Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合
※ 引述《dosiris (希望大家開心)》之銘言:
: 1.媒體來源:
: 自由
: 2.記者署名:
: 劉惠琴
: 3.完整新聞標題:
: AI 新技術「秒破解」750萬組常用密碼組合!5招學會設立安全密碼強度
: 4.完整新聞內文:
阿肥外商碼農阿肥啦!
本身領域研究員,GAN本身在學理上就是生成範式分佈,以PassGAN為例我們期望生成一組生成密碼的空間分佈來採樣這組密碼,然後判別模型在透過真實洩漏的密碼來判斷是否為真實用戶設置的密碼,透過這樣就可以判斷用戶慣性規則,算是字典攻擊的進化版,因為人類設置的密碼是有規則跟習慣性而非亂數的,也是為了方便人類記憶。這就非常適合模型來做這件事,因為ML/DL真正的強項就是範式學習。
當然,很多人都會說我試三次就擋掉IP就好,但是這只是針對普通人,我早說未來這個時代的資安問題早就是AI搭配駭客來進行的,只要駭客透過程式跳板切換IP,然後我在用程式隨機規律去try登入,看你服務端要怎麼承受,了不起你從帳號檔我就把全部帳號組合都try到不能用直接癱瘓系統,而且搭配passGAN縮小範圍讓程式去測比隨機暴力法有效率,搞不好有效試到幾十組竊取資料兜售就夠了。
這才是真正新時代真正的資安危機,不是啥金管會說chatGPT偷資料這種就是完全沒有sense的人在講的,也只有台灣官員才會這麼沒sense。
然後2FA、OTP或是亂數生成密碼驗證機制依舊是最好的做法,畢竟駭客不可能物理偷竊你的手機或是殺掉你製造你的複製人驗證,這種成本過高也沒有效益,所以2FA、OTP還是相對安全的。
--
OTP
OTP
更正啦!one time password
※ 編輯: sxy67230 (101.12.44.245 臺灣), 04/10/2023 13:29:41好奇passGAN架構 沒有label要怎麼模仿人
類密碼? Generator先做監督式再拿去做
GAN嗎?
一堆網站沒做webauthn,害我不能用
所以密碼到底要怎麼設
yubikey和手機指紋驗證
完全同意,一階段是絕對不夠的
鍵盤本身就是就是patten,字典類攻擊
甚至靠xgboost做分類就夠準了
同意,所以重要的都有設兩段式驗證
2FA也要看吧,像是銀行同時寄email/簡訊
,根本跟送答案沒啥兩樣
所以人類設置的密碼是無慣性且無規則的
破解時間就大大拉長了
銀行同時寄 那是銀行在耍白癡而已..
我知道你不是在偷臭永豐..
真的是突破騎兵庫了
其實人身上很多獨有特徵可以做密碼
現在三次密碼錯誤 帳號不能試要重認證
那以前橘子晶片卡也有人被盜?
不知道有沒有PassDiffusion
如果要癱瘓的話,那跟DDOS之類差在哪…
癱瘓就不能登入了耶 那破解密碼何用?
這東西根本不用什麼GAN 就密碼心理學
生日單字鍵盤符號什麼排列組合就一大堆了
你能癱瘓那叫DDOS,大哥。還這領域的哩
我一直很清楚啊!面對限制嘗試次數最簡單就是用大量密碼嘗試攻擊用時間換取用戶帳號 密碼,而且搭配passGAN一定有機會拿到幾組可用帳號,還有密碼嘗試攻擊可以設置間隔 、來源跟次數偽裝成真實使用者,不完全是DDOS,最壞狀況就是你全部都試過沒拿到任何 密碼但是可以癱瘓所有用戶帳號,你在細品深思一下吧。
所以數位發展部要開秀了嗎?
