深度学习PassGAN工具改进密码猜测

人工智能和深度学习正在逐渐渗透到信息安全中，这些方法的早期应用之一已经出现并且专注于密码。

他们说，史蒂文斯理工学院和纽约理工学院的研究人员最近发表了他们使用生成对抗网络（GAN）的工作的一些早期结果，以更好的速度生成密码猜测，而不是现有的手动规则生成技术。现有的工具，如Hashcat或John the Ripper。 通过选择这些强大的分析工具，研究人员表示他们可以使用机器学习现有数据，例如过去18个月泄漏的数百万个密码，并制定新的密码规则，不仅可以提高笔的效率测试工具，但也有一天可能成为恢复或猜测密码的主要工具。

“让我们说明天还有另一个密码泄漏; 如果您手动构建规则并且想要利用泄漏中的知识，则必须让人们通过它来查看不匹配的内容，并通过提出新规则找出如何手动匹配它和关键字。 这是一项手工工作，“纽约理工学院的Paolo Gasti说，其中一名研究人员参与其中。 “我们正在做的是我们采取密码转储，将其交给工具，让它运行一天，一周或一个月，你就完成了。 您已经学会了该工具可以从这个新数据集中学到的东西。“

Gasti和他的同事Briland Hitaj，Giuseppe Ateniese以及Stevens技术学院和纽约理工学院的Fernando Perez-Cruz最近发表了一篇名为“ PassGAN：密码猜测的深度学习方法 ”的论文.PassGAN就是这个名字。他们说，他们的技术利用GAN来改进基于规则的密码生成工具。

“PassGAN代表了对基于规则的密码生成工具的重大改进，因为它可以从密码数据中自主地推断密码分发信息，而不是通过手动分析，”他们写道。 “因此，它可以毫不费力地利用新的密码泄漏来生成更丰富的密码分发。”

本文包括一些实验的结果，这些实验证明了PassGAN如何分析LinkedIn和RockYou漏洞泄露的密码，并且优于John the Ripper的SypderLabs规则，并且与HashCat的best64和gen2规则“竞争”。

他们写道：“当我们将PassGAN的输出与HashCat的输出结合起来时，我们能够比单独使用HashCat多18％-24％的密码。” “这非常值得注意，因为它表明PassGAN可以生成相当数量的密码，这些密码对于当前的工具来说是遥不可及的。”

与此同时，GAN是深度学习工具，由两个深层神经网络组成：生成和判别。 深度学习在许多应用程序中用于从数据集生成新内容（即，扫描数千个面部或房间的图像以创建新的独特图像）。 Gasti说这可能是GAN在安全性方面的第一次应用，他们的目的是教授深度神经网络用户选择的密码是什么样的，而不为网络提供任何上下文，例如出生日期或宠物名称等个人信息。通常在形成他们认为复杂的密码时结合起来。

“我们不提供任何信息，只是盲目地给机器提供一组密码，机器正在弄清楚密码是什么。 这个想法是，这台机器将经历这些密码数十万次，每次运行它们时，它都会学到新的东西，密码组件之间的一些新关系，“加斯蒂说。 “第十万次传球可能是'我已经识别出这个词和数字，并且知道它们之间的关系以及它们之间的关系。' 每当它经历一些事情，它就会学到新的东西。 这台机器不是让一群人手动操作成千上万的密码，而是为您完成。“

例如，理想情况下，一个快速的机器集群可以分析一个月的数百万个密码，并提取手动过程永远无法生成的规则，他说。

“我觉得我们正在提高一个好密码应该是什么样子的标准，”加斯蒂说。 “既然我们现在更好地猜测密码，你可以想象在我们现在知道不是之前我们认为是安全的。 之前无法猜测的密码可以猜测，不是因为它们较弱，而是因为我们有更好的方法来评估它们。“