当前的量子电脑发展的速度,
目前主流的加密算法可能会在 2030 ~ 2040 年间过时.
所以已经有很多人在寻找 QC-Proof 的加密算法了.
这才是真.真正新时代真正的资安危机.
想像一下如果对岸早就偷偷发展 QC 到某个程度
然后天天拦截台湾官方军方自以为万无一失的加密通讯在尝试破解..
二战德军会输, Enigma 被破解可说是其中一个主因呢.
: : 这才是真正新时代真正的资安危机,不是啥金管会说chatGPT偷资料这种就是完全没有sen
: : se的人在讲的,也只有台湾官员才会这么没sense。
: : 然后2FA、OTP或是乱数生成密码验证机制依旧是最好的做法,毕竟骇客不可能物理偷窃你
: : 的手机或是杀掉你制造你的复制人验证,这种成本过高也没有效益,所以2FA、OTP还是相
: : 对安全的。
: 最新测试:11 字符纯数字密码 AI 瞬间破解,拥抱无密码功能才是王道
: 作者 Evan | 发布日期 2023 年 04 月 14 日 8:10 | 分类 AI 人工智能 , 网络 , 资讯
: 安全
: https://reurl.cc/0EGQDK
: 每隔一阵子总会爆出密码被骇灾情,每次灾情后就伴随许多要求密码频繁更新并使用强固
: 性密码的呼吁,但最终总会在人性面前败阵下来。多数使用者虽然不愿意被骇,但要频繁
: 更新永远记不住的强固密码,也是不可能的任务。
: 某网络安全公司最近测试发现,AI 能不到 1 分就破解大部分常用密码。随着 AI 技术不
: 断突破,未来即使再强固的密码都有可能瞬间破解,到时传统密码登录模式可能因毫无作
: 用遭废用。其实苹果、Google 及微软早在去年中就合作开发无密码机制,可说两家都洞
: 悉人性并预见 AI 会有惊人进展吧。
: AI 破解千万余密码,51% 不到 1 分钟就破解
: 网络安全公司 Home Security Heroes 最近展开 AI 破解密码时间的测试。特别使用支援
: 生成式对抗网络(Generative Adversarial Network,GAN)架构的 PassGAN 密码生成器
: 产生待破解密码。用 PassGAN 从社群小工具 RockYou 数据库取得 1,568 万个真实常用
: 密码,特别将长度超过 18 个字符、短于 4 个字符的密码排除。
: 将千万余个密码喂给 AI 系统后,不到 1 分钟就破解 51% 密码,接着 1 小时内破解
: 65% 密码,剩下未破解密码强度更高,破解难度及所耗时间逐渐攀升。测试又花了近一
: 天才破解至 71%,一个月后升至 81%。
: 可见目前 AI 破解能力,只要强度够、复杂度高的密码大致算安全。从 Home Security
: Heroes 官网报告可看出,要能与 AI 抗衡,除了长度够长,混合大小写字母及符号就愈
: 接近牢不可破。数字和小写字母组成 10 字符密码,1 小时内破解机率为 65%,若加上大
: 写字母或特殊符号,破解时间可增至 5 年。
: 18 字符密码可保安全无虞,安全公司建议至少 15 字符才安全
: 基本上密码长度只要大于 18 字符,可完全无惧现行 AI。即使纯数字 18 字符密码,AI
: 破解也要耗费 10 个月之久,如果再混合大小写子母及符号,破解时间更达难以想像的
: 100 京(Quintillion,10 的 18 次方)年。
: 现行 AI 连 11 字符纯数字密码都可瞬间破解,即使加长到 14 字符也只需 36 分,所以
: Home Security Heroes 建议密码长度起码要 15 字符(AI 破解约需 5 小时)才够安全
: ,且只要再复杂一点,15 字符皆改成小写字母,破解时间可拉长到 890 年。Home
: Security Heroes 建议使用者重要密码最好每隔几个月就换一次。
: https://reurl.cc/Dm7eZR
: ▲ AI 破解不同长度及复杂度密码时间表。(Source:Home Security Heroes)
: 多年来,安全专家一再呼吁用户定期更换密码,并使用强固式密码,但成效不彰。对多数
: 使用者而言,即使 8 字符密码都不见得记得住,更别说 15 字符、混合密码,甚至定期
: 更换等不切实际的建议。事实证明,定期更换强固式密码的建议窒碍难行。或许苹果、
: Google 及微软早看透这点,才会联手推动无密码技术。随着 AI 技术突飞猛进,AI 破解
: 更复杂密码绝对比人类定期更新高强度密码更快实现。有鉴于此,拥抱无密码时代,或许
: 才是最贴合人性的可行之道。
: AI Can Now Crack Most Passwords in Less Than a Minute
: ↓
: https://reurl.cc/XLgp5j (英文原文版本)
: (首图来源:科技新报)
: https://reurl.cc/o06pQg