Tehisintellekt nuputas välja miljonite LinkedIn'i kasutajate salasõna

Keeltes leiduvate erinevate sõnade ja nende kombinatsioonide arvuga arvesse võttes ilmutavad inimesed oma salasõna valides tavaliselt harukordset fantaasiavaesust. Tehisintellekti abi kasutanud teadlasrühm teatab, et suutis ära arvata enam kui kümme miljonit ühismeediaplatvormi LinkedIn kasutaja valitud parooli. Sama strateegiat saaksid rakendada kurjemate kavatustega arvutientusiastid.
Teiste isikuandmetest ja paroolidest huvituvatel häkkeritel on nende hankimiseks mitu võimalust. Alati võib loota andmelekkele mõnest suuremast andmebaasist. Sellistest sadu miljoneid inimesi puudutavatest vahejuhtumitest puudutavatest vahejuhtumitest kuuleb juba iga aasta, mõnikord isegi mitu korda. Käsikäes arvutusvõimsuse kasvuga on kasvanud ka võimalused salasõnade toore jõu abil ära arvamiseks. Tavalise kaheksatähelise parooli lahti muukimine võtab vaid mõned tunnid.
Seejuures on võimalik inimlike puuduste abil selleks kuluvat aega oluliselt lühendada. Häkkeritel on võimalus eelnevate andmelekete põhjal ennustada, milliseid paroole inimesed tõenäolisemalt eelistavad. Salasõna ära arvata üritades proovitakse eeskätt läbi just need. See kiirendab ühtlasi pikemate paroolide välja nuputamist.
Maailma ühed paremad salasõnade äraarvamise programmid John the Ripper ja hashCat rakendavad korraga mõlemat strateegiat – nii toorest jõudu kui ka olemasolevaid andmebaase. USA-s New Jerseys asuva Stevensi tehnikainstituudi teadlased eesotsas Briland Hitajiga uurisid, kas tehnikat on võimalik tehisintellekti ja tehisnärvivõrkude abil veelgi lihvida. hashCat-i sarnaste programmide tõhusus sõltub suuresti sellest, kui palju on nende käsutuses teada-tuntud salasõnu.
Kasu oleks täiendavatest paroolidest, mis pole veel küll laiema avalikkuse ette lekkinud, kuid mida võiksid inimesed siiski kasutada. Nii söötis Hitaji töörühm kaheosalisele PassGAN nime kandvale programmile esmalt ette kümneid miljoneid veebilehelt RockYou lekkinud salasõnu. Nende põhjal hakkas programmi üks osadest välja mõtlema täiesti uusi paroole. Selle teine osa üritas samal ajal eristada väljamõeldud salasõnu päris paroolidest.
Mida aeg edasi, seda ehtsamana libaparoolid paistsid. Seejuures oli tegu juhendamata masinõppega. Programmi kujutlusvõimet ei piiranud ranged inimeste poolt etteantud reeglid. PassGAN-i loomingut aastate vältel lekkinud LinkedIn-i kasutajate salasõnadega võrreldes selgus, et see suutis välja mõelda 12 protsenti päris inimeste poolt kasutatud paroolidest.
Lugemissoovitus:
Tehisintellekti valitsetava maailmani on jäänud sajand
Küberekspert lunavararünnakust: tarvis läheks palju suuremat vapustust Professor õngitsemas: 5 nippi oma andmete kaitsmiseks
John the Ripperi kaks versiooni ja hashCat oleks suutnud leida 6–23 salasõnadest. PassGAN-i ja hashCati kombineerimisel kasvas programmi tõhusus 18–24 protsenti. Teisisõnu on masinõppel ka varjukülgi, millega peavad arvestama ka oma küberhügieenist hoolivad arvutikasutajad.
Samas loodavad töö autorid, et PassGAN-i sarnased programmid muudavad neid õigesti kasutades raskemaks ka küberkurjategijate elu. Näiteks saaks nende abil genereerida suurel hulgal inimeste kasutatavatele paroolidele sarnanevaid salasõnu. Libaparoolide kasutusse võtmine saadaks veebilehe omanikele hoiatussignaali, et toimunud on andmeleke. Samuti aitaksid tehisintelleki loodud paroolid tavakasutajatel paremini hinnata nende enda kasutatavate salasõnade tugevust.
Töö avaldati võrgukeskkonnas ArXiv.
Ilmselt on paljud puutunud oma elu vältel erinevatesse veebikeskkondadesse kontosid luues parooli valimisel karmide nõuetega. Näiteks peaks see sisaldama suurtähti, numbreid ja sümboleid. Interneti alguspäevil kanda kinnitanud soovitused põhinevad aga suuresti 2003. aastal USA riikliku standardite ja tehnikainstituudi (NIST) bürokraadi Bill Burri soovitustel. Mees omakorda lähtus juba 1980. aastatel aastatel avaldatud tööst.
Järgnenud kümnenditel selgus, et inimeste jaoks raskelt meeldejäävate ja seega „suurepäraste“ paroolide äraarvamine on arvutite jaoks äärmiselt lihtne. Vähemalt juhul, kui need on piisavalt lühikesed. Selle aasta augustis ajalehes Wall Street Journal ilmunud intervjuus teatas Burr, et kahetseb toonaste soovituste avaldamist.
Selle asemel tuleks eelistada võimalusel kaheastmelist sisselogimist. Kohtades, kus see võimalik pole, tuleks aga NIST-i sõnul eelistada pikemaid paroole. Need võivad koosneda mitmest üks teise järel kirjutatud juhuslikest, kuid tähendust kandvatest sõnadest. Elutervelt paranoilised inimesed võiksid kasutada sõnade leidmiseks täringu abi ja numbrikombinatsioonidega vastavusse viidud nimekirja juhuslikes sõnadega nagu Diceware. Nimekirja autor soovitab arvutite praegust võimsust kasutades moodustada parooli vähemalt kuuest sõnast, mis vastab umbes 30 tähemärgile.
Toimetaja: Jaan-Juhan Oidermaa