Спецпроекты

Безопасность Стратегия безопасности Маркет

Нейросеть научили взламывать пароли миллионами

Ученые из США разработали комплексную нейронную сеть с технологией машинного обучения, которая сумела подобрать более 10 млн паролей к учетным записям LinkedIn.

Интеллектуальный поточный взлом паролей

Ученым из Технологического института Стивенса (Stevens Institute of Technology) в Хобокене (Нью-Джерси, США) разработали платформу для подбора паролей под названием PassGAN, основанную на генеративной состязательной сети (сокращенно GAN – Generative Adversarial Network).

С помощью технологии PassGAN ученым в сочетании с другими инструментами для подбора паролей удалось за короткий срок взломать аккаунты к более чем четверти из 43 млн учетных записей социальной сети LinkedIn.

По словам разработчиков, сообщил журнал Science, кроме практического исследования возможностей искусственного интеллекта, они преследовали вполне прикладную цель – продемонстрировать всю ненадежность слабых паролей, чтобы пользователи и компании начали относиться к защите своих данных в интернете более серьезно и ответственно.

По мнению Томаса Ристенпарта (Thomas Ristenpart), исследователя в области компьютерной безопасности из Корнельского технологического университета (Cornell Tech, Нью-Йорк, Нью-Йорк, США), новая технология PassGAN также с успехом может использоваться для генерирования «паролей-приманок», которые могут помощь выявить бреши в защите.

Работа ученых из Технологического института Стивенса под названием «PassGAN: A Deep Learning Approach for Password Guessing» полностью опубликована в Сети.

Как работает технология 

Платформа PassGAN выполнена на основе двух искусственных нейронных сетей, каждая из которых имеет свою специализацию: одна в качестве генератора создает изображения, другая в качестве дискриминатора сравнивает их с подлинниками. В результате такого обучения «генератор» становится искусным фальсификатором.

Нейронные сети научились подбирать пароли миллионами

Джузеппе Атенис (Giuseppe Ateniese), соавтор исследования, провел аналогию работы генератора и дискриминатора с тем, как работает художник из полиции, составляющий фоторобот преступника по описанию свидетеля происшествия. 

В настоящее время существует ряд достаточно сильных программ для угадывания паролей. Лучшие из них – такие как John the Ripper и hashCat, сочетают различные методы взлома – от подстановки случайных наборов символов до экстраполяции по базам популярных паролей и вероятностных методов угадывания символов. Для некоторых сайтов эти программы смогли угадать более 90% паролей, но создание их алгоритмов потребовало многолетнего ручного кодирования.

В процессе проведения эксперимента ученые из Технологического института Стивенса провели сравнение паролей аккаунтов LinkedIn с теми, попавших в открытый доступ через игровой сайт RockYou, с теми, что сгенерировала платформа PassGAN – самостоятельно или в сочетании с другими популярными инструментами подбора паролей. 

Ученые отмечают, что даже не подошедшие пароли, сгенерированные PassGAN, выглядят вполне реалистично, например: saddracula, santazone, coolarse18.

В итоге платформа PassGAN самостоятельно подобрала 12% паролей, ее конкуренты – в том числе, hashCat и John the Ripper, смогли подобрать от 6% до 23% паролей. Наиболее высокий результат – 27% паролей к учетным записям социальной сети LinkedIn, был получен в результате совместного использования PassGAN и hashCat.

Тестирование PassGAN и сравнение итогов с другими алгоритмами

По мнению Джузеппе Атениса, в будущем PassGAN сможет легко обойти hashCat. Частично это связано с тем, что hashCat использует фиксированные правила и не может самостоятельно сгенерировать более 650 млн паролей. 

PassGan, в свою очередь, «изобретает» по ходу выполнения задания свои собственные правила и может генерировать пароли неограниченно долго. 

По словам Джузеппе Атениса, результат PassGAN будет улучшаться по мере увеличения количества уровней в нейронных сетях, а также по мере дополнительного обучения на большем числе образцов утекших в сеть паролей. 

Владимир Бахур

Короткая ссылка