Des chercheurs de l’ETH Zürich, du Swiss Data Science Center et de SRI International à New York ont utilisé la puissance de l’architecture GPT-2 d’OpenAI pour développer PassGPT, un modèle de devinette de mot de passe construit sur un grand modèle de langage (LLM). Ce modèle a été entraîné à partir d’un ensemble de fuites de mots de passe provenant de divers piratages et exploits.
L’objectif principal de PassGPT est de décoder les caractéristiques cryptiques contenues dans le labyrinthe des mots de passe générés par l’homme, dans le but d’offrir aux utilisateurs des mots de passe plus forts et plus complexes et de détecter les mots de passe probables en fonction d’un ensemble d’entrées. L’innovation du modèle réside non seulement dans sa capacité de prédiction, mais aussi dans sa méthode de création unique.
Contrairement aux modèles précédents qui façonnaient les mots de passe comme des entités complètes, PassGPT introduit une stratégie innovante : l’échantillonnage progressif. Cette méthode construit les mots de passe caractère par caractère, garantissant un mot de passe méticuleusement complexe, et a été entraînée sur une collection de millions de mots de passe ayant fait l’objet de fuites antérieures.
« Entraîné sur la fuite RockYou, PassGPT peut deviner 20 % de mots de passe non vus en plus que les modèles GAN les plus modernes », a remarqué le créateur Javi Rando.
Imaginez les réseaux adversaires génératifs (GAN) comme un match entre deux réseaux. L’un, le générateur, tente de créer un contenu si réaliste qu’il peut tromper l’autre, le discriminateur, qui cherche à détecter qu’on lui présente un contenu artificiel. À chaque tour de ce match, chaque réseau apprend de ses erreurs et s’améliore. La qualité globale du modèle s’améliore jusqu’à ce qu’il atteigne un point où le Discriminator peut à peine faire la différence entre ce qui est réel et ce qui est créé par le Generator.
Rando a également souligné l’unicité des mots de passe générés par PassGPT, en expliquant qu’il s’agit d’un « modèle génératif explicite, qui nous permet d’accéder à la distribution modélisée et de calculer la probabilité de tout mot de passe donné dans le cadre du modèle. Nous tirons parti de cette capacité pour analyser les vulnérabilités liées à la force des mots de passe. «
Présentation de PassGPT
Entraîné sur des fuites de mots de passe, PassGPT peut générer 20% de mots de passe non vus en plus que les méthodes GAN existantes.
Travail conjoint avec @fperezcruz et @BrilandHitaj
Plongeons dans nos principales contributions.– Javi Rando (@javi_rando) Le 6 juin 2023
PassGPT a un don particulier pour découvrir des modèles considérés comme forts par les estimateurs de la force des mots de passe, mais qui sont relativement faciles à deviner à l’aide de techniques génératives.
« Les mots de passe qui ne sont pas en anglais sont difficiles à deviner pour les heuristiques basées sur les dictionnaires, mais PassGPT apprend des modèles dans plusieurs langues », explique M. Rando. Cette compétence multilingue constitue une nouvelle référence dans la recherche sur la sécurité des mots de passe. Le modèle a également prouvé sa capacité à deviner de nouveaux mots de passe qui ne font pas partie de son ensemble de données.
Notamment, les LLM comme PassGPT peuvent être personnalisés en utilisant différents ensembles de données pour des applications spécifiques. Un exemple concret : Google entraîne un LLM d’IA basé sur des données médicales, tandis que d’autres résultats intrigants ont émergé de LLM entraînés sur des sujets divers tels que le langage politiquement incorrect de 4Chan ou les nuances dans le style d’élocution de YouTubers populaires.
Il est intéressant de noter que les fuites de mots de passe ne sont pas seulement une aubaine pour les pirates qui cherchent à accéder aux systèmes. Elles permettent également aux chercheurs d’examiner les schémas cachés dans les mots de passe générés par les utilisateurs, avec la possibilité d’améliorer les outils de piratage de mots de passe. La facette paradoxale de la sécurité des mots de passe apparaît ainsi au grand jour.
Le domaine de l’apprentissage machine (ML) s’est avéré essentiel pour extraire des informations précieuses à partir de violations massives de mots de passe. Cette extraction alimente d’importants développements en matière de devinettes de mots de passe et d’amélioration des algorithmes d’estimation de la force des mots de passe.
Dans ce contexte, les grands modèles de langage (LLM) ont fait des progrès considérables dans le traitement et la compréhension du langage naturel, avec des modèles de transformateurs génératifs pré-entraînés (GPT), dont PaLM et LLaMA, au premier plan.
Notez que si ce PassGPT est une création légitime, il y a déjà eu un poisson d’avril du même nom – soyez donc prudent lorsque vous faites vos propres recherches.
PassGPT est une nouvelle preuve qu’il existe de plus en plus d’IA pour tout. Et avec une IA comme PassGPT à l’œuvre, vous pourriez bientôt découvrir que le nom de votre chat combiné à votre date de naissance n’est plus la forteresse indéchiffrable d’un mot de passe que vous pensiez être.
