С помощью технологии PassGAN ученым в сочетании с другими инструментами для подбора паролей удалось за короткий срок взломать аккаунты к более чем четверти из 43 млн учетных записей социальной сети LinkedIn.
По словам разработчиков, сообщил журнал Science, кроме практического исследования возможностей искусственного интеллекта, они преследовали вполне прикладную цель – продемонстрировать всю ненадежность слабых паролей, чтобы пользователи и компании начали относиться к защите своих данных в интернете более серьезно и ответственно.
По мнению Томаса Ристенпарта (Thomas Ristenpart), исследователя в области компьютерной безопасности из Корнельского технологического университета (Cornell Tech, Нью-Йорк, США), новая технология PassGAN также с успехом может использоваться для генерирования «паролей-приманок», которые могут помощь выявить бреши в защите.
Работа ученых из Технологического института Стивенса под названием «PassGAN: A Deep Learning Approach for Password Guessing» полностью опубликована в Сети.
Как работает технологияПлатформа PassGAN выполнена на основе двух искусственных нейронных сетей, каждая из которых имеет свою специализацию: одна в качестве генератора создает изображения, другая в качестве дискриминатора сравнивает их с подлинниками. В результате такого обучения «генератор» становится искусным фальсификатором.
Джузеппе Атенис (Giuseppe Ateniese), соавтор исследования, провел аналогию работы генератора и дискриминатора с тем, как работает художник из полиции, составляющий фоторобот преступника по описанию свидетеля происшествия. В настоящее время существует ряд достаточно сильных программ для угадывания паролей. Лучшие из них – такие как John the Ripper, hashCat или источник, сочетают различные методы взлома – от подстановки случайных наборов символов до экстраполяции по базам популярных паролей и вероятностных методов угадывания символов. Для некоторых сайтов эти программы смогли угадать более 90% паролей, но создание их алгоритмов потребовало многолетнего ручного кодирования.
В процессе проведения эксперимента ученые из Технологического института Стивенса провели сравнение паролей аккаунтов LinkedIn с теми, попавших в открытый доступ через игровой сайт RockYou, с теми, что сгенерировала платформа PassGAN – самостоятельно или в сочетании с другими популярными инструментами подбора паролей.
Ученые отмечают, что даже не подошедшие пароли, сгенерированные PassGAN, выглядят вполне реалистично, например: saddracula, santazone, coolarse18. В итоге платформа PassGAN самостоятельно подобрала 12% паролей, ее конкуренты – в том числе, hashCat и John the Ripper, смогли подобрать от 6% до 23% паролей. Наиболее высокий результат – 27% паролей к учетным записям социальной сети LinkedIn, был получен в результате совместного использования PassGAN и hashCat. Тестирование PassGAN и сравнение итогов с другими алгоритмами.