Umetna inteligenca še ne kaže znakov ustavljanja. Pojavil se je nov model umetne inteligence, ki lahko ugiba gesla ter potencialno preoblikuje pristop k geslom in celotni varnosti na internetu: Predstavljamo vam PassGPT.
Raziskovalci iz ETH Zürich, Swiss Data Science Center in SRI International iz New Yorka so izkoristili moč arhitekture OpenAI GPT-2 in razvili PassGPT, model za ugibanje gesel, ki temelji na velikem jezikovnem modelu (LLM). Model je bil usposobljen na podlagi množice gesel, ki so ušla iz različnih vdorov in izkoriščanj.
Glavni namen PassGPT je dešifrirati skrivnostne značilnosti, ki so zakoreninjene v labirintu gesel, ki jih je ustvaril človek, da bi uporabnikom omogočil uporabo močnejših in kompleksnejših gesel ter odkrivanje verjetnih gesel glede na niz vhodnih podatkov. Inovativnost modela ni le v njegovi sposobnosti napovedovanja, temveč tudi v njegovem edinstvenem načinu ustvarjanja.
Umetna inteligenca, gesla in varnost na internetu
Kljub vse večji raznolikosti alternativnih tehnologij dobra stara gesla ostajajo najprimernejša metoda avtentikacije za večino internetnih uporabnikov. To je predvsem zato, ker je gesla preprosto uporabljati in si jih zapomniti. Poleg tega večina programov uporablja gesla kot rezervni načrt, če drugi varnostni ukrepi ne delujejo. Uhajanje gesel je ena največjih nevarnosti, s katerimi se soočajo organizacije (in posamezniki), saj se to dogaja zelo pogosto. Ne le da lahko uhajanje gesel hekerjem omogoči dostop do sistemov, temveč raziskovalcem omogoča tudi iskanje skritih vzorcev v geslih, ki jih ustvarijo uporabniki, kar se lahko uporabi za razvoj in izboljšanje orodij za razbijanje gesel.
Strojno učenje (ML) ima vendo pomembnejšo vlogo pri pridobivanju in učenju pomembnih značilnosti iz obsežnih kršitev gesel, kar je bistveno prispevalo predvsem k dvema glavnima področjema raziskav:
- ugibanje gesel
- algoritmi za ocenjevanje moči gesla
Hkrati je družina modelov ML, imenovana veliki jezikovni modeli – LLM (kamor spada tudi slavni Chat GPT) , izjemno uspešna pri obdelavi in razumevanju naravnega jezika (NLU). Modeli Generative Pre-trained Transformer (GPT), PaLM in LLaMA so nekaj znanih primerov teh modelov, ki temeljijo na arhitekturi Transformer. Glede na dosedanje dosežke se sprašujejo: kako dobro znajo LLM modeli prepoznati temeljne značilnosti in namige, ki se skrivajo v kompleksnosti gesel, ustvarjenih s strani ljudi? Odgovor na to predstavlja Pass GPT.
Kaj je PassGPT?
V nasprotju s prejšnjimi modeli, ki so oblikovali gesla kot popolne entitete, PassGPT uvaja inovativno strategijo: postopno vzorčenje. Ta metoda sestavlja gesla znak za znakom, kar zagotavlja skrbno zapleteno geslo, in je bila usposobljena na zbirki milijonov predhodno razkritih gesel. Ustvarjalec Javi Rando je pojasnil, da je PassGPT bil usposobljen na podlagi uhajanja podatkov RockYou in lahko zato ugiba 20% več nevidnih gesel kot najsodobnejši modeli GAN.
GAN modele si lahko predstavljamo kot tekmo med dvema omrežjema. Eno, Generator, poskuša ustvariti vsebino, ki je tako realistična, da lahko zavede drugo – Diskriminator, ki poskuša odkriti, kdaj mu je predstavljena umetna vsebina. Z vsakim krogom te tekme se vsako omrežje uči iz svojih napak in se izboljšuje. Splošna kakovost modela se izboljšuje, dokler ne doseže točke, ko Diskriminator skoraj ne more razlikovati med resničnim in tistim, kar je ustvaril Generator.
Kako uspešen je Pass GPT pri razbijanju gesel?
