實驗證明，人工智能可以輕易破譯你的密碼

 上周，征信公司 Equifax宣布其系統(tǒng)中 1.43 億人的個人信息已經(jīng)被黑客惡意泄露。這當(dāng)然是令人擔(dān)憂的，但是事實上，如果一個黑客想要通過直接破解你密碼的方式訪問你的在線數(shù)據(jù)，恐怕不到一小時你的賬號就被盜。

而現(xiàn)在，更壞的消息來了：科學(xué)家們已經(jīng)利用AI的力量創(chuàng)建了一個程序，結(jié)合現(xiàn)有的工具，從一組超過 4300 萬個領(lǐng)英的個人資料中推算出四分之一以上賬戶的密碼。研究人員說，這項技術(shù)也可能被用來擊敗密碼保衛(wèi)戰(zhàn)中的“大反派”——黑客。

“這項新技術(shù)也可能用于生成誘餌密碼以幫助檢測違規(guī)。”Thomas Ristenpart說。也就是說人們可以利用這項技術(shù)幫助用戶和公司衡量密碼的強度。他是康涅狄格州紐約市研究計算機安全的計算機科學(xué)家，但并沒有參與這項研究。

最強大的密碼猜測程序John Ripper和hashCat使用了許多種技術(shù)。其中一種就是直接暴力破解，即隨機嘗試許多字符的組合，直到得到正確的答案。其他方法則包括基于先前泄露的密碼和利用概率方法推斷密碼中的每個字符。在一些網(wǎng)站上，這些程序已經(jīng)破解了 90％ 以上的密碼。 但是他們需要花耗費多年的時間來手工編寫代碼，構(gòu)建攻擊計劃。

新的研究旨通過應(yīng)用深度學(xué)習(xí)來加快這一進程。研究人員們試圖從生成式對抗網(wǎng)絡(luò)，即生成式對抗網(wǎng)絡(luò)著手。這其中包含兩個人工神經(jīng)網(wǎng)絡(luò)：一個為“發(fā)生器”，負責(zé)產(chǎn)生類似于實際例子（實際照片）的人工輸出（如圖像），另一個為“鑒別器”，試圖從假冒的例子中檢測出真實的例子。 它們彼此互助完善，直到發(fā)生器變成嫻熟的造假機器。研究人員之一 Giuseppe Ateniese 將發(fā)生器和鑒別器相應(yīng)地比作警方的犯罪側(cè)寫師和目擊者。

該團隊創(chuàng)建了一個名為PassGAN的生成對抗網(wǎng)絡(luò)，并將其與兩個版本的hashCat 和一個版本的 John the Ripper 進行了比較�？茖W(xué)家向每個工具提供數(shù)千萬個從一個稱為RockYou的游戲網(wǎng)站泄露的密碼，并要求他們自己生成數(shù)億個新密碼。然后，他們計算了這些新密碼中有多少與領(lǐng)英中的一組泄露密碼相匹配，以衡量他們?nèi)绾纬晒Φ仄平馑麄儭?/p>

最后，PassGAN 自行生成了領(lǐng)英集合中 12％ 的密碼，而其三個競爭對手則分別是 6％ 至 23％。但是性能最好的是PassGAN 和 hashCat 的組合。正如研究人員在本月份在 arXiv 上發(fā)布的一份論文草稿中報告的，二者結(jié)合后能夠在領(lǐng)英集中破解 27％ 的密碼。有意思的是，PassGAN 破解失敗的密碼似乎都很有現(xiàn)實意義：saddracula，santazone，coolarse18。

紐約大學(xué)計算機科學(xué)家Martin Arjovsky說，使用GANs來幫助猜測密碼是“新奇的”。他說：“這證明了一個明顯而重要的問題，那就是應(yīng)用簡單的機器學(xué)習(xí)解決方案可以帶來關(guān)鍵性的的優(yōu)勢。”

同時，Ristenpart說：“我不清楚是否真的需要GANs的繁重機制才能得到這樣的效果。”也許更簡單的機器學(xué)習(xí)技術(shù)和hashCat結(jié)合就可以達到同樣的效果（Arjovsky也贊同這一點）。

事實上，最近賓夕法尼亞州匹茲堡卡內(nèi)基梅隆大學(xué)制作的一個高效神經(jīng)網(wǎng)絡(luò)在這方面的表現(xiàn)頗具前景，并且Ateniese計劃在提交他的同行評審論文之前直接將其與PassGAN的效果進行比較。

Ateniese說，雖然在這次試點示范中PassGAN協(xié)助了hashCat，但他確信在未來的迭代中會超過 hashCat。其中一部分原因是因為hashCat使用固定規(guī)則，并且無法自行生成超過 6.5 億個密碼。 而發(fā)明自己的規(guī)則的PassGAN則可以無限制地創(chuàng)造密碼。“當(dāng)我們說話的時候就會產(chǎn)生數(shù)以百萬計的密碼，”他說。

Ateniese還表示，PassGAN將改進神經(jīng)網(wǎng)絡(luò)中的更多層級，并根據(jù)更多泄露的密碼進行訓(xùn)練。他將PassGAN比做AlphaGo，就是最近在圍棋比賽中使用深度學(xué)習(xí)算法擊敗人類冠軍的谷歌DeepMind的項目。“AlphaGo設(shè)計出專家們從未見過的新策略，”Ateniese說。 “所以我個人相信，如果你給PassGAN提供足夠的數(shù)據(jù)，它就能設(shè)計出人類無法想到的規(guī)則。”

最后，如果您擔(dān)心自己賬號的安全問題，專家建議使用高強度的密碼，例如使其長度更長（但仍易于記住），并使用兩步驗證。