Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合

※ 引述《sxy67230 (charlesgg)》之銘言：
: ※ 引述《dosiris (希望大家開心)》之銘言：
: : 1.媒體來源:
: : 自由
: : 2.記者署名:
: : 劉惠琴
: : 3.完整新聞標題:
: : AI 新技術「秒破解」750萬組常用密碼組合！5招學會設立安全密碼強度
: : 4.完整新聞內文:
: 阿肥外商碼農阿肥啦！
: 本身領域研究員，GAN本身在學理上就是生成範式分佈，以PassGAN為例我們期望生成一組: 生成密碼的空間分佈來採樣這組密碼，然後判別模型在透過真實洩漏的密碼來判斷是否為: 真實用戶設置的密碼，透過這樣就可以判斷用戶慣性規則，算是字典攻擊的進化版，因為: 人類設置的密碼是有規則跟習慣性而非亂數的，也是為了方便人類記憶。這就非常適合模: 型來做這件事，因為ML/DL真正的強項就是範式學習。
: 當然，很多人都會說我試三次就擋掉IP就好，但是這只是針對普通人，我早說未來這個時: 代的資安問題早就是AI搭配駭客來進行的，只要駭客透過程式跳板切換IP，然後我在用程: 式隨機規律去try登入，看你服務端要怎麼承受，了不起你從帳號檔我就把全部帳號組合: 都try到不能用直接癱瘓系統，而且搭配passGAN縮小範圍讓程式去測比隨機暴力法有效率: ，搞不好有效試到幾十組竊取資料兜售就夠了。
: 這才是真正新時代真正的資安危機，不是啥金管會說chatGPT偷資料這種就是完全沒有sen: se的人在講的，也只有台灣官員才會這麼沒sense。
: 然後2FA、OTP或是亂數生成密碼驗證機制依舊是最好的做法，畢竟駭客不可能物理偷竊你: 的手機或是殺掉你製造你的複製人驗證，這種成本過高也沒有效益，所以2FA、OTP還是相: 對安全的。

最新測試：11 字元純數字密碼 AI 瞬間破解，擁抱無密碼功能才是王道

作者 Evan | 發布日期 2023 年 04 月 14 日 8:10 | 分類 AI 人工智慧 , 網路 , 資訊安全

https://reurl.cc/0EGQDK

每隔一陣子總會爆出密碼被駭災情，每次災情後就伴隨許多要求密碼頻繁更新並使用強固

性密碼的呼籲，但最終總會在人性面前敗陣下來。多數使用者雖然不願意被駭，但要頻繁

更新永遠記不住的強固密碼，也是不可能的任務。

某網路安全公司最近測試發現，AI 能不到 1 分就破解大部分常用密碼。隨著 AI 技術不

斷突破，未來即使再強固的密碼都有可能瞬間破解，到時傳統密碼登錄模式可能因毫無作

用遭廢用。其實蘋果、Google 及微軟早在去年中就合作開發無密碼機制，可說兩家都洞

悉人性並預見 AI 會有驚人進展吧。

AI 破解千萬餘密碼，51% 不到 1 分鐘就破解

網路安全公司 Home Security Heroes 最近展開 AI 破解密碼時間的測試。特別使用支援

生成式對抗網路（Generative Adversarial Network，GAN）架構的 PassGAN 密碼生成器

產生待破解密碼。用 PassGAN 從社群小工具 RockYou 資料庫取得 1,568 萬個真實常用

密碼，特別將長度超過 18 個字元、短於 4 個字元的密碼排除。

將千萬餘個密碼餵給 AI 系統後，不到 1 分鐘就破解 51% 密碼，接著 1 小時內破解

65% 密碼，剩下未破解密碼強度更高，破解難度及所耗時間逐漸攀升。測試又花了近一

天才破解至 71%，一個月後升至 81%。

可見目前 AI 破解能力，只要強度夠、複雜度高的密碼大致算安全。從 Home Security

Heroes 官網報告可看出，要能與 AI 抗衡，除了長度夠長，混合大小寫字母及符號就愈

接近牢不可破。數字和小寫字母組成 10 字元密碼，1 小時內破解機率為 65%，若加上大

寫字母或特殊符號，破解時間可增至 5 年。

18 字元密碼可保安全無虞，安全公司建議至少 15 字元才安全

基本上密碼長度只要大於 18 字元，可完全無懼現行 AI。即使純數字 18 字元密碼，AI

破解也要耗費 10 個月之久，如果再混合大小寫子母及符號，破解時間更達難以想像的

100 京（Quintillion，10 的 18 次方）年。

現行 AI 連 11 字元純數字密碼都可瞬間破解，即使加長到 14 字元也只需 36 分，所以

Home Security Heroes 建議密碼長度起碼要 15 字元（AI 破解約需 5 小時）才夠安全

，且只要再複雜一點，15 字元皆改成小寫字母，破解時間可拉長到 890 年。Home

Security Heroes 建議使用者重要密碼最好每隔幾個月就換一次。

https://reurl.cc/Dm7eZR
▲ AI 破解不同長度及複雜度密碼時間表。（Source：Home Security Heroes）

多年來，安全專家一再呼籲用戶定期更換密碼，並使用強固式密碼，但成效不彰。對多數

使用者而言，即使 8 字元密碼都不見得記得住，更別說 15 字元、混合密碼，甚至定期

更換等不切實際的建議。事實證明，定期更換強固式密碼的建議窒礙難行。或許蘋果、

Google 及微軟早看透這點，才會聯手推動無密碼技術。隨著 AI 技術突飛猛進，AI 破解

更複雜密碼絕對比人類定期更新高強度密碼更快實現。有鑑於此，擁抱無密碼時代，或許

才是最貼合人性的可行之道。

AI Can Now Crack Most Passwords in Less Than a Minute
↓
https://reurl.cc/XLgp5j (英文原文版本)

（首圖來源：科技新報）

https://reurl.cc/o06pQg

心得感想：

暴力破解密碼看起來沒有什麼，

但是密碼都是純數字，破解純數字密碼很快，

只要用程式去跑，純數字密碼很快就可以破解出來，

時間長短的問題而已，

電腦速度愈來愈快，再加上有ＡＩ破解，純數字密碼感覺形同虛設。

--