Investigadores de ETH Zürich, Swiss Data Science Center y SRI International de Nueva York han utilizado la potencia de la arquitectura GPT-2 de OpenAI para desarrollar PassGPT, un modelo de adivinación de contraseñas basado en un gran modelo de lenguaje (LLM). Y se ha entrenado con un conjunto de contraseñas filtradas de varios hackeos y exploits.
El objetivo principal de PassGPT es descifrar los rasgos crípticos arraigados en el laberinto de contraseñas generadas por el ser humano, todo ello con el fin de ofrecer a los usuarios contraseñas más fuertes y complejas y detectar contraseñas probables en función de un conjunto de entradas. La innovación del modelo reside no sólo en su capacidad de predicción, sino también en su método único de creación.
Frente a los modelos anteriores que modelaban las contraseñas como entidades completas, PassGPT introduce una estrategia innovadora: el muestreo progresivo. Este método construye las contraseñas carácter por carácter, asegurando una contraseña meticulosamente compleja, y fue entrenado en una colección de millones de contraseñas previamente filtradas.
«Entrenado con la filtración de RockYou, PassGPT puede adivinar un 20% más de contraseñas no vistas que los modelos GAN más avanzados», señaló su creador, Javi Rando.
Imaginemos las redes generativas adversariales (GAN) como un duelo entre dos redes. Una, la Generadora, intenta crear contenidos tan realistas que pueda engañar a la otra, la Discriminadora, cuyo objetivo es detectar cuándo se le está presentando un contenido artificial. Con cada ronda de este partido, cada red aprende de sus errores y mejora. La calidad general del modelo aumenta hasta llegar a un punto en el que el Discriminador apenas puede diferenciar entre lo que es real y lo que ha creado el Generador.
Rando también destacó la unicidad de las contraseñas generadas por PassGPT, ya que explicó que se trata de «un modelo generativo explícito, que nos permite acceder a la distribución modelada y calcular la probabilidad de cualquier contraseña dada bajo el modelo. Aprovechamos esta capacidad para analizar la vulnerabilidad de las contraseñas».
Presentación de PassGPT
Entrenado en fugas de contraseñas, PassGPT puede generar un 20% más de contraseñas no vistas que los métodos GAN existentes.
Trabajo conjunto con @fperezcruz y @BrilandHitaj
Vamos a sumergirnos en nuestras contribuciones clave.– Javi Rando (@javi_rando) 6 de junio de 2023
PassGPT tiene un don especial para descubrir patrones que los estimadores de seguridad de contraseñas consideran fuertes, pero que son relativamente fáciles de adivinar con técnicas generativas.
«Las contraseñas que no están en inglés son difíciles para la heurística basada en diccionarios, pero PassGPT aprende patrones en varios idiomas», explica Rando. Este dominio multilingüe marca un nuevo hito en la investigación de la seguridad de las contraseñas». El modelo también demostró su capacidad para adivinar nuevas contraseñas que no forman parte de su conjunto de datos.
Cabe destacar que los LLM como PassGPT pueden personalizarse utilizando distintos conjuntos de datos para aplicaciones específicas. Un ejemplo: Google está entrenando un LLM de IA basado en datos médicos, mientras que otros resultados interesantes han surgido de LLMs entrenados en temas diversos como el lenguaje políticamente incorrecto de 4Chan o los matices en el estilo de habla de YouTubers populares.
En este contexto, los modelos de lenguaje de gran tamaño (LLM) han hecho grandes avances en el procesamiento y la comprensión del lenguaje natural, con modelos como el transformador generativo preentrenado (GPT) -incluidos PaLM y LLaMA- a la cabeza.
Tenga en cuenta que, aunque PassGPT es una creación legítima, ya hubo una broma del Día de los Inocentes con el mismo nombre, así que tenga cuidado al investigar.
PassGPT es una prueba más de que cada vez hay más IA para todo. Y con IA como PassGPT en funcionamiento, puede que pronto descubras que el nombre de tu gato combinado con tu fecha de nacimiento ya no es la fortaleza indescifrable de una contraseña que una vez pensaste que era.
