Da li je budućnost lozinki ugrožena?
Istraživači napravili AI generator lozinki i pomoću njega otkrili 11.7 miliona lozinki sa LinkedIna.
Istraživači sa Njujorškog tehnološkog instituta i Stevens tehnološkog instituta napravili su softver za mašinsko učenje koji generiše realistične lozinke zasnovane na ljudskom ponašanju. U pitanju je AI platforma pod nazivom PassGAN. GAN je skraćenica za relativno novu tehnologiju mašinskog učenja - Generative Adversarial Networks. Za eksperiment su korišćeni kompromitovani LinkedIn nalozi čije su lozinke ranije procurele (radi se o nekoliko desetina miliona naloga). PassGAN je u kombinaciji sa postojećim alatima za otkrivanje lozinki uspeo da pogodi čak 25% tih lozinki odnosno ukupno 11.7 miliona.
Veštačka inteligencija
Paolo Gasti, jedan od koautora ove tehnologije, navodi da se nova platforma sastoji od 2 neuronske mreže. Jedna neuronska mreža generiše lažne lozinke nakon što joj se ubaci set podataka sa pravim procurelim lozinkama. Softver kreira novi set računarsko generisanih lozinki koje oponašaju prave lozinke. Drugim rečima, veštačka inteligencija uči kako ljudi smišljaju lozinke i na osnovu primera postojeće lozinke kreira nove lozinke.
Drugu neuronsku mrežu Gasti naziva „diskriminatornom“.To znači da, za razliku od prve mreže koja na osnovu seta podataka generiše lažne lozinke, druga mreža pokušava da odvoji nove lažne od pravih lozinki. Zadatak je gotov onda kada druga neuronska mreža ne može da razlikuje lozinke koje je generisala prva neuronska mreža na osnovu seta podataka lozinki koje su kreirali ljudi. Rezultat je novi set podataka koji sadrži milione realističnih lozinki koje platforma može da iskoristi da pokuša da se uloguje u naloge drugih korisnika.
Istraživači navode da ova platforma unapređuje efikasnost postojećih alata za otkrivanje lozinki koji funkcionišu na principu varijabli i kombinacija koje koriste rečnik i setove podataka procurelih lozinki. PassGAN platforma kreira „verovatne lozinke“, bez pokušaja pravljenja različitih varijanti iste lozinke (drugi softveri će recimo probati različite kombinacije lozinke „Volim te“ - „volimte“, „v0limt3“, „volimte1234“ itd.). PassGAN uči na koji način ljudi kreiraju lozinke umesto da pokušava sa beskonačnim kombinacijama određenih reči i brojeva.
Otkrivanje LinkedIn lozinki
Kako bi „naučili“ algoritam, istraživači su ga „hranili“ sa 2 seta podataka pravih procurelih lozinki. Da bi proverili efektivnost algoritma, istraživači su 80% od ukupno 43 miliona lozinki sa LinkedIna ubacili u platformu i uporedili generisane lozinke sa ostalih 20% LinkedIn lozinki. Rezultat? PassGAN je generisao skoro 12% lozinki iz LinkedIn seta lozinki. Stariji alati za otkrivanje lozinki, Jack the Ripper i hashCat su generisali 6%, odnosno 23%. Kombinovanim korišćenjem PassGAN i hashCat generisano je 27% lozinki iz LinkedIn seta.
Budućnost lozinki?
Možda ne zvuči kao epohalno otkriće, ali ovi rezultati su značajni i nova tehnologija može imati veliki uticaj na sajber bezbednost. Gasti navodi da će državni organi i sajber kriminalci vremenom usvojiti ovu tehnologiju, a takođe smatra da je mogu koristiti IT kompanije za penetration testove i za proveru da li zaposleni koriste jake lozinke.
U budućnosti, sa napretkom PassGAN tehnologije, odnosno sa još boljim pogađanjem pravih lozinki, možda će se ispostaviti da lozinke nisu efektivno sredstvo zaštite. Gasti smatra da u teoriji možete da napravite jaku lozinku, ali PassGAN je još jedan alat koji će pokušati da je otkrije. Stoga, budućnost lozinki je limitirana.