PassGAN گذرواژه‌های دشوار را هم حدس می‌زند

دسته: امنیت
بدون دیدگاه
دوشنبه - 25 سپتامبر 2017


حدس زدن گذرواژه‌ها با ابزار یادگیری عمیق PassGAN بسیار آسان‌تر می‌شود.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، هوش مصنوعی و یادگیری عمیق به سمت امنیت اطلاعات رفته‌اند و یکی از کاربردهای اولیه این رویکرد به وجود آمده و بر گذرواژه‌ها متمرکز است. محققان موسسه فناوری استیونز و موسسه فناوری نیویورک اخیرا برخی از نتایج اولیه کار خود را که از شبکه‌ها‌ی مولد رقیب برای حدس گذرواژه‌ها استفاده کرده‌اند و به گفته‌ی خود آن‌ها از ابزارهای موجود مانند هشکات و جان‌دریپر بهتر عمل می‌کند، را منتشر کرده‌اند.

محققان می‌گویند با انتخاب این ابزارهای تحلیلی قدرتمند که می‌توانند از ماشین‌ها استفاده کنند تا از داده‌های موجود مانند هریک از میلیون‌ها گذرواژه که در ۱۸ ماه گذشته فاش شده‌اند، یاد بگیرند و قوانین گذرواژه‌ جدیدی را ایجاد کنند که نه‌تنها باعث افزایش کارایی ابزارهای آزمایشی می‌شوند، بلکه همچنین می‌تواند روزی به عنوان ابزار اصلی برای بازیابی یا حدس گذرواژه‌ها مورد استفاده قرار بگیرند.

گاستی، یک محقق از NYIT، گفت: «در صورتی‌که فردا نفوذ در گذرواژه‌ دیگری رخ دهد؛ اگر شما قوانینی را به‌صورت دستی ساخته‌باشید و بخواهید از مزایای این نفوذ بهره‌مند شوید، باید به میان مردم بروید و بررسی کنید که چه چیزی مطابقت ندارد و چگونه می‌توان به‌صورت دستی این چیزهای جدید را با قوانین و کلمات کلیدی تطبیق داد. این یک کار دستی است. آنچه که ما در حال انجام آن هستیم این است که از گذرواژه‌ها رونوشت تهیه می‌کنیم باید به جای این‌ کار گذرواژه‌ها را به ابزار بدهید و آن را برای یک روز، یک هفته یا یک ماه اجرا کنید و کار شما انجام می‌شود. شما قبلا دیده‌اید که ابزارها می‌توانند از این مجموعه داده‌های جدید، یاد بگیرد.»

گاستی همراه با همکارانش بریلند هیتای، جوزپه آتنیزی و فرناندو پرز کروز از موسسه فناوری استیونز و موسسه فناوری نیویورک اخیرا مقاله‌ای با عنوان «PassGAN: یک رویکرد یادگیری عمیق برای حدس گذرواژه» منتشر کرده‌است. آنها گفتند PassGAN نام روش آنهاست که شبکه‌های مولد رقیب را برای بهبود ابزارهای ایجاد گذرواژه‌ مبتنی بر قانون به کار می‌برد. آنها نوشتند: «PassGAN نشان‌دهنده‌ پیشرفت قابل توجهی در ابزارهای ایجاد گذرواژه مبتنی بر قانون است، زیرا آن از طریق داده‌های گذرواژه به‌صورت خودکار اطلاعات توزیع‌شده‌ گذرواژه‌ها را حدس می‌زند به جای اینکه این‌ کار را از طریق تحلیل دستی انجام دهد. به عنوان یک نتیجه، این ابزار می‌تواند بدون هیچ زحمتی از مزایای یک نفوذ در گذرواژه‌های جدید برای ایجاد توزیع‌های گذرواژه‌ تواناتر بهره‌مند شود.»

