PTT評價

Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合

看板Gossiping標題Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合作者
TKirby
( :D)
時間推噓 7 推:7 噓:0 →:9

原本想繼續改原文, 但主題不太一樣,
我另外開一篇文補完, 順便重貼一下原文底下的補充好了
---------
我提到密碼破解的重點其實是在取得密碼檔後
感覺大家都是質疑「你密碼檔怎麼可能取得」「能被取得網站一定也很爛」

先簡單說明一下
密碼大多存在資料庫中, 所以要先侵入網站主機或取得資料庫傾倒
幾種可能的方式:
1. 粗心的網管, 讓資料庫允許對外連線 + 預設帳密
2. 前端有 XSS 漏洞, 導致特定帳號 session secret 外流
攻擊方取得登入權杖後變身成系統管理員
進而進入 phpmyadmin 之類的地方
3. 社交工程:
"hi Musk 我是你麻吉啦, 對了那個登入幫我開一下,
我的email 是 [email protected]"

嚴格說起來, 比起直接暴力猜你的密碼, 聽起來的確相對不容易發生

但事實上各位想想看你用過多少網站
不是每個網站的工程師薪水都夠高
甚至 twitter 都曾經發生過意外把密碼明文存進 log 中的事件
Google 也有 Hall of Fame 來招安白帽, 上面的感謝名單可也是不少呢.
如果你都用同一組密碼, 那根據木桶定理
你的密碼的安全性取決於你用過的所有網站中, 最不安全的一個.

又或者像 Wordpress 這種開源,普及又充滿外掛的東西
想辦法鑽到一次漏洞, 能帶來的收益是相當可觀的
所以很多人是不惜代價在試
我自己的網站翻 access.log 每天都可以看到有人來掃
很多都是針對像 wordpress 這類知名框架的弱點在試的.
這大大提高了這類網站被擊落的機會.

最後, 現代軟體幾乎都是基於開源套件建立的
這無關你技術厲不厲害, 因為從無到有建起所有東西, 沒有人辦得到
就算你辦得到, 你也無法維護.
但很多深層相依套件, 你其實不知道有沒有問題, 甚至不知道未來會不會有問題
這種事發生過好幾次了, 比方說 Marak/colors.js 事件
簡短的說, 就熱門套件 colors.js 的作者 Marak,
某天忽然在程式中塞了個無窮迴圈 + 吐出一堆垃圾, 讓一堆網站工程師崩潰
你各位的人生沒什麼改變, 真的就像漫畫一樣, 有一群人默默的幫各位處理掉了.

關於這點, 推薦大家看一下這篇文章:

"I’m harvesting credit card numbers and passwords
from your site. Here’s how."

https://david-gilbertson.medium.com/9a8cb347c5b5

我個人認為, 現今的軟體世界其實比你我想像的都還脆弱.
即便如此, 個人要提升自己的安全性, 大概幾點做好就對了

1. 2FA. 大家都懂, 無需贅述
但手機被偷或 email 被攻破/ban掉時, 應該會很困擾?

2. 用密碼管理器, 讓你每個網站都是用拋棄式的密碼
其實 Chrome 就能幫你存密碼了, 不失為一個手段

3. 至少管理器的主密碼必須夠長.


