Ученым из Технологического института Стивенса (Stevens Institute of Technology) в Хобокене (Нью-Джерси, США) разработали платформу для подбора паролей под названием PassGAN, основанную на генеративной состязательной сети (сокращенно GAN – Generative Adversarial Network).
С помощью технологии PassGAN ученым в сочетании с другими инструментами для подбора паролей удалось за короткий срок взломать аккаунты к более чем четверти из 43 млн учетных записей социальной сети LinkedIn.
По словам разработчиков, сообщил журнал Science, кроме практического исследования возможностей искусственного интеллекта, они преследовали вполне прикладную цель – продемонстрировать всю ненадежность слабых паролей, чтобы пользователи и компании начали относиться к защите своих данных в интернете более серьезно и ответственно.
По мнению Томаса Ристенпарта(Thomas Ristenpart), исследователя в области компьютерной безопасности из Корнельского технологического университета (Cornell Tech, Нью-Йорк, Нью-Йорк, США), новая технология PassGAN также с успехом может использоваться для генерирования «паролей-приманок», которые могут помощь выявить бреши в защите.
Работа ученых из Технологического института Стивенса под названием «PassGAN: A Deep Learning Approach for Password Guessing» полностью опубликована в Сети.
Как работает технология
Платформа PassGAN выполнена на основе двух искусственных нейронных сетей, каждая из которых имеет свою специализацию: одна в качестве генератора создает изображения, другая в качестве дискриминатора сравнивает их с подлинниками. В результате такого обучения «генератор» становится искусным фальсификатором.
Джузеппе Атенис(Giuseppe Ateniese), соавтор исследования, провел аналогию работы генератора и дискриминатора с тем, как работает художник из полиции, составляющий фоторобот преступника по описанию свидетеля происшествия.
В настоящее время существует ряд достаточно сильных программ для угадывания паролей. Лучшие из них – такие как John the Ripper и hashCat, сочетают различные методы взлома – от подстановки случайных наборов символов до экстраполяции по базам популярных паролей и вероятностных методов угадывания символов. Для некоторых сайтов эти программы смогли угадать более 90% паролей, но создание их алгоритмов потребовало многолетнего ручного кодирования.
В процессе проведения эксперимента ученые из Технологического института Стивенса провели сравнение паролей аккаунтов LinkedIn с теми, попавших в открытый доступ через игровой сайт RockYou, с теми, что сгенерировала платформа PassGAN – самостоятельно или в сочетании с другими популярными инструментами подбора паролей.
Ученые отмечают, что даже не подошедшие пароли, сгенерированные PassGAN, выглядят вполне реалистично, например: saddracula, santazone, coolarse18.
В итоге платформа PassGAN самостоятельно подобрала 12% паролей, ее конкуренты – в том числе, hashCat и John the Ripper, смогли подобрать от 6% до 23% паролей. Наиболее высокий результат – 27% паролей к учетным записям социальной сети LinkedIn, был получен в результате совместного использования PassGAN и hashCat.
По мнению Джузеппе Атениса, в будущем PassGAN сможет легко обойти hashCat. Частично это связано с тем, что hashCat использует фиксированные правила и не может самостоятельно сгенерировать более 650 млн паролей.
PassGan, в свою очередь, «изобретает» по ходу выполнения задания свои собственные правила и может генерировать пароли неограниченно долго.
По словам Джузеппе Атениса, результат PassGAN будет улучшаться по мере увеличения количества уровней в нейронных сетях, а также по мере дополнительного обучения на большем числе образцов утекших в сеть паролей.