محققان از هوش مصنوعی برای شکستن فوری رمزهای عبور ساده استفاده می کنند

برای سال ها، صنعت امنیت بر اهمیت رمزهای عبور قوی تاکید کرده است. برخی تحقیقات اخیر از Home Security Heroes به وضوح ارزش این توصیه را نشان می دهد.

با استفاده از هوش مصنوعی، تیم اطلاعات امنیتی خانه و وب‌سایت بررسی، گذرواژه‌ها را در محدوده چهار تا هفت کاراکتری فوراً یا در عرض چند دقیقه شکست می‌دهند – حتی زمانی که رمزهای عبور حاوی ترکیبی از اعداد، حروف بزرگ و کوچک و نمادها باشند.

پس از ارسال بیش از 15.6 میلیون رمز عبور به یک برنامه شکستن رمز عبور مبتنی بر هوش مصنوعی به نام PassGAN، محققان به این نتیجه رسیدند که شکستن 51 درصد از رمزهای عبور رایج در یک دقیقه امکان پذیر است.

با این حال، نرم افزار هوش مصنوعی قادر به مقابله با رمزهای عبور طولانی تر نبود. شکستن رمز عبور تنها با اعداد 18 کاراکتری حداقل 10 ماه طول می کشد و شکستن رمز عبور با این طول با اعداد، حروف بزرگ و کوچک و نمادها شش کوئینتیلیون سال طول می کشد.

در وب‌سایت Home Security Heroes، محققان توضیح دادند که PassGAN از یک شبکه متخاصم مولد (GAN) برای یادگیری مستقل انتشار رمز عبور واقعی از نشت رمز عبور واقعی و ایجاد رمزهای عبور واقعی که هکرها می‌توانند استفاده کنند، استفاده می‌کند.

دومینگو گوئرا، معاون اجرایی شرکت توضیح داد: «الگوریتم‌های هوش مصنوعی میلیون‌ها بار بر روی یکدیگر آزمایش می‌شوند تا یادگیری را هدایت کنند، و به آن اجازه می‌دهد تا به ظاهر مجموع دانش انسان را با ریزتراشه‌هایی بیش از ۱۰۰۰۰۰ برابر سریع‌تر از مغز انسان در اختیار داشته باشد». اعتماد برای Incode Technologies، یک شرکت بین المللی تأیید هویت و احراز هویت بیومتریک.

او به دیجیتال تو گفت: «در مقایسه با الگوریتم‌های brute force سنتی با قابلیت‌های محدود، هوش مصنوعی محتمل‌ترین رقم بعدی را بر اساس هر چیزی که آموخته است، پیش‌بینی می‌کند. به جای جستجوی دانش از بیرون، به الگوهایی که در طول یادگیری خود ساخته است تکیه می کند تا به سرعت رفتارهای تعیین شده را نشان دهد.

نسبت به هوش مصنوعی مشکوک است

داستین چایلدز، رئیس آگاهی از تهدید در Trend Micro’s Zero Day Initiative خاطرنشان کرد: بر اساس آنچه که به صورت عمومی منتشر شده است، هوش مصنوعی از تکنیک هایی مشابه حملات جدول رنگین کمان استفاده می کند، نه فقط اعمال رمز عبور با نیروی بی رحمانه. هکرها از جداول قوس برای ترجمه رمزهای عبور هش شده به متن ساده استفاده می کنند.

او به دیجیتال تو گفت: «جدول رنگین کمان به هوش مصنوعی اجازه می‌دهد تا عملیات جستجو و مقایسه رمز عبور هش‌شده ساده را به‌جای حمله brute force کندتر انجام دهد.

او افزود: «حملات جدول محدوده سال‌هاست که شناسایی شده‌اند و ثابت شده است که حتی پسوردهای ۱۴ کاراکتری را در کمتر از ۵ دقیقه شکسته‌اند». الگوریتم‌های هش‌سازی قدیمی‌تر مانند MD5 و SHA-1 نیز در برابر این اشکال حملات مستعدتر هستند.

رابرت هیوز، مدیر ارشد امنیت اطلاعات در RSA، یک شرکت امنیت سایبری مستقر در بدفورد، توضیح داد که اکثر شکستن رمز عبور ابتدا با یافتن یک رمز عبور هش شده و سپس مقایسه آن انجام می شود.

او ادامه داد: «در تئوری، یک هوش مصنوعی می‌تواند اطلاعات بیشتری در مورد یک موضوع بیاموزد و از آن برای انجام این کار به روشی هوشمندانه استفاده کند، اما این در عمل ثابت نشده است».

او گفت: «تیم‌های امنیتی سال‌هاست که با نیروی بی‌رحم و میزهای قوسی دست و پنجه نرم می‌کنند. در واقع، مدل هوش مصنوعی PassGAN به طور قابل توجهی سریع‌تر از مدل‌هایی که عوامل تهدید استفاده می‌کنند، عمل نمی‌کند.»

محدودیت های هوش مصنوعی

راجر گریمز، مبشر دفاعی در KnowBe4، ارائه‌دهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا، نیز متقاعد نشده است که هوش مصنوعی می‌تواند سریع‌تر از روش‌های سنتی رمز عبور را بشکند.