※ 引述《TKirby ( :D)》之銘言:
: ※ 引述《haiduc (小火柴)》之銘言:
: 外商碼農大哥您好, 您應該是機器學習組而非資安組的
: 順便摘要推文:
: 推 RisingTackle: 建立字典檔的東西還需要AI? 106.105.2.89 04/17 09:46: 推 LawLawDer: 可以被試登這麼多次的網站多半也是垃 223.136.155.238 04/17 09:47: → Dirgo: 正常密碼不可能給你這樣無限試誤才是真的 118.163.179.141 04/17 09:47: 推 VVizZ: 3次直接鎖帳做跳板也沒用吧 220.130.142.210 04/17 09:48: 小弟不是專業資安人士, 但對於網站這部份的機制有粗淺研究
: 看到大部份的留言都談到試登跟鎖帳號, 小弟補充說明一下
: 現在幾乎所有網站都會做流量限制(throttling) 跟真人驗證 (captcha)
: 所以密碼破譯的重點不是在面對網站的破譯
: 而是在密碼檔流出後, 怎樣破解密碼
: (若針對網站做試誤反而會歸在 DDoS, 因為編碼往往需要高計算強度演算法)
: "密碼檔都流出了還需要破解?"
: 因為密碼檔即便在網站主機中, 還是會編碼儲存
: 以避免你的密碼直接被別人知道
: 現今密碼編碼的機制有兩個重點
: 1. 必須慢 - 編碼的速度慢到讓你暴力破解不實際.
: 2. 要加鹽 - 根據不同的鹽值, 同一個密碼每次算出來的雜湊值都不同.
: 比方說你的密碼是 1234,
: 那我隨機生成 qwe 把他變成 1234qwe 再編碼成 PVE31RC4FV
: 最後再把 qwe 附上變 PVE31RC4FV.qwe
: 1. 是針對密碼檔外流的情境下, 讓你的內容無法被有效解譯, 不是針對 "試登"
: 所以如果你會講到 "試登", 那你其實不懂密碼破譯這個議題.
: 2. 則是讓建立字典檔不再有用, 每個編碼每次都不同, 你沒辦法有有效的字典檔.
: 事實上, 你若沒有做到這兩點, 那你有沒有編碼密碼檔結果大概是一樣的
: RockYou 這間公司密碼檔洩漏的時候,
: 就是因為使用相對不安全的 MD5 編碼, 才招致全文解密上網.
: 現在則是被拿來做 AI 學習用模型, 在 kaggle 上就有, 53MB, 我剛剛才載了一份呢
: ( 順道一提, 之前 breached.to 有 LINE TAIWAN 數十萬組帳密明文流出
: 據說其中不乏知名企業與政府單位的 email , 看文章的您不曉得有沒有在裡面呢? ): 但這個 PASSGAN 又是在幹嘛?
: 雖然外商碼農大哥在 PASSGAN 的部份說明得很好
: 簡單的說就是用真實密碼範本 RockYou 訓練密碼生成模型,
: 讓你猜密碼的準確度提高, 就是, 提高猜對的機率, 進而減少需要的費時.
: 既然 RockYou 密碼表會在 kaggle 上, 代表早就有很多人在做這種研究了
: 這個 PASSGAN 不會是第一個, 所以核心重點應該要放在 PASSGAN 跟過去模型的比較
: 但原始出處 homesecurityheroes 只有寫在各種組合跟長度時, PASSGAN 預測猜對的時間: 要嘛他因為結果沒有比較好而不敢比較, 不然就是比較對他們來說不重要
: 所以我合理猜測是後者 - 這個 PASSGAN 只是個幌子
: 實際上是想搭 AI 順風車來做病毒行銷的一個案例.
: 目前類神經網路基礎的 AI 說到底, 你大概可以想成是做出一個人
: 人不能做到的他大概也做不到, 但他速度快很多, 大小彈性, 也可以自動化
: 所以看似會比人類強很多, 也會有很多應用情境
: 但他並沒有本質上摧毀當前的加密機制
: 關於密碼, 如果真的要擔心, 或許量子電腦會是比較需要煩惱的
: 真.知識型網紅 Veritasium 最近剛好有一個影片在談這件事, 我節錄其中一段:
: https://youtu.be/-UrdExQW0cs?t=1021
: 他的圖表預測, 根據當前的量子電腦發展的速度,
: 目前主流的加密演算法可能會在 2030 ~ 2040 年間過時.
: 所以已經有很多人在尋找 QC-Proof 的加密演算法了.
: 這才是真.真正新時代真正的資安危機.
: 想像一下如果對岸早就偷偷發展 QC 到某個程度
: 然後天天攔截台灣官方軍方自以為萬無一失的加密通訊在嘗試破解..
: 二戰德軍會輸, Enigma 被破解可說是其中一個主因呢.
: : 最新測試:11 字元純數字密碼 AI 瞬間破解,擁抱無密碼功能才是王道
: : 作者 Evan | 發布日期 2023 年 04 月 14 日 8:10 | 分類 AI 人工智慧 , 網路 , 資訊
: : 安全
: : https://reurl.cc/0EGQDK
: : 每隔一陣子總會爆出密碼被駭災情,每次災情後就伴隨許多要求密碼頻繁更新並使用強固
: : 性密碼的呼籲,但最終總會在人性面前敗陣下來。多數使用者雖然不願意被駭,但要頻繁
: : 更新永遠記不住的強固密碼,也是不可能的任務。
: : 某網路安全公司最近測試發現,AI 能不到 1 分就破解大部分常用密碼。隨著 AI 技術不
: : 斷突破,未來即使再強固的密碼都有可能瞬間破解,到時傳統密碼登錄模式可能因毫無作
: : 用遭廢用。其實蘋果、Google 及微軟早在去年中就合作開發無密碼機制,可說兩家都洞
: : 悉人性並預見 AI 會有驚人進展吧。
: : AI 破解千萬餘密碼,51% 不到 1 分鐘就破解
: : 網路安全公司 Home Security Heroes 最近展開 AI 破解密碼時間的測試。特別使用支援
: : 生成式對抗網路(Generative Adversarial Network,GAN)架構的 PassGAN 密碼生成器
: : 產生待破解密碼。用 PassGAN 從社群小工具 RockYou 資料庫取得 1,568 萬個真實常用
: : 密碼,特別將長度超過 18 個字元、短於 4 個字元的密碼排除。
: : 將千萬餘個密碼餵給 AI 系統後,不到 1 分鐘就破解 51% 密碼,接著 1 小時內破解: : 65% 密碼,剩下未破解密碼強度更高,破解難度及所耗時間逐漸攀升。測試又花了近一
: : 天才破解至 71%,一個月後升至 81%。
: : 可見目前 AI 破解能力,只要強度夠、複雜度高的密碼大致算安全。從 Home Security: : Heroes 官網報告可看出,要能與 AI 抗衡,除了長度夠長,混合大小寫字母及符號就愈
: : 接近牢不可破。數字和小寫字母組成 10 字元密碼,1 小時內破解機率為 65%,若加上大
: : 寫字母或特殊符號,破解時間可增至 5 年。
: : 18 字元密碼可保安全無虞,安全公司建議至少 15 字元才安全
: : 基本上密碼長度只要大於 18 字元,可完全無懼現行 AI。即使純數字 18 字元密碼,AI
: : 破解也要耗費 10 個月之久,如果再混合大小寫子母及符號,破解時間更達難以想像的: : 100 京(Quintillion,10 的 18 次方)年。
: : 現行 AI 連 11 字元純數字密碼都可瞬間破解,即使加長到 14 字元也只需 36 分,所以
: : Home Security Heroes 建議密碼長度起碼要 15 字元(AI 破解約需 5 小時)才夠安全
: : ,且只要再複雜一點,15 字元皆改成小寫字母,破解時間可拉長到 890 年。Home
: : Security Heroes 建議使用者重要密碼最好每隔幾個月就換一次。
: : https://reurl.cc/Dm7eZR
: : ▲ AI 破解不同長度及複雜度密碼時間表。(Source:Home Security Heroes)
: : 多年來,安全專家一再呼籲用戶定期更換密碼,並使用強固式密碼,但成效不彰。對多數
: : 使用者而言,即使 8 字元密碼都不見得記得住,更別說 15 字元、混合密碼,甚至定期
: : 更換等不切實際的建議。事實證明,定期更換強固式密碼的建議窒礙難行。或許蘋果、: : Google 及微軟早看透這點,才會聯手推動無密碼技術。隨著 AI 技術突飛猛進,AI 破解
: : 更複雜密碼絕對比人類定期更新高強度密碼更快實現。有鑑於此,擁抱無密碼時代,或許
: : 才是最貼合人性的可行之道。
: : AI Can Now Crack Most Passwords in Less Than a Minute
: : ↓
: : https://reurl.cc/XLgp5j (英文原文版本)
: : (首圖來源:科技新報)
: : https://reurl.cc/o06pQg