說個笑話 天才IT大臣
笑死,全國人民資訊都已經上網了,還談資安
推
10
八卦是現在這一套早就被宣告不合時宜 kwGf.w@^$T34Mg 這一串密碼強度夠不夠 夠啊 記不記的住 記個屁 幹 現在最新指導是7
最新測試:11 字元純數字密碼 AI 瞬間破解,擁抱無密碼功能才是王道 作者 Evan | 發布日期 2023 年 04 月 14 日 8:10 | 分類 AI 人工智慧 , 網路 , 資訊 安全 每隔一陣子總會爆出密碼被駭災情,每次災情後就伴隨許多要求密碼頻繁更新並使用強固![Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合](https://img.technews.tw/wp-content/uploads/2023/04/12174442/%E5%AF%86%E7%A2%BC%E5%BC%B7%E5%BA%A6%E6%AA%A2%E6%B8%AC-624x468.jpg "Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合")
9
請教個文組問題 所謂密碼破解 例如 AI 想破解我在中國信託網銀的密碼 問題是AI試個三次錯誤 中國信託帳號就把你鎖住不讓你登入了28
外商碼農大哥您好, 您應該是機器學習組而非資安組的 順便摘要推文: 推 RisingTackle: 建立字典檔的東西還需要AI? 106.105.2.89 04/17 09:46 推 LawLawDer: 可以被試登這麼多次的網站多半也是垃 223.136.155.238 04/17 09:47 → Dirgo: 正常密碼不可能給你這樣無限試誤才是真的 118.163.179.141 04/17 09:47![Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合](https://img.youtube.com/vi/-UrdExQW0cs/mqdefault.jpg "Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合")
7
原本想繼續改原文, 但主題不太一樣, 我另外開一篇文補完, 順便重貼一下原文底下的補充好了 --------- 我提到密碼破解的重點其實是在取得密碼檔後 感覺大家都是質疑「你密碼檔怎麼可能取得」「能被取得網站一定也很爛」![Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合](https://miro.medium.com/v2/resize:fit:1200/1*41XiwBL9NXDfGtIXbc3UsQ.jpeg "Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合")
18
Fw: [心得] 一組密碼+md5=不會共用的萬用密碼作者: hn880265 ( ) 看板: Bank_Service 標題: [心得] 一組密碼+md5=不會共用的萬用密碼 時間: Mon May 31 21:27:40 2021 最近支付寶被盜才開始考慮密碼安全 之前有分敏感/涉及個資/免洗密碼約5組 但還是會共用到9
[問卦] yoyodiy的rar破解程式有多猛眾所周知 yo叔寫了一個繞過rar密碼的程式 可是目前都沒看到有人開箱測試過 hashcat是一個開源的密碼破解程式 不是用字典檔而是亂數下去暴力猜![[問卦] yoyodiy的rar破解程式有多猛](https://img.youtube.com/vi/ifrpYn_Gm54/mqdefault.jpg "[問卦] yoyodiy的rar破解程式有多猛")
5
[問題] 如何手動叫出製作高強度密碼版本:ios14 想請問大家,有許多時候註冊新帳號, 手機沒有判斷出正在申請新密碼, (尤其是不用填入重複密碼的網站) 所以自己手動輸入密碼或是叫出以前其他帳號的密碼共用,4
Re: [問題] steam的信件通知我也是遇到相同情形 基本上就是對方知道你的一階段帳號 但二階段擋住了 之前我也發文過 我已經被持續登入3年3
[問題] 鑰匙圈有辦法自行生成密碼嗎?最近想把一些不常用但需要註冊的APP 全部都改成用鑰匙圈生成的密碼去統一管理 不然現在幾乎都是一組密碼用到底 要麻就是密碼忘記只好再重設一遍 但鑰匙圈生成密碼好像只能在網頁上執行![[問題] 鑰匙圈有辦法自行生成密碼嗎?](https://i.imgur.com/cv77SJ5b.jpg "[問題] 鑰匙圈有辦法自行生成密碼嗎?")
Re: [問卦] 密碼這麼多 都怎麼記?自己就三個方法 1. 瀏覽器自動儲存密碼 通常都是一些不重要的網站會員密碼才直接儲存 2. 有自己習慣的密碼組合 但這種很常遇上密碼規則問題都要做變化