※ 引述《sxy67230 (charlesgg)》之銘言：
: ※ 引述《dosiris (希望大家開心)》之銘言：
: : 1.媒體來源:
: : 自由
: : 2.記者署名:
: : 劉惠琴
: : 3.完整新聞標題:
: : AI 新技術「秒破解」750萬組常用密碼組合！5招學會設立安全密碼強度
: : 4.完整新聞內文:
: 阿肥外商碼農阿肥啦！
: 本身領域研究員，GAN本身在學理上就是生成範式分佈，以PassGAN為例我們期望生成一組
: 生成密碼的空間分佈來採樣這組密碼，然後判別模型在透過真實洩漏的密碼來判斷是否為
: 真實用戶設置的密碼，透過這樣就可以判斷用戶慣性規則，算是字典攻擊的進化版，因為
: 人類設置的密碼是有規則跟習慣性而非亂數的，也是為了方便人類記憶。這就非常適合模
: 型來做這件事，因為ML/DL真正的強項就是範式學習。
: 當然，很多人都會說我試三次就擋掉IP就好，但是這只是針對普通人，我早說未來這個時
: 代的資安問題早就是AI搭配駭客來進行的，只要駭客透過程式跳板切換IP，然後我在用程
: 式隨機規律去try登入，看你服務端要怎麼承受，了不起你從帳號檔我就把全部帳號組合
: 都try到不能用直接癱瘓系統，而且搭配passGAN縮小範圍讓程式去測比隨機暴力法有效率
: ，搞不好有效試到幾十組竊取資料兜售就夠了。
: 這才是真正新時代真正的資安危機，不是啥金管會說chatGPT偷資料這種就是完全沒有sen
: se的人在講的，也只有台灣官員才會這麼沒sense。
: 然後2FA、OTP或是亂數生成密碼驗證機制依舊是最好的做法，畢竟駭客不可能物理偷竊你
: 的手機或是殺掉你製造你的複製人驗證，這種成本過高也沒有效益，所以2FA、OTP還是相
: 對安全的。
最新測試：11 字元純數字密碼 AI 瞬間破解，擁抱無密碼功能才是王道
作者 Evan | 發布日期 2023 年 04 月 14 日 8:10 | 分類 AI 人工智慧 , 網路 , 資訊
安全
https://reurl.cc/0EGQDK
每隔一陣子總會爆出密碼被駭災情，每次災情後就伴隨許多要求密碼頻繁更新並使用強固
性密碼的呼籲，但最終總會在人性面前敗陣下來。多數使用者雖然不願意被駭，但要頻繁
更新永遠記不住的強固密碼，也是不可能的任務。
某網路安全公司最近測試發現，AI 能不到 1 分就破解大部分常用密碼。隨著 AI 技術不
斷突破，未來即使再強固的密碼都有可能瞬間破解，到時傳統密碼登錄模式可能因毫無作
用遭廢用。其實蘋果、Google 及微軟早在去年中就合作開發無密碼機制，可說兩家都洞
悉人性並預見 AI 會有驚人進展吧。
AI 破解千萬餘密碼，51% 不到 1 分鐘就破解
網路安全公司 Home Security Heroes 最近展開 AI 破解密碼時間的測試。特別使用支援
生成式對抗網路（Generative Adversarial Network，GAN）架構的 PassGAN 密碼生成器
產生待破解密碼。用 PassGAN 從社群小工具 RockYou 資料庫取得 1,568 萬個真實常用
密碼，特別將長度超過 18 個字元、短於 4 個字元的密碼排除。
將千萬餘個密碼餵給 AI 系統後，不到 1 分鐘就破解 51% 密碼，接著 1 小時內破解
65% 密碼，剩下未破解密碼強度更高，破解難度及所耗時間逐漸攀升。測試又花了近一
天才破解至 71%，一個月後升至 81%。
可見目前 AI 破解能力，只要強度夠、複雜度高的密碼大致算安全。從 Home Security
Heroes 官網報告可看出，要能與 AI 抗衡，除了長度夠長，混合大小寫字母及符號就愈
接近牢不可破。數字和小寫字母組成 10 字元密碼，1 小時內破解機率為 65%，若加上大
寫字母或特殊符號，破解時間可增至 5 年。
18 字元密碼可保安全無虞，安全公司建議至少 15 字元才安全
基本上密碼長度只要大於 18 字元，可完全無懼現行 AI。即使純數字 18 字元密碼，AI
破解也要耗費 10 個月之久，如果再混合大小寫子母及符號，破解時間更達難以想像的
100 京（Quintillion，10 的 18 次方）年。
現行 AI 連 11 字元純數字密碼都可瞬間破解，即使加長到 14 字元也只需 36 分，所以
Home Security Heroes 建議密碼長度起碼要 15 字元（AI 破解約需 5 小時）才夠安全
，且只要再複雜一點，15 字元皆改成小寫字母，破解時間可拉長到 890 年。Home
Security Heroes 建議使用者重要密碼最好每隔幾個月就換一次。
https://reurl.cc/Dm7eZR
▲ AI 破解不同長度及複雜度密碼時間表。（Source：Home Security Heroes）
多年來，安全專家一再呼籲用戶定期更換密碼，並使用強固式密碼，但成效不彰。對多數
使用者而言，即使 8 字元密碼都不見得記得住，更別說 15 字元、混合密碼，甚至定期
更換等不切實際的建議。事實證明，定期更換強固式密碼的建議窒礙難行。或許蘋果、
Google 及微軟早看透這點，才會聯手推動無密碼技術。隨著 AI 技術突飛猛進，AI 破解
更複雜密碼絕對比人類定期更新高強度密碼更快實現。有鑑於此，擁抱無密碼時代，或許
才是最貼合人性的可行之道。
AI Can Now Crack Most Passwords in Less Than a Minute
↓
https://reurl.cc/XLgp5j (英文原文版本)
（首圖來源：科技新報）
https://reurl.cc/o06pQg