尽管现在有越来越多的替代技术,但密码仍然是首选的身份验证方法,这主要是因为密码易于使用和记忆。此外,大多数程序在其他安全措施无法生效时使用密码作为备用计划。密码泄露是组织(和个人)面临的最大风险之一,因为它们非常常见。密码泄漏不仅可以为黑客提供访问系统的权限,还可以让研究人员寻找用户生成密码中隐藏的模式,这些模式可能用于开发和改进密码破解工具。
机器学习(ML)在从大规模密码泄露中提取和学习重要特征方面发挥了(并将继续发挥)重要作用,主要对两个主要领域的研究做出了实质性贡献:(1)密码猜测和(2)密码强度估算算法。同时,一类称为大型语言模型(LLMs)的ML模型在处理和理解自然语言(NLU)方面非常成功。基于Transformer架构的GPT模型、PaLM和LLaMA是这些模型的一些著名示例。
鉴于它们以前的成就,他们问:LLMs能够多好地识别人类生成密码复杂性中隐藏的基本特征和提示?瑞士苏黎世联邦理工学院、瑞士数据科学中心和纽约SRI国际的研究人员提供并仔细评估了PassGPT,这是一种基于LLM的密码猜测模型,为此提供了一种解决方案。PassGPT是一种离线密码猜测模型,基于GPT-2架构,可用于密码猜测和密码强度评估。
与以前的深度生成模型相比,PassGPT猜测到了20%更多未知密码,并展现了对独特泄漏的强大概括能力。此外,他们将向量量化添加到PassGPT中以进行改进。PassVQT是结果架构,可以使生成的密码更加复杂。与先前的深度生成模型创建整个密码不同,PassGPT逐渐对每个字符进行抽样,从而引入了有导向的密码创建的不同问题。在这种技术中,使用任意限制来对生成的密码进行抽样,从而确保更详细(字符级)的搜索空间有导向的探索。最后,PassGPT明确表示了密码的概率分布,与GAN不同。
他们展示了密码概率与现代密码强度估算器之间的一致性:PassGPT赋予更强的密码较低的概率。他们还寻找那些虽然被强度估算器认为是“强”的密码,但是通过生成技术很容易猜测的密码。他们展示了PassGPT的密码概率如何用于提高当前强度估算器的准确性。