"Bilim" kırma şifresi "AlphaGo" doğdu ve Gan'a LinkedIn test seti şifrelerinin% 27'sini kırması için eğitim verildi
1 Yeni Zhiyuan derlemesi
Daha önce, GAN çoğunlukla resim görevleri için kullanılıyordu ve nadiren metne uygulanıyordu.
Geçtiğimiz hafta, kredi raporlama kuruluşu Equifax, bilgisayar korsanlarının sistemindeki 143 milyon kişinin kişisel bilgilerini kötü niyetle sızdırdığını duyurdu. Bu çok endişe vericidir. Bilgisayar korsanları sadece şifrenizi tahmin ederek çevrimiçi verilerinize erişmek isterlerse, bunu bir saat içinde yapabilirler. Şimdi daha kötü haberler geliyor: Araştırmacılar mevcut araçlarla birleştirilmiş bir GAN oluşturdular, modeli eğitmek için 43 milyondan fazla LinkedIn profili kullandılar ve şifrelerin dörtte birini doğru tahmin ettiler.
John Ripper ve hashCat şu anda en güçlü şifre tahmin programlarıdır ve birkaç teknik kullanırlar. Birincisi, doğru olanı elde edilene kadar çeşitli karakter kombinasyonlarını rastgele deneyen kaba kuvvet kod çözmedir. Diğer yöntemler, önceden sızdırılmış parola bilgilerini gerektirir ve ardından parolada görünen her karakteri önceki parolaya göre tahmin etmek için olasılık yöntemlerini kullanır. Bazı web sitelerinde, bu programlar şifrelerin% 90'ından fazlasını tahmin edebilir. Ancak bir saldırı planı oluşturmak için yıllarca manuel kodlama gerektirirler.
Yeni araştırma, derin öğrenme tekniklerini uygulayarak bu süreci hızlandırmayı hedefliyor. Stevens Teknoloji Enstitüsü'ndeki araştırmacılar, iki yapay sinir ağı, bir jeneratör ve bir ayırıcıdan oluşan bir Generative Adversarial Network (GAN) kurdular. GAN'ın önceki uygulamaları çoğunlukla görüntü tanımaya odaklanmıştır. Jeneratör, örneği (gerçek fotoğraf) taklit eden yapay çıktı (görüntü gibi) üretir ve "ayırıcı", taklitçiyi ortadan kaldırmaya ve gerçek fotoğrafı algılamaya çalışır. Hem jeneratör hem de ayırıcı daha iyi hale gelene kadar birbirlerini mükemmelleştirir.
Stevens Institute of Technology'den kağıt ve bilgisayar bilimcisi Giuseppe Ateniese'nin ortak yazarı "GAN gerçekçi görüntüler oluşturmak için kullanıldı, ancak metinde çok fazla uygulama yapılmadı." Dedi. Bu açıdan, GAN'ı şifre oluşturmaya uygulamak da bir dönüm noktasıdır.
PassGan ve hashCat kombinasyonu, LinkedIn şifre grubundaki şifrelerin% 27'sini kırabilir
Stevens araştırma ekibi PassGAN adında bir GAN oluşturdu ve bunu hashCat'in iki sürümü ve John Ripper'ın bir sürümü ile karşılaştırdı. Bilim adamları, RockYou adlı bir oyun sitesinde sızdırılan her bir aracı on milyonlarca parola ile beslediler ve onlardan yüz milyonlarca yeni parola oluşturmalarını istedi. Ardından, kırma başarı oranlarını ölçmek için bu yeni şifrelerin kaç tanesinin LinkedIn'de bir dizi sızdırılmış şifreyle eşleştiğini hesapladılar.
PassGAN, LinkedIn şifre grubundaki şifrelerin% 12'sini kendisi oluştururken, üç rakibinin puanları% 6 ile% 23 arasındadır. Ancak en iyi performans PassGAN ve hashCat kombinasyonundan gelir. Birlikte, LinkedIn şifre grubundaki şifrelerin% 27'sini kırabilirler. Bu ay arXiv'de yayınlanan bir araştırma raporu, PassGan tarafından üretilen "başarısız" şifrelerin saddracula, santazone, coolarse18 gibi gerçek göründüğüne bile işaret etti.
