Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合!5招學會設立安全密碼強度

看板Gossiping作者 (charlesgg)時間2年前 (2023/04/10 13:27), 2年前編輯推噓15(16115)
留言32則, 23人參與, 2年前最新討論串2/7 (看更多)
※ 引述《dosiris (希望大家開心)》之銘言: : 1.媒體來源: : 自由 : 2.記者署名: : 劉惠琴 : 3.完整新聞標題: : AI 新技術「秒破解」750萬組常用密碼組合!5招學會設立安全密碼強度 : 4.完整新聞內文: 阿肥外商碼農阿肥啦! 本身領域研究員,GAN本身在學理上就是生成範式分佈,以PassGAN為例我們期望生成一組 生成密碼的空間分佈來採樣這組密碼,然後判別模型在透過真實洩漏的密碼來判斷是否為 真實用戶設置的密碼,透過這樣就可以判斷用戶慣性規則,算是字典攻擊的進化版,因為 人類設置的密碼是有規則跟習慣性而非亂數的,也是為了方便人類記憶。這就非常適合模 型來做這件事,因為ML/DL真正的強項就是範式學習。 當然,很多人都會說我試三次就擋掉IP就好,但是這只是針對普通人,我早說未來這個時 代的資安問題早就是AI搭配駭客來進行的,只要駭客透過程式跳板切換IP,然後我在用程 式隨機規律去try登入,看你服務端要怎麼承受,了不起你從帳號檔我就把全部帳號組合 都try到不能用直接癱瘓系統,而且搭配passGAN縮小範圍讓程式去測比隨機暴力法有效率 ,搞不好有效試到幾十組竊取資料兜售就夠了。 這才是真正新時代真正的資安危機,不是啥金管會說chatGPT偷資料這種就是完全沒有sen se的人在講的,也只有台灣官員才會這麼沒sense。 然後2FA、OTP或是亂數生成密碼驗證機制依舊是最好的做法,畢竟駭客不可能物理偷竊你 的手機或是殺掉你製造你的複製人驗證,這種成本過高也沒有效益,所以2FA、OTP還是相 對安全的。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.12.44.245 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1681104449.A.293.html
04/10 13:28, 2年前 , 1F
OTP
04/10 13:28, 1F
04/10 13:29, 2年前 , 2F
OTP
04/10 13:29, 2F
更正啦!one time password ※ 編輯: sxy67230 (101.12.44.245 臺灣), 04/10/2023 13:29:41
04/10 13:30, 2年前 , 3F
好奇passGAN架構 沒有label要怎麼模仿人
04/10 13:30, 3F
04/10 13:30, 2年前 , 4F
類密碼? Generator先做監督式再拿去做
04/10 13:30, 4F
04/10 13:30, 2年前 , 5F
GAN嗎?
04/10 13:30, 5F
04/10 13:30, 2年前 , 6F
一堆網站沒做webauthn,害我不能用
04/10 13:30, 6F
04/10 13:30, 2年前 , 7F
所以密碼到底要怎麼設
04/10 13:30, 7F
04/10 13:30, 2年前 , 8F
yubikey和手機指紋驗證
04/10 13:30, 8F
04/10 13:31, 2年前 , 9F
完全同意,一階段是絕對不夠的
04/10 13:31, 9F
04/10 13:33, 2年前 , 10F
鍵盤本身就是就是patten,字典類攻擊
04/10 13:33, 10F
04/10 13:35, 2年前 , 11F
甚至靠xgboost做分類就夠準了
04/10 13:35, 11F
04/10 13:38, 2年前 , 12F
同意,所以重要的都有設兩段式驗證
04/10 13:38, 12F
04/10 13:38, 2年前 , 13F
2FA也要看吧,像是銀行同時寄email/簡訊
04/10 13:38, 13F
04/10 13:38, 2年前 , 14F
,根本跟送答案沒啥兩樣
04/10 13:38, 14F
04/10 13:41, 2年前 , 15F
所以人類設置的密碼是無慣性且無規則的
04/10 13:41, 15F
04/10 13:41, 2年前 , 16F
破解時間就大大拉長了
04/10 13:41, 16F
04/10 13:45, 2年前 , 17F
銀行同時寄 那是銀行在耍白癡而已..
04/10 13:45, 17F
04/10 13:46, 2年前 , 18F
我知道你不是在偷臭永豐..
04/10 13:46, 18F
04/10 13:46, 2年前 , 19F
真的是突破騎兵庫了
04/10 13:46, 19F
04/10 14:02, 2年前 , 20F
其實人身上很多獨有特徵可以做密碼
04/10 14:02, 20F
04/10 14:08, 2年前 , 21F
現在三次密碼錯誤 帳號不能試要重認證
04/10 14:08, 21F
04/10 14:22, 2年前 , 22F
那以前橘子晶片卡也有人被盜?
04/10 14:22, 22F
04/10 14:56, 2年前 , 23F
不知道有沒有PassDiffusion
04/10 14:56, 23F
04/10 15:04, 2年前 , 24F
如果要癱瘓的話,那跟DDOS之類差在哪…
04/10 15:04, 24F
04/10 15:06, 2年前 , 25F
癱瘓就不能登入了耶 那破解密碼何用?
04/10 15:06, 25F
04/10 15:28, 2年前 , 26F
這東西根本不用什麼GAN 就密碼心理學
04/10 15:28, 26F
04/10 15:28, 2年前 , 27F
生日單字鍵盤符號什麼排列組合就一大堆了
04/10 15:28, 27F
04/10 15:48, 2年前 , 28F
你能癱瘓那叫DDOS,大哥。還這領域的哩
04/10 15:48, 28F
我一直很清楚啊!面對限制嘗試次數最簡單就是用大量密碼嘗試攻擊用時間換取用戶帳號 密碼,而且搭配passGAN一定有機會拿到幾組可用帳號,還有密碼嘗試攻擊可以設置間隔 、來源跟次數偽裝成真實使用者,不完全是DDOS,最壞狀況就是你全部都試過沒拿到任何 密碼但是可以癱瘓所有用戶帳號,你在細品深思一下吧。
04/10 15:50, 2年前 , 29F
所以數位發展部要開秀了嗎?
04/10 15:50, 29F
04/10 16:02, 2年前 , 30F
說個笑話 天才IT大臣
04/10 16:02, 30F
04/10 16:44, 2年前 , 31F
笑死,全國人民資訊都已經上網了,還談資安
04/10 16:44, 31F
※ 編輯: sxy67230 (101.12.44.245 臺灣), 04/10/2023 17:35:55
04/10 19:39, 2年前 , 32F
04/10 19:39, 32F
更多 sxy67230 的文章
文章代碼(AID): #1aCvv1AJ (Gossiping)
討論串 (同標題文章)
本文引述了以下文章的的內容:
以下文章回應了本文
完整討論串 (本文為第 2 之 7 篇):
排序: 最新先 | 最舊先 | 留言數
在新視窗開啟完整討論串 (共7篇)
更多 sxy67230 的文章
文章代碼(AID): #1aCvv1AJ (Gossiping)