Trí tuệ nhân tạo có thể dò mật khẩu người dùng

Trí tuệ nhân tạo (AI) hiện đã mạnh hơn trước rất nhiều: chúng biết tự lập trình và khi cùng kết hợp với một số công cụ có sẵn, có thể dò chính xác tới 1/4 số mật khẩu của 43 triệu tài khoản trên Linkedln – theo như kết quả của một cuộc thử nghiệm.

Trung bình, một hacker chuyên nghiệp có thể sẽ mất 1 giờ đồng hồ để dò mật khẩu của một tài khoản trên mạng. Mới đây, dữ liệu 143 triệu khách hàng của Equifax – một công ty chuyên về nghiên cứu thị trường, đã bị hacker làm rò rỉ, do đó, bước tiến mới của AI có thể sẽ làm nhiều người lo lắng. Tuy nhiên Thomas Ristenpart – nhà khoa học máy tính tại Cornell Tech, trấn an: công nghệ này có thể giúp chống lại kẻ xấu và người dùng cá nhân lẫn doanh nghiệp có thể rà soát lại mật khẩu vì lý do an toàn. Ông cho biết: “Công nghệ này có tiềm năng ứng dụng để tạo ra những mật khẩu mồi nhử nhằm phát hiện xâm nhập”

John the Ripper và hashCat – 2 phần mềm dò tìm mật khẩu mạnh nhất hiện nay thường hoạt động dựa trên những phương pháp như: tạo một thuật toán để chúng lựa chọn một cách ngẫu nhiên và sắp xếp, kết hợp các ký tự; sử dụng phép loại suy để phán đoán từ những mật khẩu bị lộ ra từ trước; hay tính xác suất để tìm từng ký tự từ những dữ kiện đã cho. Trong một vài trường hợp, những công cụ như vậy có thể dò chính xác 90% số mật khẩu. Tuy nhiên, việc xây dựng các đoạn code cho những chương trình như vậy thường mất rất nhiều công sức và thời gian.

Nghiên cứu mới đây hướng tới việc đẩy nhanh tiến độ dò mật khẩu qua việc áp dụng kỹ thuật Học sâu (deep learning) – lấy cảm hứng từ những nghiên cứu ứng dụng của não bộ. Các nhà khoa học tại Viện Công nghệ Stevens ở Hoboken (New Jersey, Mỹ) đã thử nghiệm với một mạng GAN (generative adversarial network mạng đối nghịch phát sinh) bao gồm hai hệ thần kinh nhân tạo (artificial neural network). Trong lúc một máy cố gắng mô phỏng hiện thực bằng hình ảnh, máy còn lại sẽ phân biệt ảnh là thật hay giả. Tiến trình này được lặp đi lặp lại, hai máy cùng giúp nhau học và hoàn thiện kỹ năng cho tới khi chúng thực sự trở thành “chuyên gia”.

Nhà khoa học máy tính Giuseppe Ateniese – đồng tác giả của nghiên cứu đã so sánh hoạt động của hai cỗ máy giống như người vẽ phác họa chân dung tội phạm và nhân chứng. Trong lúc một người cố gắng vẽ chính xác, chân thực nhất thì người kia tìm cách xác minh dựa trên trí nhớ. GANs được dùng để tạo ra những hình ảnh có độ chân thực cao nhưng vẫn chưa được áp dụng nhiều với văn bản.

Nhóm nghiên cứu tại Stevens cũng đã tiến hành thử nghiệm với một mạng GANs khác – PassGAN và so sánh hiệu quả của nó với hai phiên bản hashCat và một phiên bản John the Ripper. Cho mỗi công cụ xử lý dữ liệu của 10 triệu mật khẩu (được tiết lộ) trên trang web chơi game trực tuyến RockYou, các nhà khoa học ra lệnh cho chúng tạo ra hàng trăm triệu mật khẩu mới. Sau đó, họ tổng hợp kết quả xem có bao nhiêu mật khẩu trùng khớp với những mật khẩu bị rò rỉ trên LinkedIn. Phương pháp này tạm thời được xem là cách đánh giá hiệu quả nhất đối với những công cụ dò tìm mật khẩu.

Để các công cụ hoạt động riêng rẽ, 12% số mật khẩu do PassGAN tạo ra trùng với dữ liệu của LinkedIn, trong khi tỷ lệ cho ba đối thủ còn lại dao động trong khoảng từ 6% đến 23%. Kết hợp với hashCat, PassGAN cho hiệu quả cao hơn khi phá mã được chính xác 27% số mật khẩu – kết quả được đăng trong một báo cáo nháp trên arXiv. Thậm chí, ngay cả những mật khẩu không trùng khớp như: saddracula, santazone, coolarse18, … cũng tỏ ra rất chân thực.

Ateniese so sánh PassGAN với AlphaGo – chương trình Deep Mind của Google, kẻ đã đánh bại một nhà vô địch thế giới cờ Vây bằng những thuật toán học sâu. “AlphaGo có những chiến thuật mà ngay cả nhữngbậc thầy cũng chưa biết”, Ateniese nhận xét và ông tin rằng: Nếu cung cấp đủ dữ liệu cho PassGAN, nó có thể tạo ra những quy luật mà con người không thể nghĩ ra”

Hải Đăng lược dịch

Nguồn:  http://www.sciencemag.org/news/2017/09/artificial-intelligence-just-made-guessing-your-password-whole-lot-easier

 

Tác giả