--
由於它對純粹體質上的耐力以及手指上的輝煌技巧要求太高,在當時的鋼琴家中極少
有人能夠勝任它的演奏。直到二十世紀三零年代鋼琴演奏技巧才發展到了一個相當的高
度﹝它包括了從細微的音色變化到踏板的使用,從手指的極度靈巧到肌肉的永不疲勞等
所有的尖端的技巧﹞,從而造就了一批具備超凡演奏才能的代表人物,如:霍洛維茲
﹝Vladimir Horowitz﹞、英年早逝的赫爾曼﹝Alexander Helman﹞、季雪金﹝Walter
Gieseking﹞,拉赫曼尼諾夫對他演奏這首協奏曲的喜愛超過其他任何人﹞等。

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.226.64.115 (臺灣)
PTT 網址

bignoob 04/17 12:03八卦版發優文沒人會理你

haiduc 04/17 12:07推 專業

staristic 04/17 12:07推一個,現代軟體業是建立在黑洞上的

staristic 04/17 12:08特別是web前端繞不開node_modeuls XDDD

doubleperson 04/17 12:09推推

sammy98 04/17 12:11密碼都會加入 Null * €{%

tmwolf 04/17 12:20寫在紙本上現在反而安全

tmwolf 04/17 12:20啊不對,這篇是在講別的

Sirctal 04/17 12:24兩階段要建立在你沒有被木馬植入

Sirctal 04/17 12:25不然木馬偷到你的 session key 兩階段一

Sirctal 04/17 12:25樣沒用

wewe750422 04/17 12:40yo叔的技術才是最厲害的

lazarus1121 04/17 12:41資料庫洩密或木馬一般人不太會碰到

lazarus1121 04/17 12:41大部分都是因為社交工程被盜

lazarus1121 04/17 12:41所以兩階段認證還是最有用的

lazarus1121 04/17 12:44綁手機的那種