Gan tarafından oluşturulan benzersiz şifrelerin sayısı ve RockYou test setiyle eşleşen şifrelerin sayısı
New York Üniversitesi'nde bu teknolojiyi inceleyen bir bilgisayar bilimcisi olan Martin Arjovsky, "Parolaları tahmin etmeye yardımcı olmak için GAN'ların kullanılması yeni bir çalışma," dedi. Makalesi, basit makine öğrenimi çözümlerinin önemli avantajlar getirebileceğini ancak aynı zamanda var olduklarını kanıtlıyor. Bazı bariz sorunlar var. "
PassGan, HashCat ve JTR kullanarak parola oluşturmanın benzersizliği ve yeniliğinin karşılaştırılması
New York City'deki Cornell Tech'te bilgisayar güvenliği üzerine çalışan bir bilgisayar bilimcisi olan (bu araştırmaya dahil olmayan) Thomas Ristenpart, "Bu etkiyi elde etmek için GAN gibi bir 'ağır silah' kullanmanın gerekli olup olmadığından emin değilim. Belki daha basit bir makine Öğrenme teknolojisi HashCat'e de yardımcı olabilir (Arjovsky kabul ediyor). Ayrıca bu çalışmanın kullanıcılara ve işletmelerin şifrelerin güvenliğini ölçmesine yardımcı olabileceğini söyledi. "Bu yeni teknoloji, ihlalleri tespit etmeye yardımcı olmak için sahte şifreler oluşturmak için de kullanılabilir. "
Teknik yorumlama: PassGan'ın çıktı kalitesi, şifre oluşturma kurallarına eşdeğer veya ötesinde
RockYou test setinde oluşturulan şifre sayısının PassGan, HashCat ve JTR kullanılarak karşılaştırılması
PassGAN'da araştırmacılar, öğrenme ve aşırı uyum arasındaki uygun dengeyi belirlemek için farklı sinir ağı konfigürasyonlarını, parametrelerini ve eğitim prosedürlerini araştırdılar. Özellikle araştırmacıların katkıları aşağıdaki gibidir: (1) GAN'ın yüksek kaliteli şifre tahminleri oluşturabildiğini gösterir. Araştırmacı, RockYou veri seti için gerçek kullanıcı şifrelerinden oluşan test setinde yer alan 5.919.936 şifrenin 2.774.269'unu (% 46.86), LinkedIn veri setindeki 43.454.871 şifreden 4.996.980'ini (% 11,53) eşleştirebildi. . Pass-GAN tarafından oluşturulan ve test setiyle eşleşmeyen şifrelerin büyük çoğunluğu hala yapay şifrelere "benziyor"; (2) Araştırmalar, teknolojisinin daha önce en gelişmiş şifre oluşturma kurallarıyla rekabet edebileceğini gösteriyor. Bu kurallar, değerlendirmede kullanılan veri seti için özel olarak ayarlansa da, PassGAN'ın çıktı kalitesi, şifre oluşturma kurallarıyla (HashCat'te) karşılaştırılabilir veya şifre oluşturma kurallarından (John Ripper'da) daha iyidir; (3) Araştırma sonuçları ayrıca PassGAN'ın şifre oluşturma kurallarını desteklemek için kullanılabileceğini gösteriyor. Deneyde araştırmacı, herhangi bir şifre kuralı eşleştirilerek oluşturulamayacak bir şifre oluşturmak için PassGAN'ı başarıyla kullandı. Araştırmacı, PassGAN çıktısını HashCat çıktısıyla birleştirdiğinde, tek başına HashCat kullanımına kıyasla% 18 ila% 24 ek benzersiz şifrelerle eşleşebilir (4) Parola oluşturma kurallarının aksine, PassGAN neredeyse sınırsız sayıda parola tahmini oluşturabilir . Deneyler, yeni (benzersiz) parola tahminlerinin sayısının, GAN tarafından oluşturulan toplam parola sayısı ile birlikte giderek arttığını göstermektedir. Bu önemlidir, çünkü şu anda kurallar kullanılarak oluşturulan benzersiz şifrelerin sayısı, bu kuralların şifre veri kümesinin boyutuyla sınırlıdır.
PassGan, HashCat ve JTR kullanılarak LinkedIn test setinde oluşturulan şifre sayısının karşılaştırılması
PassGan modeli aşağıdaki hiperparametreleri kullanır:
BatchSize, eğitim kümesindeki optimize edicinin her adımında GAN'da yayılan parola sayısını temsil eder.
Yineleme sayısı, GAN'ın ileri adımını ve geri yayılma adımını kaç kez çağırdığı anlamına gelir. Her yinelemede, GAN bir üreteç yinelemesini ve bir veya daha fazla ayırıcı yinelemesini çalıştırır.
Her bir jeneratör yinelemesi sırasında, her GAN yinelemesinde oluşturucu tarafından gerçekleştirilen yinelemelerin sayısını temsil eden, ayırıcının yineleme sayısı.
Her evrişimli katmanın boyutunu (ağırlığını) temsil eden model boyutu.
