Forscher der ETH Zürich, des Swiss Data Science Center und von SRI International in New York haben die Leistungsfähigkeit der GPT-2-Architektur von OpenAI genutzt, um PassGPT zu entwickeln, ein Modell zum Erraten von Passwörtern, das auf einem großen Sprachmodell (LLM) basiert. Das Modell wurde auf der Grundlage von Passwörtern trainiert, die bei verschiedenen Hacks und Exploits durchgesickert sind.
Das Hauptziel von PassGPT besteht darin, die kryptischen Merkmale zu entschlüsseln, die im Labyrinth der von Menschen erzeugten Passwörter enthalten sind, und zwar mit dem Ziel, den Benutzern stärkere und komplexere Passwörter zur Verfügung zu stellen und wahrscheinliche Passwörter anhand einer Reihe von Eingaben zu erkennen. Die Innovation des Modells liegt nicht nur in seiner Vorhersagefähigkeit, sondern auch in seiner einzigartigen Erstellungsmethode.
Im Gegensatz zu früheren Modellen, die Passwörter als vollständige Einheiten erstellten, führt PassGPT eine innovative Strategie ein: das progressive Sampling. Diese Methode konstruiert Passwörter Zeichen für Zeichen, um ein sorgfältig komplexes Passwort zu gewährleisten, und wurde auf einer Sammlung von Millionen von zuvor geleakten Passwörtern trainiert.
„Anhand des RockYou-Leaks trainiert, kann PassGPT 20 % mehr ungesehene Passwörter erraten als die modernsten GAN-Modelle“, so der Erfinder Javi Rando.
Stellen Sie sich Generative Adversarial Networks (GANs) als ein Spiel zwischen zwei Netzwerken vor. Das eine, der Generator, versucht, Inhalte zu erstellen, die so realistisch sind, dass sie das andere, den Discriminator, täuschen können, der erkennen soll, wenn ihm künstliche Inhalte vorgelegt werden. Mit jeder Runde dieses Spiels lernt jedes Netzwerk aus seinen Fehlern und verbessert sich. Die Gesamtqualität des Modells verbessert sich, bis es einen Punkt erreicht, an dem der Discriminator kaum noch zwischen echten und vom Generator erstellten Inhalten unterscheiden kann.
Rando wies auch auf die Einzigartigkeit der von PassGPT generierten Passwörter hin, indem er erklärte, dass es sich um ein explizites generatives Modell handelt, das uns den Zugriff auf die modellierte Verteilung und die Berechnung der Wahrscheinlichkeit eines beliebigen Passworts unter dem Modell ermöglicht. Wir nutzen diese Fähigkeit, um Schwachstellen in der Passwortstärke zu analysieren. „
Einführung in PassGPT
Trainiert auf Passwortlecks, kann PassGPT 20% mehr ungesehene Passwörter generieren als bestehende GAN-Methoden.
Gemeinsame Arbeit mit @fperezcruz und @BrilandHitaj
Schauen wir uns unsere wichtigsten Beiträge an.– Javi Rando (@javi_rando) Juni 6, 2023
PassGPT hat ein ausgeprägtes Talent dafür, Muster ausfindig zu machen, die von Passwortstärke-Schätzern als stark eingestuft werden, aber mit generativen Techniken relativ leicht zu erraten sind.
„Nicht-englische Passwörter sind für wörterbuchbasierte Heuristiken schwierig, aber PassGPT lernt Muster in mehreren Sprachen“, erklärt Rando. Diese Mehrsprachigkeit setzt einen neuen Maßstab in der Passwortsicherheitsforschung. Das Modell hat auch bewiesen, dass es in der Lage ist, neue Passwörter zu erraten, die nicht in seinem Datensatz enthalten sind.
Besonders hervorzuheben ist, dass LLMs wie PassGPT unter Verwendung verschiedener Datensätze für spezifische Anwendungen maßgeschneidert werden können. Ein typisches Beispiel: Google trainiert einen KI-LLM auf der Grundlage medizinischer Daten, während andere faszinierende Ergebnisse aus LLMs hervorgegangen sind, die auf verschiedene Themen wie die politisch inkorrekte Sprache von 4Chan oder die Nuancen im Sprachstil beliebter YouTuber trainiert wurden.
Interessanterweise sind Passwortlecks nicht nur ein Segen für Hacker, die sich Zugang zum System verschaffen wollen. Sie bieten Forschern auch die Möglichkeit, verborgene Muster in von Benutzern generierten Passwörtern zu untersuchen, was zur Verbesserung von Tools zum Knacken von Passwörtern beitragen kann. Die paradoxe Facette der Passwortsicherheit tritt damit ans Licht.
Der Bereich des maschinellen Lernens (ML) hat sich bei der Gewinnung wertvoller Erkenntnisse aus umfangreichen Passwortverstößen als hilfreich erwiesen. Diese Erkenntnisse treiben wichtige Entwicklungen beim Erraten von Passwörtern und bei der Feinabstimmung von Algorithmen zur Schätzung der Passwortstärke voran.
Vor diesem Hintergrund haben große Sprachmodelle (Large Language Models, LLMs) erhebliche Fortschritte bei der Verarbeitung und dem Verständnis natürlicher Sprache gemacht, wobei Modelle wie die generativen vortrainierten Transformer (GPT) – einschließlich PaLM und LLaMA – an der Spitze stehen.
Beachten Sie, dass es sich bei PassGPT zwar um eine legitime Kreation handelt, es aber bereits einen Aprilscherz mit demselben Namen gab – seien Sie also vorsichtig, wenn Sie eigene Nachforschungen anstellen.
PassGPT ist ein weiterer Beweis dafür, dass es zunehmend eine KI für alles gibt. Und wenn KI wie PassGPT am Werk ist, werden Sie vielleicht bald feststellen, dass der Name Ihrer Katze in Kombination mit Ihrem Geburtsdatum nicht mehr die unentzifferbare Festung eines Passworts ist, für die Sie es einst hielten.
