Onderzoekers van ETH Zürich, het Swiss Data Science Center en SRI International in New York hebben de kracht van OpenAI’s GPT-2 architectuur gebruikt om PassGPT te ontwikkelen, een model dat wachtwoorden kan raden, gebouwd op een groot taalmodel (LLM). En het is getraind op een schat aan gelekte wachtwoorden van verschillende hacks en exploits.
De hoofdbedoeling achter PassGPT is het decoderen van de cryptische kenmerken die ingebakken zitten in het labyrint van door mensen gegenereerde wachtwoorden, met als doel gebruikers sterkere en complexere wachtwoorden te geven om te gebruiken en waarschijnlijke wachtwoorden te detecteren aan de hand van een reeks invoergegevens. De innovatie van het model ligt niet alleen in het voorspellend vermogen, maar ook in de unieke manier van creëren.
In tegenstelling tot eerdere modellen die wachtwoorden vormden als complete entiteiten, introduceert PassGPT een innovatieve strategie: progressive sampling. Deze methode construeert wachtwoorden teken voor teken, wat zorgt voor een nauwkeurig complex wachtwoord, en is getraind op een verzameling van miljoenen eerder gelekte wachtwoorden.
“Getraind op het RockYou-lek, kan PassGPT 20% meer ongeziene wachtwoorden raden dan geavanceerde GAN-modellen,” merkte maker Javi Rando op.
Stel je Generative Adversarial Networks (GAN’s) voor als een wedstrijd tussen twee netwerken. De ene, de Generator, probeert inhoud te creëren die zo realistisch is dat hij de andere, de Discriminator, voor de gek kan houden. Met elke ronde van deze wedstrijd leert elk netwerk van zijn fouten en verbetert het zich. De algehele kwaliteit van het model neemt toe totdat het een punt bereikt waarop de Discriminator nauwelijks nog onderscheid kan maken tussen wat echt is en wat door de Generator is gemaakt.
Rando wees ook op de uniekheid van de wachtwoorden die door PassGPT worden gegenereerd, omdat hij uitlegde dat het “een expliciet generatief model is, waarmee we toegang hebben tot de gemodelleerde distributie en de waarschijnlijkheid van een gegeven wachtwoord onder het model kunnen berekenen. We gebruiken deze mogelijkheid om kwetsbaarheden in wachtwoordsterkte te analyseren.”
Introductie van PassGPT
Getraind op het lekken van wachtwoorden kan PassGPT 20% meer ongeziene wachtwoorden genereren dan bestaande GAN-methoden.
Gezamenlijk werk met @fperezcruz en @BrilandHitaj
Laten we eens duiken in onze belangrijkste bijdragen.– Javi Rando (@javi_rando) 6 juni 2023
PassGPT heeft een onderscheidende vaardigheid in het ontdekken van patronen die sterk worden geacht door wachtwoordsterkte-schatters, maar die relatief eenvoudig te raden zijn met generatieve technieken.
“Niet-Engelse wachtwoorden zijn moeilijk voor woordenboekgebaseerde heuristieken, maar PassGPT leert patronen in meerdere talen,” legt Rando uit. Deze meertalige vaardigheid is een nieuwe maatstaf in het onderzoek naar wachtwoordbeveiliging. Het model heeft ook bewezen dat het nieuwe wachtwoorden kan raden die geen deel uitmaken van de dataset.
LLM’s zoals PassGPT kunnen op maat worden gemaakt met verschillende datasets voor specifieke toepassingen. Een goed voorbeeld: Google traint een AI LLM op basis van medische gegevens, terwijl andere intrigerende resultaten naar voren zijn gekomen van LLM’s die zijn getraind op uiteenlopende onderwerpen, zoals het politiek incorrecte taalgebruik van 4Chan of de nuances in de spreekstijl van populaire YouTubers.
Tegen deze achtergrond hebben grote taalmodellen (LLM’s) aanzienlijke vooruitgang geboekt in het verwerken en begrijpen van natuurlijke taal, met in de voorhoede modellen zoals de generatieve voorgetrainde transformator (GPT), waaronder PaLM en LLaMA.
Merk op dat, hoewel deze PassGPT een legitieme creatie is, er eerder een April Fool’s Day grap was met dezelfde naam – wees dus voorzichtig bij het doen van je eigen onderzoek.
PassGPT is het zoveelste bewijs dat er steeds meer een AI is voor alles. En met AI zoals PassGPT aan het werk, zul je er misschien snel achter komen dat de naam van je kat in combinatie met je geboortedatum niet langer het onleesbare fort van een wachtwoord is dat je ooit dacht dat het was.
