Исследователи из ETH Zürich, Швейцарского центра Data Science Center и SRI International в Нью-Йорке использовали возможности архитектуры OpenAI GPT-2 для разработки PassGPT, модели угадывания паролей, построенной на основе большой языковой модели (LLM). Она была обучена на множестве утечек паролей, полученных в результате различных взломов и эксплойтов.
Основная цель PassGPT — расшифровать шифры, скрытые в лабиринте сгенерированных человеком паролей, чтобы предоставить пользователям более надежные и сложные пароли и определить вероятные пароли по набору входных данных. Инновационность модели заключается не только в ее предсказательной способности, но и в уникальном методе ее создания.
В отличие от предыдущих моделей, которые создавали пароли как законченные сущности, PassGPT использует инновационную стратегию: прогрессивную выборку. Этот метод строит пароль символ за символом, обеспечивая тщательное создание сложного пароля, и был обучен на коллекции из миллионов ранее утеченных паролей.
«Обученный на утечке RockYou, PassGPT может угадать на 20% больше неизвестных паролей, чем современные модели GAN», — отметил создатель Хави Рандо.
Представьте себе генеративные адверсарные сети (GAN) как матч между двумя сетями. Одна из них, Генератор, пытается создать настолько реалистичный контент, чтобы обмануть другую, Дискриминатор, которая стремится определить, когда ей представляют искусственный контент. С каждым раундом этого матча каждая сеть учится на своих ошибках и совершенствуется. Общее качество модели повышается, пока не достигает точки, когда Дискриминатор с трудом может отличить реальный контент от созданного Генератором.
Рэндо также отметил уникальность паролей, сгенерированных PassGPT, объяснив, что это «явная генеративная модель, позволяющая нам получить доступ к смоделированному распределению и вычислить вероятность любого данного пароля в рамках модели. Мы используем эту возможность для анализа уязвимостей паролей. «
Представляем PassGPT
Обученный на утечках паролей, PassGPT может генерировать на 20% больше невидимых паролей, чем существующие методы GAN.
Совместная работа с @fperezcruz и @BrilandHitaj
Давайте окунемся в наши ключевые вклады.— Хави Рандо (@javi_rando) 6 июня 2023
PassGPT обладает особым умением находить шаблоны, которые считаются сильными по оценкам надежности паролей, но которые относительно легко угадать с помощью генеративных методов.
«Неанглийские пароли сложны для эвристики, основанной на словарях, но PassGPT изучает шаблоны на нескольких языках, — объясняет Рэндо. Такое знание нескольких языков устанавливает новую планку в исследовании безопасности паролей». Модель также доказала свою способность угадывать новые пароли, которые не входят в ее набор данных.
Примечательно, что LLM, такие как PassGPT, могут быть настроены на основе различных наборов данных для конкретных приложений. Вот пример: Google обучает ИИ LLM на основе медицинских данных, в то время как другие интригующие результаты были получены с помощью LLM, обученных на различных темах, таких как политически некорректный язык с 4Chan или нюансы в стиле речи популярных YouTubers.
Интересно, что утечки паролей — это не только благо для хакеров, ищущих доступ к системе. Они также дают исследователям возможность изучить скрытые закономерности в паролях, создаваемых пользователями, что может улучшить инструменты для взлома паролей. Таким образом, становится очевидной парадоксальная сторона безопасности паролей.
Машинное обучение (ML) оказалось полезным для извлечения ценной информации из обширных массивов паролей. Это извлечение способствует важным разработкам в области угадывания паролей и совершенствованию алгоритмов оценки надежности паролей.
На этом фоне большие языковые модели (LLM) добились значительных успехов в обработке и понимании естественного языка, причем на передний план вышли такие модели, как генеративные предварительно обученные трансформаторы (GPT), включая PaLM и LLaMA.
Обратите внимание, что хотя этот PassGPT является законным созданием, ранее была одноименная первоапрельская шутка, поэтому будьте осторожны при проведении собственных исследований.
PassGPT является еще одним доказательством того, что все больше и больше существует ИИ для всего. А с таким ИИ, как PassGPT, вы можете скоро обнаружить, что имя вашей кошки в сочетании с датой рождения больше не является неразборчивой крепостью пароля, как вы когда-то думали.