او به دیجیتال تو گفت: «این امکان وجود دارد، و قطعاً در آینده هم خواهد شد، اما هیچ‌کس آزمایش قطعی سیستم‌های هوش مصنوعی امروزی را به من نشان نداده است که رمز عبور را سریع‌تر از حدس زدن سنتی و روش‌های شکستن رمز عبور بدون هوش مصنوعی شکسته‌اند.»

وی افزود: «از آنجایی که افراد بیشتری از مدیران رمز عبور استفاده می‌کنند که رمزهای عبور واقعاً تصادفی ایجاد می‌کنند، هوش مصنوعی نسبت به شکستن رمزهای عبور سنتی، زمانی که رمزهای عبور درگیر واقعاً تصادفی باشند، مزیت صفر خواهد داشت، همانطور که قبلاً باید باشد.

کارشناسان امنیتی به برخی محدودیت ها در استفاده از هوش مصنوعی برای شکستن رمزهای عبور اشاره می کنند. به عنوان مثال، قدرت محاسباتی می تواند یک چالش باشد. چایلدز می‌گوید: «شکستن رمزهای عبور طولانی‌تر و پیچیده‌تر به زمان قابل توجهی نیاز دارد – حتی با هوش مصنوعی.

وی خاطرنشان کرد: «همچنین مشخص نیست که هوش مصنوعی چگونه با مکانیسم های نمک استفاده شده در برخی از الگوریتم های هش مقابله می کند.

جان گان، مدیر عامل Token، سازنده حلقه احراز هویت مبتنی بر بیومتریک در روچستر، نیویورک، اضافه کرد: و بین ایجاد تعداد زیادی حدس رمز عبور و توانایی قرار دادن این حدس ها در یک سناریوی واقعی تفاوت زیادی وجود دارد.

او به دیجیتال تو گفت: “بیشتر برنامه ها و سیستم ها قبل از اینکه هکر را مسدود کنند، تعداد کمی ورودی اشتباه دارند و هوش مصنوعی آن را تغییر نمی دهد.”

خداحافظی طولانی با رمزهای عبور

البته اگر رمز عبوری برای شکستن وجود نداشت، هیچ کس نگران شکستن رمز عبور هوش مصنوعی نخواهد بود. به‌رغم پیش‌بینی‌های سالانه پایان گذرواژه‌ها، حداقل در آینده نزدیک، بعید به نظر می‌رسد.

دارن گوچیونه، مدیرعامل Keeper Security، مدیریت گذرواژه‌ها و شرکت ذخیره‌سازی آنلاین در شیکاگو، خاطرنشان کرد: «به مرور زمان، احتمالاً با حذف فرآیند دست‌وپاگیر دستی به خاطر سپردن و وارد کردن رشته‌های طولانی از اعداد و حروف برای دستیابی به دسترسی، مدیریت خسته‌کننده رمز عبور را ساده‌سازی می‌کنیم». .

او به دیجیتال تو گفت: «اما با توجه به میلیاردها دستگاه و سیستم موجود که قبلاً به امنیت رمز عبور وابسته هستند، رمزهای عبور همچنان در آینده قابل پیش‌بینی با ما خواهند بود. ما فقط می‌توانیم حفاظت‌های قوی‌تری برای حمایت از استفاده ایمن از آن‌ها ارائه کنیم.»

گریمز افزود که از اواخر دهه 1980 جنبشی برای حذف رمزهای عبور وجود داشته است. او گفت: «هزاران مقاله وجود دارد که مرگ رمز عبور را پیش‌بینی می‌کند، با این حال چندین دهه بعد هنوز دشوار است.

او ادامه داد: “اگر تمام راه حل های احراز هویت بدون رمز عبور را جمع آوری کنید، در 2 درصد از سایت ها و سرویس های جهان کار نمی کنند.” این یک مشکل است و از پذیرش گسترده جلوگیری می کند.»

نکته مثبت این است که امروزه افراد بیشتری از نوعی احراز هویت بدون رمز عبور برای ورود به یک یا چند سایت و سرویس استفاده می کنند. وی خاطرنشان کرد: این درصد بیش از هر زمان دیگری است.

او گفت: «اما تا زمانی که درصد کلی سایت‌ها و خدمات زیر 2 درصد باقی بماند، «نقطه اوج» برای پذیرش انبوه احراز هویت بدون رمز عبور دشوار خواهد بود. “این یک مشکل ناامیدکننده مرغ و تخم مرغ در دنیای واقعی است.”

هیوز اذعان می‌کند که سیستم‌های قدیمی، و همچنین اعتماد کاربر و مدیر، دور شدن از رمزهای عبور را کند کرده‌اند. با این حال، وی افزود: “در نهایت استفاده از رمزهای عبور به حداقل می رسد و آنها عمدتاً در مکان هایی استفاده می شوند که مناسب هستند یا سیستم ها را نمی توان برای پشتیبانی از روش های دیگر به روز کرد، اما هنوز هم سال ها طول می کشد. حذف رمز عبور برای اکثر آنها افراد و شرکت ها.»