Girdisi için ayırıcının gradyan normuna uygulanan cezayı belirten gradyan ceza katsayısı (). Bu parametrenin artırılması GAN eğitimini daha kararlı hale getirebilir.
Çıkış dizisinin uzunluğu, jeneratör tarafından üretilen dizinin maksimum uzunluğunu gösterir.
Örnek oluşturmak için girdi olarak G'ye kaç rastgele bit beslendiğini belirlemek için kullanılan giriş gürültüsü vektörünün (çekirdek) boyutu.
Maksimum örnek sayısı, yüklenecek maksimum eğitim öğesi sayısını gösterir (PassGAN'da, parola sayısı).
Adam optimizer'ın hiper parametreleri:
o Model ağırlıklarını ayarlama sıklığı olan öğrenme oranı
o 1 katsayısı, gradyanın hareketli ortalamasının bozulma oranını belirtir.
O katsayısı 2, gradyan karesinin hareketli ortalamasının bozulma oranını temsil eder.
Şifre kırma görevindeki "AlphaGo" ya benzer şekilde, insanların anlayamayacağı kurallar önerebilir
Aslında, CMU tarafından oluşturulan verimli sinir ağı daha önce dikkatleri üzerine çekti (bu araştırma hakkında daha sonra tanıtacağız) ve Ateniese, makaleyi meslektaş incelemesine göndermeden önce bunu PassGAN ile karşılaştırmayı planlıyor.
Ateniese, PassGAN'ın bu demoda hashCat'e yardım etmesine rağmen, yinelemeden sonra PassGan'ın HashCat'i geçeceğine "ikna" olduğunu söyledi. Bunun bir nedeni, HashCat'in sabit kurallar kullanması ve kendi başına 650 milyondan fazla şifre üretememesidir.
Ve kendi kurallarını oluşturan PassGan, sınırsız şifre oluşturabilir. Ateniese, "Şu anda milyonlarca şifre üretiyor" dedi. Ateniese, PassGAN'ın sinir ağına daha fazla katman ekleyeceğini ve eğitim için daha fazla sızdırılmış şifre kullanacağını söyledi.
PassGAN'ı DeepMind's AlphaGo ile karşılaştırdı. " AlphaGo, uzmanların daha önce hiç görmediği bazı yeni stratejiler üretiyor, "dedi Ateniese," Bu yüzden şahsen, PassGAN'a yeterince veri verirseniz, insanların anlayamayacağı kurallar ortaya çıkarabileceğini düşünüyorum. "
CMU Araştırmasına Giriş: Metin parolalarının tahmin saldırılarına karşı direncini simüle etmek için yapay sinir ağlarını kullanma
Günümüzde en önemli kimlik doğrulama yöntemi, yani manuel olarak metin biçiminde bir parola belirlemek, parola tahmin saldırıları karşısında istikrarsız hale geldi. Ancak, rakip parola tahminini modelleyerek parola gücünü değerlendirmeye yönelik mevcut yöntemler ya yanlıştır ya da büyüklük sırası çok büyüktür ve hız, gerçek zamanlı istemci parola denetimi gerçekleştirmek için çok yavaştır. Metin parolalarının tahmin saldırılarına karşı direncini simüle etmek için yapay sinir ağlarını kullanmayı ve farklı mimarilerin ve eğitim yöntemlerinin sinir ağlarının tahmin etkisi üzerindeki etkisini araştırmayı öneriyoruz. Sinir ağlarının, olasılıklı bağlamdan bağımsız dilbilgisi ve Markov modelleri gibi moda şifre kırma yöntemlerinden daha etkili bir şekilde şifreleri tahmin edebildiğini kanıtladık. Sinir ağı, tahmin etkisini etkilemeden yalnızca birkaç yüz KB'ye yüksek oranda sıkıştırılabilir. Bu sonuçlardan yola çıkarak, şifrelerin herhangi bir zamanda saniyelik gecikmelerle tahmin saldırılarına direnme yeteneğini analiz eden JavaScript'teki ilkelere sahip ilk şifre tahmin istemci modelini kurduk. Kısacası, aldığımız sonuçlar şifre kontrolünü eskisinden daha doğru ve pratik hale getiriyor.
Paroladaki sonraki karakteri tahmin etmek için bir sinir ağı kullanma örneği
Orijinal adres: artificial-intelligence-just-made-guessing-your-password-whole-lot-easier
Kağıt adresi: 1.https: //arxiv.org/pdf/1709.00440.pdf
2. https://www.usenix.org/system/files/conference/usenixsecurity16/sec16_paper_melicher.pdf
İş ayrıntılarını görüntülemek için orijinal metni okumak için tıklayın ve katılmanızı dört gözle bekleyin ~
