Investigadores da ETH Zürich, do Centro Suíço de Ciência de Dados e do SRI International em Nova Iorque utilizaram o poder da arquitetura GPT-2 da OpenAI para desenvolver o PassGPT, um modelo de adivinhação de palavras-passe baseado num modelo de linguagem grande (LLM). E foi treinado com base num conjunto de palavras-passe que vazaram de vários hacks e exploits.
A principal intenção por trás do PassGPT é descodificar as características crípticas enraizadas no labirinto de palavras-passe geradas por humanos, tudo com o objetivo de dar aos utilizadores palavras-passe mais fortes e mais complexas para utilizar e detetar palavras-passe prováveis de acordo com um conjunto de entradas. A inovação do modelo reside não só na sua capacidade de previsão, mas também no seu método único de criação.
Ao contrário dos modelos anteriores, que criavam senhas como entidades completas, o PassGPT introduz uma estratégia inovadora: amostragem progressiva. Esse método constrói senhas caractere por caractere, garantindo uma senha meticulosamente complexa, e foi treinado em uma coleção de milhões de senhas vazadas anteriormente.
“Treinado com base na fuga de informação do RockYou, o PassGPT consegue adivinhar mais 20% de palavras-passe não vistas do que os modelos GAN de última geração”, comentou o criador Javi Rando.
Imagine as Redes Adversárias Generativas (GANs) como um jogo entre duas redes. Uma, a Generator, tenta criar conteúdo tão realista que consegue enganar a outra, a Discriminator, que pretende detetar quando lhe é apresentado conteúdo artificial. Em cada ronda deste jogo, cada rede aprende com os seus erros e melhora. A qualidade geral do modelo aumenta até chegar a um ponto em que o Discriminador dificilmente consegue diferenciar entre o que é real e o que é criado pelo Gerador.
Rando também apontou a singularidade das senhas geradas pelo PassGPT, como ele explicou que é “um modelo generativo explícito, permitindo-nos acessar a distribuição modelada e calcular a probabilidade de qualquer senha dada sob o modelo. Aproveitamos esta capacidade para analisar as vulnerabilidades da força da palavra-passe. “
Apresentando o PassGPT
Treinado em vazamentos de senhas, o PassGPT pode gerar 20% mais senhas não vistas do que os métodos GAN existentes.
Trabalho conjunto com @fperezcruz e @BrilandHitaj
Vamos mergulhar nas nossas principais contribuições.– Javi Rando (@javi_rando) 6 de junho de 2023
O
PassGPT tem um talento especial para descobrir padrões considerados fortes pelos estimadores de força da palavra-passe, mas que são relativamente fáceis de adivinhar utilizando técnicas generativas.
“As senhas que não são em inglês são difíceis para a heurística baseada em dicionário, mas o PassGPT aprende padrões em vários idiomas”, explicou Rando. Esta proficiência multilingue estabelece uma nova referência na investigação sobre segurança de palavras-passe. O modelo também provou a sua capacidade de adivinhar novas palavras-passe que não fazem parte do seu conjunto de dados.
Nomeadamente, os LLM como o PassGPT podem ser personalizados utilizando diferentes conjuntos de dados para aplicações específicas. Caso em questão: A Google está a treinar um LLM de IA com base em dados médicos, enquanto outros resultados intrigantes surgiram de LLMs treinados em diversos tópicos, como a linguagem politicamente incorrecta do 4Chan ou as nuances no estilo de discurso de YouTubers populares.
Neste contexto, os modelos de linguagem de grande dimensão (LLMs) têm feito progressos significativos no processamento e compreensão da linguagem natural, com modelos como o transformador generativo pré-treinado (GPT) – incluindo o PaLM e o LLaMA – na linha da frente.
Note-se que, embora este PassGPT seja uma criação legítima, houve anteriormente uma piada do Dia da Mentira com o mesmo nome – por isso, tenha cuidado ao fazer a sua própria pesquisa.
O PassGPT é mais uma prova de que existe cada vez mais uma IA para tudo. E com uma IA como a do PassGPT a funcionar, é possível que em breve descubras que o nome do teu gato combinado com a tua data de nascimento já não é a fortaleza indecifrável de uma palavra-passe que pensavas que era.
