I ricercatori dell’ETH di Zurigo, dello Swiss Data Science Center e dello SRI International di New York hanno utilizzato la potenza dell’architettura GPT-2 di OpenAI per sviluppare PassGPT, un modello di identificazione delle password basato su un modello linguistico di grandi dimensioni (LLM). Il modello è stato addestrato su una serie di password trapelate da vari hack ed exploit.
L’intento principale di PassGPT è quello di decodificare le caratteristiche criptiche insite nel labirinto delle password generate dall’uomo, con l’obiettivo di fornire agli utenti password più forti e complesse da utilizzare e di individuare le password probabili in base a una serie di input. L’innovazione del modello non risiede solo nella sua capacità predittiva, ma anche nel suo metodo unico di creazione.
A differenza dei modelli precedenti che modellavano le password come entità complete, PassGPT introduce una strategia innovativa: il campionamento progressivo. Questo metodo costruisce le password carattere per carattere, garantendo una password meticolosamente complessa, ed è stato addestrato su una raccolta di milioni di password precedentemente trapelate.
“Addestrato sulla fuga di notizie di RockYou, PassGPT è in grado di indovinare il 20% in più di password non viste rispetto ai modelli GAN più avanzati”, ha dichiarato il creatore Javi Rando.
Immaginate le reti avversarie generative (GAN) come un incontro tra due reti. Una, il Generatore, cerca di creare contenuti così realistici da poter ingannare l’altra, il Discriminatore, che mira a rilevare quando gli viene presentato un contenuto artificiale. A ogni round di questa partita, ogni rete impara dai propri errori e migliora. La qualità complessiva del modello aumenta fino a raggiungere un punto in cui il Discriminatore riesce a malapena a distinguere tra ciò che è reale e ciò che è stato creato dal Generatore.
Rando ha anche sottolineato l’unicità delle password generate da PassGPT, spiegando che si tratta di “un modello generativo esplicito, che ci permette di accedere alla distribuzione modellata e di calcolare la probabilità di una determinata password in base al modello. Sfruttiamo questa capacità per analizzare le vulnerabilità della forza delle password. “
Presentazione di PassGPT
Addestrato sulle fughe di password, PassGPT è in grado di generare il 20% in più di password non viste rispetto ai metodi GAN esistenti.
Lavoro congiunto con @fperezcruz e @BrilandHitaj
Entriamo nel merito dei nostri contributi principali.– Javi Rando (@javi_rando) 6 giugno 2023
PassGPT ha una particolare abilità nel trovare schemi ritenuti forti dagli stimatori della forza delle password, ma che sono relativamente facili da indovinare usando tecniche generative.
“Le password non inglesi sono difficili da indovinare per le euristiche basate sui dizionari, ma PassGPT apprende modelli in più lingue”, spiega Rando. Questa competenza multilingue stabilisce un nuovo punto di riferimento nella ricerca sulla sicurezza delle password”. Il modello ha anche dimostrato la sua capacità di indovinare nuove password che non fanno parte del suo set di dati.
In particolare, gli LLM come PassGPT possono essere personalizzati utilizzando diversi set di dati per applicazioni specifiche. Un esempio su tutti: Google sta addestrando un LLM basato su dati medici, mentre altri risultati interessanti sono emersi da LLM addestrati su argomenti diversi, come il linguaggio politicamente scorretto di 4Chan o le sfumature nello stile vocale di popolari YouTubers.
Interessante notare che le fughe di password non sono solo una manna per gli hacker in cerca di accesso al sistema. Esse offrono anche ai ricercatori l’opportunità di esaminare gli schemi nascosti nelle password generate dagli utenti, con il potenziale di migliorare gli strumenti di cracking delle password. Viene così alla luce un aspetto paradossale della sicurezza delle password.
Il dominio dell’apprendimento automatico (ML) si è rivelato fondamentale per estrarre informazioni preziose da ampie violazioni di password. Questa estrazione alimenta importanti sviluppi nell’indovinare le password e nella messa a punto di algoritmi di stima della forza delle password.
Su questo sfondo, i modelli linguistici di grandi dimensioni (LLM) hanno fatto passi da gigante nell’elaborazione e nella comprensione del linguaggio naturale, con modelli come i trasformatori generativi preaddestrati (GPT), tra cui PaLM e LLaMA, in prima linea.
Si noti che questo PassGPT è una creazione legittima, ma in passato c’è stato un pesce d’aprile con lo stesso nome, quindi fate attenzione quando fate le vostre ricerche.
PassGPT è un’ulteriore prova del fatto che esiste sempre più spesso un’intelligenza artificiale per ogni cosa. E con un’intelligenza artificiale come PassGPT al lavoro, potreste presto scoprire che il nome del vostro gatto combinato con la vostra data di nascita non è più la fortezza indecifrabile di una password che pensavate fosse.
