Искусственный интеллект и глубинное обучение занимают все большее место в сфере информационной безопасности, и одно из первых применений оказалось связано с паролями.

Недавно исследователи из Технологического института Стивенса и Технологического института Нью-Йорка опубликовали предварительные результаты своих работ, в которых они с помощью генеративно-состязательных сетей (GAN) угадывали пароли эффективнее, чем с помощью существующих техник ручного создания правил, использующихся в таких инструментах, как Hashcat или JohntheRipper.

По словам исследователей, благодаря этим мощным аналитическим инструментам они могут использовать машины для анализа имеющихся данных. Например, любой из многомиллионных утечек паролей, которые были опубликованы в Сети за последние 18 месяцев. И, исходя из этого, создавать новые правила паролей, которые не только повышают эффективность тестов на проникновение, но и могут когда-нибудь стать основным инструментом восстановления или угадывания паролей.

«Предположим, завтра произойдет еще одна утечка паролей. Если вы создаете правила вручную и хотите извлечь максимальную пользу из утечки, вам понадобится поручить своим сотрудникам изучить данные и найти несоответствия, а затем вручную составить новые правила и ключевые слова. Все это ручная работа, — говорит Паоло Гасти (Paolo Gasti), один из исследователей Технологического института Нью-Йорка. — Вместо этого мы отдаем базу паролей инструменту на изучение — в течение дня, недели или месяца. И после этого вы получаете результат анализа, который провел инструмент на основе новых данных».

Недавно вместе со своими коллегами Бриландом Хитажем (Briland Hitaj), Джузеппе Атеньезе (Giuseppe Ateniese) и Фернандо Перес-Крузом из Технологического института Стивенса и Технологического института Нью-Йорка Гасти опубликовал исследовательскую работу под названием «PassGAN: глубинное обучение для угадывания паролей». PassGAN — это название технологии, которая с помощью сетей GAN совершенствует инструменты по созданию паролей на основе правил.

«Благодаря PassGAN эффективность инструментов по созданию паролей на основе правил поднимается на новый уровень, поскольку информация о распределении паролей из данных извлекается автономно, позволяя забыть о ручном анализе, — пишут исследователи. — В результате на основе новых утечек паролей этот инструмент может без труда создавать более сложные пароли».

В исследовании опубликованы результаты множества экспериментов, которые демонстрируют, как инструмент PassGAN проанализировал пароли, украденные с LinkedIn и RockYou, и показал более высокую эффективность по сравнению с правилами SypderLabs от JohntheRipper, а также «составил конкуренцию» правилам best64 и gen2 от HashCat.

«Когда мы объединили результаты PassGAN с результатами HashCat, нам удалось вычислить на 18-24% паролей больше, чем только с помощью HashCat, — пишут исследователи. — Это доказывает, что PassGAN может генерировать значительное количество паролей, которые не по зубам нынешним инструментам».

Сети GAN — это инструменты глубинного обучения, которые состоят из двух глубинных нейронных сетей: генеративной и дифференциальной. Во многих приложениях глубинное обучение используется для создания чего-либо на основе набора данных (например, сканируются тысячи изображений лиц или комнат для создания нового, уникального изображения). По словам Гасти, это может быть первым применением сетей GAN в сфере безопасности. Исследователи хотят обучить глубинные нейронные сети тому, как выглядят заданные пользователями пароли, но при этом не предоставлять сети никакой контекст, например личную информацию, такую как дата рождения или клички питомцев, сочетание которых люди зачастую используют для создания сложных (по их мнению) паролей.

«Мы не предоставляем никакую информацию, мы просто слепо передаем машине набор паролей, а она выясняет, что же такое пароль. Суть заключается в том, что машина должна сотни тысяч раз пройтись по этим данным, и каждый раз она будет узнавать что-то новое — например, какие-либо новые отношения между компонентами пароля, — говорит Гасти. — После сотни тысяч просмотров набора паролей машина может сказать: «Мне удалось определить нужное слово и цифры, я знаю отношения между ними и вероятность их связи». Теперь команде специалистов не придется изучать сотни тысяч паролей — алгоритм сделает это за них».

В идеале кластер высокопроизводительных машин может анализировать миллионы паролей в течение месяца и создать правила, которые никогда бы не удалось сгенерировать вручную, говорит специалист.

«Мне кажется, мы поднимаем планку того, что следует считать надежным паролем, — говорит Гасти. — Поскольку теперь мы можем эффективнее подбирать пароли, наши понятия об их надежности меняются. Теперь стало возможным угадать те пароли, которые раньше было нельзя. Не потому, что они слабые, а потому что мы нашли лучший способ до них добраться».

Категории: Главное, Кибероборона