チューリッヒ工科大学、スイスデータサイエンスセンター、ニューヨークのSRIインターナショナルの研究者は、OpenAIのGPT-2アーキテクチャのパワーを利用し、大規模言語モデル(LLM)上に構築されたパスワード推測モデル、PassGPTを開発した。そして、様々なハッキングや悪用から流出したパスワードの宝庫で学習させた。
PassGPTの背後にある主な意図は、人間が生成したパスワードの迷宮に組み込まれた暗号化された特徴を解読することであり、その目的は、ユーザーがより強力で複雑なパスワードを使用できるようにし、一連の入力に従って可能性の高いパスワードを検出することである。このモデルの革新性は、その予測能力だけでなく、独自の作成方法にもある。
パスワードを完全な実体として作成する従来のモデルとは対照的に、PassGPTは革新的な戦略、すなわちプログレッシブ・サンプリングを導入しています。この方法は、一文字ずつパスワードを構築し、綿密に複雑なパスワードを保証するもので、過去に流出した何百万ものパスワードのコレクションで訓練された。
「RockYouの流出事件で訓練されたPassGPTは、最先端のGANモデルよりも20%多く未知のパスワードを推測することができます」と、開発者のJavi Randoは述べている。
Generative Adversarial Networks(GAN)を2つのネットワークの対戦と想像してほしい。一方のGeneratorは、もう一方のDiscriminatorを欺くことができるほどリアルなコンテンツを作成しようとする。この試合のラウンドごとに、各ネットワークは失敗から学び、改善する。モデルの全体的な質は、何が本物で何がジェネレーターによって作られたものなのか、ディクリミネーターがほとんど区別できないところまで向上する。
ランド氏はまた、PassGPTが生成するパスワードの一意性を指摘し、「明示的な生成モデルであるため、モデル化された分布にアクセスし、モデル下で任意のパスワードの確率を計算することができる」と説明した。この機能を活用して、パスワード強度の脆弱性を分析しています」
。
PassGPTの紹介
PassGPTは既存のGAN手法よりも20%多く未知のパスワードを生成することができます。
@fperezcruzと@BrilandHitajとの共同研究。
私たちの主な貢献に飛び込んでみましょう。June 6, 2023
– Javi Rando (@javi_rando) June 6, 2023
PassGPTは、パスワード強度の見積もりでは強力とみなされるが、生成技術では比較的簡単に推測できるパターンを発掘することに長けている。
「英語以外のパスワードは辞書ベースのヒューリスティックには難しいが、PassGPTは複数の言語にわたるパターンを学習する」とランド氏は説明する。この多言語能力は、パスワード・セキュリティ研究における新たなベンチマークとなる。このモデルは、データセットに含まれていない新しいパスワードを推測する能力も証明した。
注目すべきは、PassGPTのようなLLMは、特定の用途のために異なるデータセットを使ってカスタムメイドできることだ。例を挙げよう: グーグルは医療データに基づいてAI LLMを訓練している。また、4Chanの政治的に正しくない言葉や人気YouTuberの話し方のニュアンスなど、多様なトピックで訓練されたLLMから興味深い結果が得られている。
興味深いことに、パスワード漏えいは単にシステムへのアクセスを求めるハッカーにとっての恩恵だけではない。研究者にとっても、ユーザーが作成したパスワードの隠されたパターンを調べる機会となり、パスワードクラッキングツールを強化できる可能性がある。こうして、パスワード・セキュリティの逆説的な側面が浮かび上がってくる。
機械学習(ML)の領域は、大規模なパスワード侵害から貴重な洞察を抽出するのに役立っていることが証明されている。この抽出は、パスワードの推測やパスワード強度推定アルゴリズムの微調整における重要な開発の原動力となっている
。
このような背景のもと、大規模言語モデル(LLM)は、PaLMやLLaMAを含む生成的事前学習変換器(GPT)モデルを筆頭に、自然言語の処理と理解において大きな進歩を遂げました。
このPassGPTは合法的な創作だが、以前にも同じ名前のエイプリルフール・ジョークがあったため、自分で調べる際には注意が必要だ。
PassGPTは、あらゆるものにAIが対応できるようになってきていることのさらなる証明です。そして、PassGPTのようなAIが働いていれば、猫の名前と生年月日を組み合わせたパスワードが、かつて思っていたような解読不可能な要塞ではなくなっていることに、すぐに気づくかもしれない。
