حدس زدن گذرواژهها با ابزار یادگیری عمیق PassGAN بسیار آسانتر میشود.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
حدس زدن گذرواژهها با ابزار یادگیری عمیق PassGAN بسیار آسانتر میشود.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، هوش مصنوعی و یادگیری عمیق به سمت امنیت اطلاعات رفتهاند و یکی از کاربردهای اولیه این رویکرد به وجود آمده و بر گذرواژهها متمرکز است. محققان موسسه فناوری استیونز و موسسه فناوری نیویورک اخیرا برخی از نتایج اولیه کار خود را که از شبکههای مولد رقیب برای حدس گذرواژهها استفاده کردهاند و به گفتهی خود آنها از ابزارهای موجود مانند هشکات و جاندریپر بهتر عمل میکند، را منتشر کردهاند.
محققان میگویند با انتخاب این ابزارهای تحلیلی قدرتمند که میتوانند از ماشینها استفاده کنند تا از دادههای موجود مانند هریک از میلیونها گذرواژه که در ۱۸ ماه گذشته فاش شدهاند، یاد بگیرند و قوانین گذرواژه جدیدی را ایجاد کنند که نهتنها باعث افزایش کارایی ابزارهای آزمایشی میشوند، بلکه همچنین میتواند روزی به عنوان ابزار اصلی برای بازیابی یا حدس گذرواژهها مورد استفاده قرار بگیرند.
گاستی، یک محقق از NYIT، گفت: «در صورتیکه فردا نفوذ در گذرواژه دیگری رخ دهد؛ اگر شما قوانینی را بهصورت دستی ساختهباشید و بخواهید از مزایای این نفوذ بهرهمند شوید، باید به میان مردم بروید و بررسی کنید که چه چیزی مطابقت ندارد و چگونه میتوان بهصورت دستی این چیزهای جدید را با قوانین و کلمات کلیدی تطبیق داد. این یک کار دستی است. آنچه که ما در حال انجام آن هستیم این است که از گذرواژهها رونوشت تهیه میکنیم باید به جای این کار گذرواژهها را به ابزار بدهید و آن را برای یک روز، یک هفته یا یک ماه اجرا کنید و کار شما انجام میشود. شما قبلا دیدهاید که ابزارها میتوانند از این مجموعه دادههای جدید، یاد بگیرد.»
گاستی همراه با همکارانش بریلند هیتای، جوزپه آتنیزی و فرناندو پرز کروز از موسسه فناوری استیونز و موسسه فناوری نیویورک اخیرا مقالهای با عنوان «PassGAN: یک رویکرد یادگیری عمیق برای حدس گذرواژه» منتشر کردهاست. آنها گفتند PassGAN نام روش آنهاست که شبکههای مولد رقیب را برای بهبود ابزارهای ایجاد گذرواژه مبتنی بر قانون به کار میبرد. آنها نوشتند: «PassGAN نشاندهنده پیشرفت قابل توجهی در ابزارهای ایجاد گذرواژه مبتنی بر قانون است، زیرا آن از طریق دادههای گذرواژه بهصورت خودکار اطلاعات توزیعشده گذرواژهها را حدس میزند به جای اینکه این کار را از طریق تحلیل دستی انجام دهد. به عنوان یک نتیجه، این ابزار میتواند بدون هیچ زحمتی از مزایای یک نفوذ در گذرواژههای جدید برای ایجاد توزیعهای گذرواژه تواناتر بهرهمند شود.»
این مقاله شامل نتایجی از چندین آزمایش است که نشان میدهد چگونه PassGAN گذرواژههایی را که از نفوذ در لینکدین و راکیو به دست آمدهبود تحلیل میکند و از قوانین جان دریپر پیشی میگیرد و با قوانین بست۶۴ و گن۲ از هشکات رقابت میکند. آنها نوشتند: «هنگامی که ما خروجی PassGAN را با خروجی هشکات ترکیب کردیم، توانستیم ۱۸ تا ۲۴ درصد گذرواژه بیشتری را نسبت به زمانیکه فقط از هشکات استفاده کردیم، تطبیق دهیم. این قابل توجه است، زیرا نشان میدهد که PassGAN میتواند شمار قابل توجهی از گذرواژه تولید کند که از توان ابزارهای فعلی خارج است.»
در عین حال، شبکههای مولد رقیب، ابزارهای یادگیری عمیق هستند که از دو شبکه عصبی عمیق تشکیل شدهاند: مولد و متمایز کننده. یادگیری عمیق در بسیاری از برنامههای کاربردی برای تولید یک چیز جدید از یک مجموعه داده استفاده میشود. برای مثال، پویش هزاران تصویر از چهرهها یا اتاقها برای ایجاد یک تصویر جدید و منحصربهفرد.
گاستی گفت که این ممکن است اولین کاربرد شبکههای مولد رقیب در امنیت باشد و قصدشان این است که شبکههای عصبی عمیق را آموزش دهند تا گذرواژههای انتخابشده توسط کاربران را تشخیص دهند، بدون اینکه هیچگونه محتوایی اعم از اطلاعات شخصی مثل تاریخهای تولد و یا نامهای مورد علاقه که کاربر معتقد است اگر آنها را با هم ترکیب کند، یک گذرواژه پیچیده خواهد داشت را در اختیار این شبکههای عصبی قرار دهند.
گاستی گفت: «ما هیچ اطلاعاتی را ارائه نمیدهیم، فقط کورکورانه مجموعهای از گذرواژهها را به ماشین میدهیم و ماشین گذرواژه را کشف میکند. ایده این است که این ماشین صدها هزار بار در میان این گذرواژهها میرود و هر بار در میان این گذرواژهها اجرا میشود و هربار یک چیز جدید و یک رابطه بین اجزای یک گذرواژه یاد میگیرد. نتیجه عبور صد هزارم ممکن است این باشد که «من این کلمه و اعداد را شناسایی کردهام و رابطه بین آنها را میدانم.»
هربار که این ابزار در میان دادهها میرود، چیزی جدید به دست میآورد. به جای داشتن گروهی از افراد که بهصورت دستی صدها هزار گذرواژه را بررسی کنند، ماشین این کار را برای شما انجام میدهد.»
وی گفت که در حالت ایدهآل، یک گروه سریع از ماشینها میتواند میلیونها گذرواژه را در یک ماه تجزیهوتحلیل کنند و قوانینی را که فرایند دستی هرگز قادر به تولید آنها نیست، استخراج کند.
گاستی میگوید: «من احساس میکنم ما مانع از تشخیص این شدهایم که چه گذرواژهای خوب است. از آنجایی که ما اکنون در حدس زدن گذرواژهها بهتر هستیم، میتوانید تصور کنید هر گذرواژهای که فکر میکردیم ایمن است، از این به بعد ناامن است. گذرواژههایی که پیش از این قابل حدس زدن نبودند، اکنون میتوانند کشف شوند و این به دلیل ضعیف بودن گذرواژهها نیست بلکه به این خاطر است که ما راه بهتری برای دسترسی به گذرواژهها پیدا کردهایم.»