ChatGPT şu anda herkesin aklındaki yapay zeka olabilir, ancak son zamanlarda gördüğümüz tek yapay zeka aracı sohbet robotları değil. Var AI görüntü üreteçleri DALL•E 2 gibi, AI video üreteçleri gibi Pist Gen 2 ve dahası. Ne yazık ki, PassGAN gibi AI şifre kırıcılar da var.
İşin garibi, PassGAN, en azından nispeten, o kadar da yeni değil. BT 2017’de çıkış yaptı (yeni sekmede açılır) ve en son GitHub (yeni sekmede açılır) güncelleme altı yıl önceydi. Kısacası, bu, ChatGPT devriminin ardından oluşturulmuş yeni bir bilgisayar korsanlığı aracı değildir. Ancak siber güvenlik araştırma şirketi Ev Güvenliği Kahramanları (yeni sekmede açılır) yakın zamanda teste tabi tuttu ve sonuçlar endişe vericiydi.
Home Security Heroes çalışmasına göre PassGAN, yedi karakterlik herhangi bir şifreyi – evet, herhangi bir – yaklaşık altı dakika veya daha kısa sürede kırabilir. Semboller, büyük harfler veya sayılar olması fark etmez, yedi veya daha az karakter içeriyorsa, PassGAN onu kolayca kırabilir.
Ancak bunun sizi nasıl etkilediğine ve ne yapmanız gerektiğine geçmeden önce, PassGAN’ın nasıl çalıştığına hızlıca bakalım.
PassGAN nasıl çalışır?
PassGAN, ChatGPT’nin Chat ve Generative Pre-trained Transformer (GPT) kombinasyonu olmasına çok benzer şekilde, Password ve Generative Adversarial Network’ün (GAN) bir kombinasyonudur. GPT gibi GAN da temelde yapay zekanın üzerinde eğitildiği derin öğrenme modelidir.
Bu örnekte, modelin amacı, modelin beslendiği gerçek dünya parolalarına dayalı olarak parola tahminleri oluşturmaktır. Çalışması için Home Security Heroes, RockYou veri kümesi Bu tür çalışmalar için yaygın olarak kullanılan bir araç olan PassGAN’ı eğitmek için 2009 RockYou veri ihlalinden kaynaklanan. Şirket, PassGAN’a veri setini besledi ve ardından örnek şifreleri doğru bir şekilde tahmin etmek amacıyla şifreler oluşturmasını sağladı. Sonunda, çok çeşitli şifreler sadece saniyeler içinde kırılabildi.
Böylece, RockYou veri setinde PassGAN’ı eğittikten sonra Home Security Heroes, artık şifreleri anında kırabilecek gerçek şifreler konusunda eğitilmiş bir yapay zeka aracına sahip oldu. Ama bu kadar basitse, neden herkes paniğe kapılmasın?
PassGAN konusunda paniğe kapılmam gerekiyor mu?
İyi haber şu ki, hayır, PassGAN konusunda gerçekten paniğe kapılmanıza gerek yok – en azından şimdilik değil. Bir köşe yazısında, Ars Teknik (yeni sekmede açılır) Güvenlik Editörü Dan Goodin, PassGAN’ın “çoğunlukla abartılı” olduğunu söyledi. Bunun nedeni, AI aracının parolaları nispeten kolaylıkla kırabilmesine rağmen, diğer AI olmayan parola kırıcılardan daha hızlı kırmamasıdır.
Goodin, özellikle Yahoo Kıdemli Baş Mühendisi Jeremi Gosney’nin, Goodin’e geleneksel şifre kırma araçları yoluyla benzer sonuçlara kolayca ulaşabileceklerini ve RockYou ihlaline benzer şifrelerin %80’ini birkaç saat içinde kırabileceklerini söylediği yorumlarından alıntı yapıyor. Gosney, Home Security Heroes çalışmasının sonuçlarının “ne etkileyici ne de heyecan verici” olduğunu söyledi.
Ve sonuçlara daha yakından baktığınızda, “Sık kullanılan şifrelerin %50’si bir dakikadan daha kısa sürede kırılabilir” şeklindeki ilk iddiadan daha az etkilenmiş olabilirsiniz. Bu parolalar büyük ölçüde yalnızca sayılardan oluşur, yedi karakter veya daha azdır ve nadiren büyük harfleri, küçük harfleri, sayıları ve sembolleri birleştirir.
Bu, PassGAN’ı zorlamak anlamına gelir, yapmanız gereken tek şey, büyük ve küçük harfler, sayılar ve sembollerin bir kombinasyonunu içeren 11 veya daha fazla karakterden oluşan bir şifre oluşturmaktır. Bunu başarırsanız, PassGAN’ın kırması 365 yıl sürecek bir parola oluşturabilirsiniz. Bunu 11 karaktere çıkarın ve bu sayı 30.000 yıl olur. Ve bu tür şifreleri en iyi şifre yöneticileri ile kolayca oluşturabilirsiniz.
Ancak, Ağustos 2022’deki LastPass saldırısı gibi, veri ihlallerine açık olmadıklarına güvenmediğiniz için bir parola yöneticisi kullanmak istemediğinizi varsayalım. Şans eseri, yapmanız gereken tek şey bir parola kullanmak (bir parola oluşturmak için birden çok sözcük birleştirilir) ve muhtemelen yine de PassGAN’ı engelleyebilirsiniz. Home Security Heros’a göre, yalnızca küçük harflerin kullanıldığı 15 karakterlik bir parolanın çözülmesi PassGAN’ın ortalama 890 yılını alacaktır. Yalnızca bir büyük harf ekleyin ve bu zaman çizelgesi, yapay zeka aşırı yüklemelerimiz bizi zaten fethettikten çok sonra, 47 milyon yıla kadar uzayabilir.
Verilmiş, hiçbir şifre mükemmel değildir. Veri ihlalleri, tüm çabalarınıza rağmen sizi savunmasız bırakabilir ve bir şifre kırıcı, tamamen şans eseri şifrenizi beklenenden daha erken alabilir. Ancak parola güvenliği için en iyi uygulamaları kullandığınız sürece, PassGAN’dan diğer kötü aktörlerden daha fazla korkacak bir şeyiniz yoktur.