Изследователи от ETH Цюрих, Швейцарския център за наука за данните и SRI International в Ню Йорк са използвали мощта на архитектурата GPT-2 на OpenAI, за да разработят PassGPT – модел за познаване на пароли, изграден върху голям езиков модел (LLM). Той е обучен на базата на масив от изтекли пароли от различни хакерски атаки и експлойти.
Основното намерение на PassGPT е да разкодира загадъчните характеристики, вкоренени в лабиринта от пароли, генерирани от хора, като всичко това е с цел да се предоставят на потребителите по-силни и по-сложни пароли за използване и да се откриват вероятни пароли според набор от входни данни. Иновативността на модела се крие не само в способността му за прогнозиране, но и в уникалния му метод на създаване.
За разлика от предишните модели, които създаваха пароли като завършени единици, PassGPT въвежда новаторска стратегия: прогресивна извадка. Този метод конструира паролите символ по символ, като осигурява щателно сложна парола, и е обучен върху колекция от милиони изтекли преди това пароли.
„Обучен върху изтичането на информация от RockYou, PassGPT може да отгатне 20 % повече невиждани пароли, отколкото най-съвременните модели GAN“, отбелязва създателят му Хави Рандо.
Представете си генеративните противникови мрежи (Generative Adversarial Networks – GAN) като мач между две мрежи. Едната, Генераторът, се опитва да създаде съдържание, което е толкова реалистично, че може да заблуди другата, Дискриминиращата мрежа, която има за цел да открие кога ѝ е представено изкуствено съдържание. С всеки рунд на този мач всяка мрежа се учи от грешките си и се усъвършенства. Цялостното качество на модела се повишава, докато не достигне до момент, в който дискриминаторът трудно може да различи реалното от създаденото от генератора.
Рандо посочи и уникалността на паролите, генерирани от PassGPT, като обясни, че това е „явен генеративен модел, който ни позволява да получим достъп до моделираното разпределение и да изчислим вероятността на всяка дадена парола при модела. Използваме тази възможност, за да анализираме уязвимостите в силата на паролите.“
Представяне на PassGPT
Обучен на изтичане на пароли, PassGPT може да генерира 20% повече невиждани пароли в сравнение със съществуващите методи на GAN.
Съвместна работа с @fperezcruz и @BrilandHitaj
Нека се потопим в нашите основни приноси.– Javi Rando (@javi_rando) June 6, 2023
PassGPT има отличителен талант да открива модели, които се считат за силни от оценителите на силата на паролите, но които са сравнително лесни за отгатване с помощта на генеративни техники.
„Неанглоезичните пароли са трудни за евристиката, базирана на речник, но PassGPT научава модели на множество езици“, обяснява Рандо. Това владеене на няколко езика поставя нов критерий в изследванията на сигурността на паролите. Моделът също така доказа способността си да отгатва нови пароли, които не са част от неговия набор от данни.
Важно е да се отбележи, че LLM като PassGPT могат да бъдат адаптирани по поръчка, като се използват различни набори от данни за конкретни приложения. Пример за това: Google обучава LLM с изкуствен интелект въз основа на медицински данни, а други интригуващи резултати се появиха от LLM, обучени по различни теми, като политически некоректния език от 4Chan или нюансите в стила на речта на популярни YouTube потребители.
Интересен е фактът, че изтичането на пароли не е само предимство за хакерите, които търсят достъп до системата. Те също така предоставят на изследователите възможност да проучат скритите модели в паролите, генерирани от потребителите, с потенциал за усъвършенстване на инструментите за разбиване на пароли. По този начин се разкрива парадоксалният аспект на сигурността на паролите.
Областта на машинното обучение (ML) се оказа полезна за извличането на ценна информация от обширни пробиви на пароли. Това извличане подхранва важни разработки в областта на отгатването на пароли и прецизирането на алгоритмите за оценка на силата на паролата.
На този фон големите езикови модели (LLM) постигнаха значителен напредък в обработката и разбирането на естествения език, като на преден план излязоха моделите на генеративния предварително обучен трансформатор (GPT), включително PaLM и LLaMA.
Имайте предвид, че макар този PassGPT да е легитимно творение, преди това имаше първоаприлска шега със същото име – така че бъдете внимателни, докато правите собствено проучване.
PassGPT е още едно доказателство, че все по-често има изкуствен интелект за всичко. А с помощта на ИИ като PassGPT скоро може да се окаже, че името на котката ви, съчетано с датата ви на раждане, вече не е неразгадаемата крепост на паролата, за която някога сте я смятали.
