Naukowcy z ETH Zürich, Swiss Data Science Center i SRI International w Nowym Jorku wykorzystali moc architektury GPT-2 OpenAI do opracowania PassGPT, modelu odgadywania haseł zbudowanego na dużym modelu językowym (LLM). Jest on szkolony na podstawie wycieków haseł z różnych hacków i exploitów.
Głównym celem PassGPT jest rozszyfrowanie tajemniczych cech zakorzenionych w labiryncie haseł generowanych przez ludzi, a wszystko to w celu zapewnienia użytkownikom silniejszych i bardziej złożonych haseł do użycia oraz wykrywania prawdopodobnych haseł zgodnie z zestawem danych wejściowych. Innowacyjność modelu polega nie tylko na jego zdolności predykcyjnej, ale także na unikalnej metodzie jego tworzenia.
W przeciwieństwie do poprzednich modeli, które tworzyły hasła jako kompletne jednostki, PassGPT wprowadza innowacyjną strategię: progresywne próbkowanie. Metoda ta konstruuje hasła znak po znaku, zapewniając skrupulatnie złożone hasło i została przeszkolona na zbiorze milionów wcześniej wyciekłych haseł.
„Wyszkolony na wycieku RockYou, PassGPT może odgadnąć o 20% więcej niewidzianych haseł niż najnowocześniejsze modele GAN” – zauważył twórca Javi Rando.
Wyobraźmy sobie Generative Adversarial Networks (GAN) jako połączenie dwóch sieci. Jedna z nich, Generator, próbuje tworzyć treści, które są tak realistyczne, że mogą oszukać drugą, Discriminator, która ma na celu wykrycie, kiedy jest prezentowana sztuczna treść. Z każdą rundą tego meczu każda sieć uczy się na swoich błędach i poprawia się. Ogólna jakość modelu wzrasta, aż osiągnie punkt, w którym Discriminator z trudem odróżnia to, co jest prawdziwe, od tego, co zostało stworzone przez Generator.
Rando zwrócił również uwagę na wyjątkowość haseł generowanych przez PassGPT, wyjaśniając, że jest to „jawny model generatywny, pozwalający nam uzyskać dostęp do modelowanego rozkładu i obliczyć prawdopodobieństwo dowolnego hasła w ramach modelu. Wykorzystujemy tę możliwość do analizy luk w sile haseł.”
Przedstawiamy PassGPT
Wyszkolony na wyciekach haseł, PassGPT może wygenerować o 20% więcej niewidzianych haseł niż istniejące metody GAN.
Wspólna praca z @fperezcruz i @BrilandHitaj
Przyjrzyjmy się naszym kluczowym wkładom.– Javi Rando (@javi_rando) June 6, 2023
PassGPT ma charakterystyczny talent do odkrywania wzorców uznawanych za silne przez estymatory siły haseł, ale które są stosunkowo łatwe do odgadnięcia przy użyciu technik generatywnych.
„Hasła nieanglojęzyczne są trudne do odgadnięcia dla heurystyki opartej na słownikach, ale PassGPT uczy się wzorców w wielu językach” – wyjaśnił Rando. Ta wielojęzyczna biegłość wyznacza nowy punkt odniesienia w badaniach nad bezpieczeństwem haseł. Model udowodnił również swoją zdolność do odgadywania nowych haseł, które nie są częścią jego zbioru danych.
Warto zauważyć, że modele LLM, takie jak PassGPT, mogą być dostosowane do indywidualnych potrzeb przy użyciu różnych zestawów danych dla określonych zastosowań. Przykład: Google szkoli AI LLM w oparciu o dane medyczne, podczas gdy inne intrygujące wyniki pojawiły się dzięki LLM szkolonym na różne tematy, takie jak politycznie niepoprawny język z 4Chan lub niuanse w stylu mowy popularnych YouTuberów.
Co ciekawe, wycieki haseł nie są jedynie dobrodziejstwem dla hakerów szukających dostępu do systemu. Dają one również naukowcom możliwość zbadania ukrytych wzorców w hasłach generowanych przez użytkowników, z potencjałem do ulepszenia narzędzi do łamania haseł. W ten sposób ujawnia się paradoksalny aspekt bezpieczeństwa haseł.
Dziedzina uczenia maszynowego (ML) okazała się kluczowa w wydobywaniu cennych informacji z rozległych naruszeń haseł. Ta ekstrakcja napędza ważne zmiany w zgadywaniu haseł i dostrajaniu algorytmów szacowania siły haseł.
Na tym tle duże modele językowe (LLM) poczyniły znaczne postępy w przetwarzaniu i rozumieniu języka naturalnego, z takimi modelami jak generatywny wstępnie wytrenowany transformator (GPT) – w tym PaLM i LLaMA – na czele.
Należy pamiętać, że chociaż PassGPT jest legalnym tworem, wcześniej istniał żart prima aprilisowy o tej samej nazwie – więc bądź ostrożny podczas przeprowadzania własnych badań.
PassGPT jest kolejnym dowodem na to, że coraz częściej istnieje sztuczna inteligencja do wszystkiego. A dzięki sztucznej inteligencji, takiej jak PassGPT, wkrótce może się okazać, że imię kota w połączeniu z datą urodzenia nie jest już niemożliwą do rozszyfrowania fortecą hasła, o której kiedyś myślałeś.
