Temui PassGAN, cracker kata sandi AI yang dianggap “menakutkan” yang sebagian besar hype

Sekarang, Anda mungkin pernah mendengar tentang cracker kata sandi berbasis AI baru yang dapat mengkompromikan kata sandi Anda dalam hitungan detik dengan menggunakan kecerdasan buatan alih-alih metode yang lebih tradisional. Beberapa outlet menyebutnya “menakutkan”, “mengkhawatirkan”, “mengkhawatirkan”, dan “cerdas”. Publikasi lain telah jatuh sendiri untuk melaporkan bahwa alat tersebut dapat memecahkan kata sandi apa pun hingga tujuh karakter — bahkan jika itu memiliki simbol dan angka — dalam waktu kurang dari enam menit.

Seperti banyak hal yang melibatkan AI, klaim tersebut disajikan dengan porsi asap dan cermin yang banyak. PassGAN, sebagaimana alat ini dijuluki, tidak melakukan yang lebih baik daripada metode cracking yang lebih konvensional. Singkatnya, apa pun yang dapat dilakukan PassGAN, alat yang lebih teruji dan benar ini juga berfungsi dengan baik atau lebih baik. Dan seperti banyak pemeriksa kata sandi non-AI yang telah dikritik Ars di masa lalu—misalnya, di sini, di sini, dan di sini—para peneliti di balik PassGAN menarik saran kata sandi dari eksperimen mereka yang melemahkan keamanan nyata.

Mengajarkan mesin untuk retak

PassGAN adalah kombinasi singkat dari kata “Kata Sandi” dan “jaringan permusuhan generatif”. PassGAN adalah pendekatan yang memulai debutnya pada tahun 2017. Pendekatan ini menggunakan algoritme pembelajaran mesin yang berjalan di jaringan saraf sebagai pengganti metode konvensional yang dibuat oleh manusia. GAN ini menghasilkan tebakan kata sandi setelah secara mandiri mempelajari distribusi kata sandi dengan memproses rampasan dari pelanggaran dunia nyata sebelumnya.

Tebakan kata sandi konvensional menggunakan daftar kata-kata yang berjumlah miliaran yang diambil dari pelanggaran sebelumnya. Aplikasi pembobol kata sandi populer seperti Hashcat dan John the Ripper kemudian menerapkan “aturan yang merusak” ke daftar ini untuk mengaktifkan variasi dengan cepat.

Ketika kata seperti “password” muncul di daftar kata, misalnya, aturan mangling mengubahnya menjadi variasi seperti “Password” atau “[email protected]” meskipun tidak pernah muncul langsung di daftar kata. Contoh kata sandi dunia nyata yang diretas menggunakan mangling meliputi: “Coneyisland9/,” “momof3g8kids,” “Oscar+emmy2” “k1araj0hns0n,” “Sh1a-labe0uf,” “Apr!l221973,” “Qbesancon321,” “DG091101%,” “@Yourmom69,” “ilovetofunot,” “windermere2313,” “tmdmmj17,” dan “BandGeek2014.” Meskipun kata sandi ini mungkin tampak cukup panjang dan rumit, aturan yang rumit membuatnya sangat mudah ditebak.

Aturan dan daftar ini dijalankan pada kluster yang berspesialisasi dalam komputasi paralel, artinya mereka dapat melakukan tugas berulang seperti menebak kata sandi dalam jumlah besar jauh lebih cepat daripada yang dapat dilakukan CPU. Ketika algoritme yang kurang cocok digunakan, rig cracking ini dapat mengubah kata teks biasa seperti “kata sandi” menjadi hash seperti “5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8” miliaran kali setiap detik.

Teknik lain yang membuat daftar kata jauh lebih kuat dikenal sebagai serangan kombinator. Seperti namanya, serangan ini menggabungkan dua atau lebih kata dalam daftar. Dalam latihan tahun 2013, pakar pembobol kata sandi Jens Steube dapat memulihkan kata sandi “momof3g8kids” karena dia sudah memiliki “momof3g” dan “8kids” dalam daftarnya.

Peretas kata sandi juga bergantung pada teknik yang disebut brute pressure, yang, meskipun disalahgunakan sebagai istilah umum untuk perengkahan, sangat berbeda dari peretakan yang menggunakan kata-kata dari daftar. Sebaliknya, brute pressure cracking mencoba setiap kemungkinan kombinasi untuk kata sandi dengan panjang tertentu. Untuk kata sandi hingga enam karakter, ini dimulai dengan menebak “a” dan menelusuri setiap kemungkinan string hingga mencapai “//////.”

Jumlah kemungkinan kombinasi untuk kata sandi enam karakter atau kurang cukup kecil untuk diselesaikan dalam hitungan detik untuk jenis algoritme hashing yang lebih lemah yang tampaknya dibayangkan oleh House Safety Heroes dalam penulisan PassGAN-nya.