Aurich Lawson | Getty Resimleri
Şimdiye kadar muhtemelen, daha geleneksel yöntemler yerine yapay zeka kullanarak parolanızı saniyeler içinde ele geçirebilecek yapay zeka tabanlı yeni bir parola kırıcıyı duymuşsunuzdur. Bazı kaynaklar bunu “korkutucu”, “endişe verici”, “endişe verici” ve “anlayışlı” olarak nitelendirdi. Diğer yayınlar, aracın yedi karaktere kadar herhangi bir şifreyi – semboller ve rakamlar olsa bile – altı dakikadan kısa sürede kırabildiğini bildirmek için kendilerini kaptırdılar.
AI içeren pek çok şeyde olduğu gibi, iddialar da bol miktarda duman ve aynalarla sunuluyor. Araç olarak adlandırılan PassGAN, daha geleneksel kırma yöntemlerinden daha iyi performans göstermez. Kısacası, PassGAN’ın yapabildiği her şeyi, bu daha denenmiş ve gerçek araçlar da yapar veya daha iyi yapar. Ve Ars’ın geçmişte eleştirdiği birçok yapay zeka olmayan parola denetleyicisi gibi – örneğin burada, burada ve burada – PassGAN’ın arkasındaki araştırmacılar, deneylerinden gerçek güvenliği baltalayan parola tavsiyeleri alıyor.
Bir makineye çatlamayı öğretmek
PassGAN, “Şifre” ve “üretken rakip ağlar” kelimelerinin kısaltılmış bir birleşimidir. PassGAN, 2017’de ortaya çıkan bir yaklaşımdır. İnsanlar tarafından geliştirilen geleneksel yöntemlerin yerine sinir ağı üzerinde çalışan makine öğrenimi algoritmalarını kullanır. Bu GAN’lar, önceki gerçek dünya ihlallerinin ganimetlerini işleyerek parola dağıtımını özerk bir şekilde öğrendikten sonra parola tahminleri üretir. Bu tahminler, bir güvenlik ihlali sonucunda parola karmalarından oluşan bir veritabanı sızdığında mümkün olan çevrimdışı saldırılarda kullanılır.
Üretken bir rakip ağa genel bakış.
Geleneksel şifre tahmini, önceki ihlallerden alınan milyarlarca kelimeden oluşan listeleri kullanır. Hashcat ve John the Ripper gibi popüler şifre kırma uygulamaları daha sonra bu listelere anında varyasyonları etkinleştirmek için “yönetme kuralları” uygular.
Örneğin, bir kelime listesinde “şifre” gibi bir kelime göründüğünde, yönlendirme kuralları onu “Şifre” veya “p@ssw0rd” gibi varyasyonlara dönüştürür, ancak bunlar hiçbir zaman doğrudan kelime listesinde yer almaz. Yönetme kullanılarak kırılan gerçek dünya parolalarına örnek olarak şunlar verilebilir: “Coneyisland9/”, “momof3g8kids” “Oscar+emmy2” “k1araj0hns0n” “Sh1a-labe0uf” “Apr!l221973” “Qbesancon321” “DG091101%,” “@Yourmom69”, “ilovetofunot”, “windermere2313”, “tmdmmj17” ve “BandGeek2014.” Bu parolalar yeterince uzun ve karmaşık görünse de, yönetim kuralları bunların tahmin edilmesini son derece kolaylaştırır.
Bu kurallar ve listeler, paralel bilgi işlemde uzmanlaşmış kümelerde çalışır, yani çok sayıda parola tahminini CPU’lardan çok daha hızlı yapmak gibi tekrarlayan görevleri gerçekleştirebilirler. Uygun olmayan algoritmalar kullanıldığında, bu kırma donanımları “şifre” gibi düz metin bir kelimeyi saniyede milyarlarca kez “5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8” gibi bir hash’e dönüştürebilir.
Sözcük listelerini çok daha güçlü yapan başka bir teknik, birleştirici saldırı olarak bilinir. Adından da anlaşılacağı gibi, bu saldırı listedeki iki veya daha fazla kelimeyi birleştirir. 2013 yılında bir alıştırmada, şifre kırma uzmanı Jens Steube, listelerinde zaten “momof3g” ve “8kids” olduğu için “momof3g8kids” şifresini kurtarmayı başardı.
Parola kırma aynı zamanda, kırma için genel bir terim olarak yanlış kullanılmasına rağmen, bir listedeki sözcükleri kullanan kırmalardan belirgin şekilde farklı olan, kaba kuvvet adı verilen bir tekniğe dayanır. Aksine, kaba kuvvet kırma, belirli bir uzunluktaki bir parola için olası her kombinasyonu dener. Altı karaktere kadar olan bir parola için, “a”yı tahmin ederek başlar ve “//////” değerine ulaşana kadar olası tüm dizgilerden geçer.
Altı veya daha az karakterden oluşan parolalar için olası kombinasyonların sayısı, Home Security Heroes’un PassGAN yazımında tasavvur ettiği daha zayıf karma algoritma türleri için saniyeler içinde tamamlanacak kadar küçüktür.
