Нова платформа, създадена от учени от Института Стивънсън в Хобокен, Ню Джърси, може за кратко време да хакне милиони акаунти на потрбители на социални мрежи. Системата, наречена PassGAN, се базира на технология за „генеративна състезателна мрежа” (GAN – Generative Adversarial Network).
С помощта на PassGAN и други инструменти за подбор на пароли учените са успели в кратък срок да пробият акаунтите на над една четвърт от общо 43-те милиона акаунта в социалната мрежа LinkedIn, съобщи научното издание Science.
Освен за изследване на възможностите на изкуствения интелект, учените използват новата платформа и за демонстрация на ненадеждността на слабите пароли. Тяхната цел е да подтикнат потребителите и компаниите да се отнасят по-сериозно и отговорно към защитата на данните си в интернет.
PassGAN може да се ползва успешно като инструмент за генериране на „пароли-примамки”, които разкриват пролуки в защитата, смята Томас Ристенпарт, изследовател в сферата на компютърната сигурност от Корнелския университет в Ню Йорк.
Платформата PassGAN стъпва на две изкуствени невронни мрежи, всяка от които има своя специализация – едната се явява генератор на изображения, а другата играе роля на дискриминатор, който ги сравнява с оригиналите. В резултат на машинното обучение, генераторът става изкусен фалшификатор.
Един от авторите на изследването, Джузепе Атензис, сравнява работата на генератора и дискриминатора с тази на художник от полицията, който съставя фотороботи на престъпници по описания на свидетели.
И в момента съществуват достатъчно мощни програми за разгадаване на пароли. Сред най-добрите от тях са John the Ripper и hashCat, които съчетават различни методи за взлом – от случайни подборки на набори от символи до екстраполиране по бази с популярни пароли и вероятностни методи за разгадаване. Тези програми достигат 90% ефективност при разкриване на паролите в някои сайтове, но създаването на алгоритмите им отнема многогодишно ръчно кодиране.
В своя експеримент учените от Стивънсън са сравнили паролите от акаунти в LinkedIn, попаднали в открит достъп чрез геймърския сайт RockYou, с такива, генерирани от платформата PassGAN – самостоятелно или в съчетание с други популярни инструменти за подбор на пароли. Според изследователите, дори неуспешните пароли, генерирани от PassGAN, изглеждат напълно реалистично.
Резултатите сочат, че PassGAN е подбрала сама 12% от паролите в LinkedIn, а нейните конкуренти hashCat и John the Ripper са успели да разгадаят от 6% до 23%. Най-висока ефективност, 27%, се получава при съвместно използване на PassGAN и hashCat.
По думите на Джузепе Атензис, в бъдеще PassGAN може с лекота да изпревари hashCat. Частично, това се обяснява с факта, че hashCat използва фиксирани правила и не може самостоятелно да генерира над 650 млн. пароли. PassGan, от друга страна, създава в процеса на работа свои собствени правила и може да генерира неограничен брой пароли.
В крайна сметка, ефективността на PassGAN ще се подобрява с увеличаване на броя на нивата в невронните мрежи, както и в резултат на допълнителното обучение с голям брой образци на изтекли в мрежата пароли, заключават учените от Стивънсън.
А, чиститу!