Na podlagi testov in podatkov, navedenih v raziskovalnem članku, je PassGPT boljši od vseh drugih modelov, saj je v 109 ugibanjih gesel obnovil 41,9 % testnega niza – v primerjavi z najsodobnejšimi zgoraj omenjenimi modeli GAN, ki so obnovili le 23,33 odstotka.
Glede ocenjevalnikov so ustvarjalci PassGPT navedli, da je za ocenjevalnike moči gesel ključno, da čim bolj zmanjšajo število lažno negativnih rezultatov, tj. da gesla, ki jih je mogoče uganiti s katero koli obstoječo tehniko, razvrstijo kot močna.
Razložili so, da je razlog za to ta, da lahko modeli, kot je PassGPT, kljub temu, da so gesla razvrščena kot zelo močna, ta še vedno odkrijejo. Z uporabo generativnega modela in vključitvijo logaritemske verjetnosti bi lahko PassGPT zagotovil dragocene dodatne informacije in izboljšal natančnost teh sistemov za scenarije z visokimi tveganji.
Analiza moči gesla in ranljivosti
Rando je opozoril tudi na edinstvenost gesel, ki jih generira PassGPT, saj je pojasnil, da gre za eksplicitni generativni model, ki nam omogoča dostop do modelirane porazdelitve in izračun verjetnosti katerega koli gesla v skladu z modelom. To zmožnost uporabljajo za analizo ranljivosti glede moči gesel.
PassGPT se je izkazal za spretnega pri odkrivanju vzorcev, ki se zdijo robustni za tradicionalne ocenjevalce moči gesel, vendar jih je z uporabo generativnih tehnik razmeroma lahko uganiti. Poleg tega je PassGPT sposoben prepoznavati vzorce v več jezikih, s čimer premaga izziv, ki ga za hevristiko, ki temelji na slovarju, predstavljajo gesla, ki niso v angleščini. Ta večjezična zmožnost vzpostavlja novo merilo v raziskavah varnosti gesel. Omeniti velja, da lahko PassGPT ugiba tudi gesla, ki niso del njegovega nabora učnih podatkov, kar kaže na njegovo izjemno prilagodljivost in učinkovitost.
Zlasti je mogoče programe LLM, kot je Pass GPT, prilagoditi po meri z uporabo različnih naborov podatkov za posebne aplikacije. Primer: Google usposablja LLM umetne inteligence na podlagi medicinskih podatkov, drugi zanimivi rezultati pa so se pojavili na podlagi LLM, ki so bili usposobljeni za različne teme, kot je politično nekorekten jezik iz 4Chan ali nianse v slogu govora priljubljenih YouTuberjev.
Pomisleki
Nevarna je tudi možnost zlorabe mogočnega modela umetne inteligence, kot je PassGPT. Kibernetski kriminalci lahko PassGPT uporabijo za razbijanje gesel in dostop do občutljivih podatkov. Ker je PassGPT vedno bolj razširjen, je pomembno, da se uporabniki zavedajo tveganj. Uporabniki se lahko pred to novo grožnjo zaščitijo z uporabo močnih gesel in dobrimi navadami glede kibernetske varnosti.
Kako lahko ustvarim močno geslo?
- Uporabite kombinacijo velikih in malih črk, številk in simbolov
- Izogibajte se uporabi običajnih besed ali besednih zvez
- Gesla naj bodo dolga vsaj 12 znakov
- Gesel ne uporabljajte ponovno na več spletnih mestih
- Uporabite upravitelja gesel, ki vam bo pomagal spremljati gesla
Ko potegnemo črto
Zanimivo je, da uhajanje gesel ni le korist za hekerje, ki iščejo dostop do sistema. Raziskovalcem omogočajo tudi preučevanje skritih vzorcev v geslih, ki jih ustvarijo uporabniki, kar lahko izboljša orodja za razbijanje gesel. Tako se pokaže paradoksalni vidik varnosti gesel. PassGPT je še en dokaz, da je umetna inteligenca vedno bolj razširjena. Morda boste preko Pass GPT kmalu ugotovili, da ime vašega psa v kombinaciji z datumom rojstva ni več nerazločljiva trdnjava gesla, za katero ste nekoč mislili, da je.