این مقاله شامل نتایجی از چندین آزمایش است که نشان می‌دهد چگونه PassGAN گذرواژه‌هایی را که از نفوذ در لینکدین و راک‌یو به دست‌ آمده‌بود تحلیل می‌کند و از قوانین جان‌ دریپر پیشی می‌گیرد و با قوانین بست۶۴ و گن۲ از هشکات رقابت می‌کند. آنها نوشتند: «هنگامی که ما خروجی PassGAN را با خروجی هشکات ترکیب کردیم، توانستیم ۱۸ تا ۲۴ درصد گذرواژه‌ بیشتری را نسبت به زمانی‌که فقط از هشکات استفاده کردیم، تطبیق دهیم. این قابل توجه است، زیرا نشان می‌دهد که PassGAN می‌تواند شمار قابل توجهی از گذرواژه تولید کند که از توان ابزارهای فعلی خارج است.»

در عین حال، شبکه‌های مولد رقیب، ابزارهای یادگیری عمیق هستند که از دو شبکه عصبی عمیق تشکیل شده‌اند: مولد و متمایز کننده. یادگیری عمیق در بسیاری از برنامه‌های کاربردی برای تولید یک چیز جدید از یک مجموعه داده استفاده می‌شود. برای مثال، پویش هزاران تصویر از چهره‌ها یا اتاق‌ها برای ایجاد یک تصویر جدید و منحصربه‌فرد.

گاستی گفت که این ممکن است اولین کاربرد شبکه‌های مولد رقیب در امنیت باشد و قصدشان این است که شبکه‌های عصبی عمیق را آموزش دهند تا گذرواژه‌های انتخاب‌شده توسط کاربران را تشخیص دهند، بدون اینکه هیچ‌گونه محتوایی اعم از اطلاعات شخصی مثل تاریخ‌های تولد و یا نام‌های مورد علاقه که کاربر معتقد است اگر آنها را با هم ترکیب کند، یک گذرواژه پیچیده خواهد داشت را در اختیار این شبکه‌های عصبی قرار دهند.

گاستی گفت: «ما هیچ اطلاعاتی را ارائه نمی‌دهیم، فقط کورکورانه مجموعه‌ای از گذرواژه‌ها را به ماشین می‌دهیم و ماشین گذرواژه را کشف می‌کند. ایده این است که این ماشین صدها هزار بار در میان این گذرواژه‌ها می‌رود و هر بار در میان این گذرواژه‌ها اجرا می‌شود و هربار یک چیز جدید و یک رابطه بین اجزای یک گذرواژه یاد می‌گیرد. نتیجه‌ عبور صد هزارم ممکن است این باشد که «من این کلمه و اعداد را شناسایی کرده‌ام و رابطه بین آنها را می‌دانم.»

هربار که این ابزار در میان داده‌ها می‌رود، چیزی جدید به دست می‌آورد. به جای داشتن گروهی از افراد که به‌صورت دستی صدها هزار گذرواژه را بررسی کنند، ماشین این کار را برای شما انجام می‌دهد.»

وی گفت که در حالت ایده‌آل، یک گروه سریع از ماشین‌ها می‌تواند میلیون‌ها گذرواژه را در یک ماه تجزیه‌وتحلیل کنند و قوانینی را که فرایند دستی هرگز قادر به تولید آنها نیست، استخراج کند.

گاستی می‌گوید: «من احساس می‌کنم ما مانع از تشخیص این شده‌ایم که چه گذرواژه‌ای خوب است. از آن‌جایی که ما اکنون در حدس زدن گذرواژه‌ها بهتر هستیم، می‌توانید تصور کنید هر گذرواژه‌ای که فکر می‌کردیم ایمن است، از این به بعد ناامن است. گذرواژه‌هایی که پیش از این قابل حدس زدن نبودند، اکنون می‌توانند کشف شوند و این به دلیل ضعیف بودن گذرواژه‌ها نیست بلکه به این خاطر است که ما راه بهتری برای دسترسی به گذرواژه‌ها پیدا کرده‌ایم.»




نوشته شده توسط:admin - 8510 مطلب
پرینت اشتراک گذاری در فیسبوک اشتراک گذاری در توییتر اشتراک گذاری در گوگل پلاس
بازدید: ۱۴
برچسب ها: