AI สามารถถอดรหัสผ่านได้ภายในเวลาไม่ถึงหนึ่งวินาที
ช่องโหว่ด้านความปลอดภัยกลายเป็นเรื่องที่เกิดขึ้นได้ในชีวิตประจำวัน นั่นจึงเป็นเหตุผลที่ในวันรหัสผ่านโลก เราจะพาคุณไปทำความรู้จัก PassGAN เครื่องมือใหม่ที่อาจทำให้ข้อมูลขององค์กรคุณตกอยู่ในความเสี่ยง ด้วยความสามารถในการถอดรหัสผ่านด้านความปลอดภัยได้ภายในไม่กี่วินาที เรียนรู้ เตรียมพร้อม และป้องกันตั้งแต่วันนี้
เมื่อไม่นานมานี้ได้มีการส่งสัญญาณเตือนอีกครั้ง จากการปรากฏตัวของเครื่องมือที่ใช้ปัญญาประดิษฐ์ในการถอดรหัสผ่าน หรือรหัสการเข้าถึงภายในเวลาไม่ถึงหนึ่งวินาที ซึ่งมีชื่อว่า PassGAN (Password Generative Adversarial Network)
เครื่องมือนี้ได้รับความสนใจอย่างมาก หลังจากบริษัทด้านความปลอดภัยไซเบอร์เผยแพร่รายงานที่ทำการวิเคราะห์และทดสอบ PassGAN กับรายการรหัสผ่านกว่า 15.68 พันล้านชุด เพื่อประเมินระยะเวลาที่ใช้ในการถอดรหัสผ่านในปี 2023
ก่อนจะไปดูผลการทดสอบ มาทำความเข้าใจกันก่อนว่า PassGAN คืออะไร ทำงานอย่างไร และเหตุใดองค์กรทุกแห่งควรจับตามองในมุมของความปลอดภัยไซเบอร์ เพราะเครื่องมือนี้อาจกลายเป็นภัยคุกคามร้ายแรงสำหรับทุกคน
PassGAN คืออะไร และทำงานอย่างไร
PassGAN ย่อมาจากคำภาษาอังกฤษสองคำ ได้แก่ Password ซึ่งหมายถึง รหัสผ่าน และ Generative Adversarial Networks (GAN) ซึ่งหมายถึง เครือข่ายปฏิปักษ์กำเนิด
เครื่องมือนี้พัฒนาขึ้นบนพื้นฐานของ GAN ซึ่งเป็น Generative Model ที่สามารถสร้างข้อมูลใหม่ให้มีลักษณะคล้ายกับข้อมูลที่ใช้ฝึกสอน ตามคำอธิบายของ Google พูดให้เข้าใจง่ายขึ้น เครื่องมือนี้สามารถสร้างผลลัพธ์ใหม่ทั้งหมดจากข้อมูลที่มีอยู่เดิม
“เป้าหมายของ GAN คือการสร้างข้อมูลสังเคราะห์ใหม่ที่มีการกระจายตัวใกล้เคียงกับข้อมูลที่มีอยู่แล้ว”
— Portal Geeks for Geeks.
ด้วยโมเดลนี้ที่ผสานการเรียนรู้แบบเสริมกำลังเพื่อเร่งกระบวนการเรียนรู้ของระบบ จึงสามารถสร้างทั้งภาพ เพลง และแม้แต่ถอดรหัสผ่านได้ตั้งแต่เริ่มต้น
แล้ว PassGAN คืออะไรกันแน่ ตามรายงานของ Home Security Heroes ระบุว่า PassGAN เป็นเครื่องมือขั้นสูงที่ใช้เครือข่าย GAN เพื่อ “เรียนรู้รูปแบบการกระจายตัวของรหัสผ่านจริงจากข้อมูลที่รั่วไหลโดยอัตโนมัติ โดยไม่จำเป็นต้องวิเคราะห์ด้วยมนุษย์”
ความเสี่ยงอยู่ที่ความสามารถของเครื่องมือนี้ในการสร้างรูปแบบรหัสผ่านได้หลากหลาย และพัฒนาความแม่นยำในการคาดเดาอย่างต่อเนื่อง ซึ่งช่วยให้ผู้ไม่หวังดีทางไซเบอร์สามารถถอดรหัสผ่านและเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้ได้ภายในเวลาไม่ถึงหนึ่งนาทีในบางกรณี
PassGAN สามารถถอดรหัสผ่านที่ซับซ้อนได้ภายในระยะเวลาอันสั้น
ในการทดสอบ เครื่องมือนี้ถูกฝึกด้วยข้อมูลจาก RockYou ซึ่งเป็นชุดข้อมูลที่นิยมใช้ในการฝึกระบบอัจฉริยะด้านการวิเคราะห์รหัสผ่าน นี่คือผลการค้นพบที่สำคัญบางส่วน:
PassGAN สามารถเรียนรู้และสร้างองค์ความรู้ใหม่ได้
หนึ่งในผลลัพธ์แรกที่ Home Security Heroes รายงานคือ GAN สามารถนำรูปแบบที่เรียนรู้มาใช้ในการสร้างตัวอย่างรหัสผ่านใหม่ทั้งหมด ซึ่งมีอัตราความสำเร็จในการถอดรหัสผ่านสูง
อัตราความสำเร็จในการถอดรหัสผ่านสูง
จากผลการทดลองพบว่า 51% ของรหัสผ่านที่พบบ่อยสามารถถูกถอดได้ภายในไม่ถึงหนึ่งนาที 65% ภายในหนึ่งชั่วโมง 71% ภายในหนึ่งวัน และ 81% ภายในหนึ่งเดือน
รหัสผ่านที่พบบ่อยที่สุดสามารถถูกถอดได้ทันที
หากรหัสผ่านของคุณมีความยาวเพียงสี่ถึงห้าตัวอักษร และประกอบด้วยตัวเลข ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก และสัญลักษณ์ เครื่องมือนี้สามารถถอดได้ทันที นอกจากนี้ ยังใช้เวลาไม่ถึงหกนาทีในการถอดรหัสผ่านที่มีความยาวเจ็ดตัวอักษร
รหัสผ่านที่ท้าทายสำหรับ PassGAN
รหัสผ่านที่มีความยาวมากกว่า 18 ตัวอักษร ถือว่ามีความปลอดภัยสูงที่สุดเมื่อเทียบกับเครื่องมือถอดรหัสที่ใช้ปัญญาประดิษฐ์ ในกรณีนี้ PassGAN อาจต้องใช้เวลาอย่างน้อย 10 เดือนในการถอดรหัสผ่านที่เป็นตัวเลขล้วน และอาจต้องใช้เวลานานถึงประมาณหกควินทิลเลียนปีในการถอดรหัสผ่านที่ประกอบด้วยสัญลักษณ์ ตัวเลข ตัวพิมพ์เล็ก และตัวพิมพ์ใหญ่
ข้อสรุปของนักวิจัยในการทดสอบ PassGAN ปี 2018
งานวิจัยก่อนหน้านี้ที่มีชื่อว่า “PassGAN: A Deep Learning Approach for Password Guessing” (2018–2019) ซึ่งจัดทำโดย Briland Hitaj, Paolo Gasti, Giuseppe Ateniese และ Fernando Perez-Cruz และเผยแพร่โดย Cornell University บนเว็บไซต์ arXiv.org ถือเป็นการทดสอบ PassGAN ในระดับนี้เป็นครั้งแรก
ข้อสรุปบางส่วนจากงานวิจัยดังกล่าว:
- GAN สามารถสร้างการคาดเดารหัสผ่านได้
การทดลองแสดงให้เห็นว่า PassGAN สามารถจับคู่รหัสผ่านจากชุดข้อมูล RockYou ได้ถึง 34.2% และรหัสการเข้าถึงจากชุดข้อมูลของ LinkedIn ได้ 21.9% ดังนั้นเครื่องมือนี้สามารถคาดเดารหัสผ่านที่มีจำนวนตัวอักษรสูงได้ แม้จะใช้ชุดตัวอย่างข้อมูลที่จำกัด
- อาจเข้ามาแทนที่การเดารหัสผ่านแบบอิงกฎ (Rule-Based Password Guessing)
นี่คือหนึ่งในข้อสรุปที่ได้จากการยืนยันว่า การผสานเทคนิคหลายรูปแบบช่วยเพิ่มอัตราความแม่นยำในการจับคู่ได้อย่างมีนัยสำคัญ ส่งผลให้ซอฟต์แวร์หรือแอปพลิเคชันอย่าง PassGAN อาจเข้ามาแทนที่การระบุรหัสผ่านแบบอิงกฎ (Rule-Based Password Identification Methods) ซึ่งเป็นแนวทางที่ใช้อยู่ในปัจจุบัน
- สามารถคาดเดารหัสผ่านได้โดยไม่ต้องอาศัยการแทรกแซงจากผู้ใช้
PassGAN สามารถสร้างรหัสผ่านหรือรหัสการเข้าถึงได้ โดยไม่ต้องอาศัยการแทรกแซงจากผู้ใช้อีกทั้งยังไม่จำเป็นต้องทราบโดเมนปัจจุบันของรหัสเหล่านั้น หรือทำการวิเคราะห์ฐานข้อมูลรหัสผ่านที่รั่วไหลด้วยตนเอง
เมื่อมีเครื่องมืออย่าง PassGAN ที่ใช้อัลกอริทึม GAN ที่ขับเคลื่อนด้วย AI ในการถอดรหัสผ่าน สิ่งหนึ่งที่ชัดเจนคือ การลงทุนด้านความมั่นคงปลอดภัยของข้อมูลไม่ใช่แค่ทางเลือกอีกต่อไป แต่เป็นเรื่องจำเป็นเร่งด่วน
คำถามสำคัญคือ เราจะเตรียมพร้อมอย่างไร และจะลงมือทำอะไรต่อไป?
ติดตามข่าวสารเพิ่มเติมได้ที่
Linkedin : https://www.linkedin.com/company/manageenginethailand
Facebook: https://www.facebook.com/manageenginethailand
แหล่งอ้างอิง
Briland Hitaj, Paolo Gasti, Giuseppe Ateniese, Fernando Perez-Cruz. PassGAN: A Deep Learning Approach for Password Guessing.