由 家庭安全英雄 关于人工智能破解密码的速度. 据称,使用人工智能,51%的密码来自RockYou数据集,其中包括15.6800万个常用密码, 都在一分钟内被打破了吗, 在不到一天的时间里,又有20%的人被攻破.
在同一个网站上,您会注意到一个允许您检查密码强度的表单. 在我写这篇文章的时候, 您可以安全地使用页面的当前版本来测试密码, 因为我已经验证了它使用客户端脚本来处理我使用的字符集类型和密码长度. 作为预防措施,我还在测试时禁用了网络连接. 为了多加小心, 您可能只是希望测试一个不同的密码, 但是与你所依赖的格式和长度相同, 以防页面被修改过.
当然,大多数密码策略要求至少每90天更改一次密码, 因此, 如果你对脚本的算法进行逆向工程, 人工智能破解你的密码需要更长的时间, 它只需要18个字符来表示数字, 13个字符,仅限小写字母, 大小写字母混合使用11个字符, 10个字符的字母数字,有大小写和, 最后, 10个字符的字母数字加上大写和小写的加符号.
这些发现并不完全令人惊讶. 毫无疑问,多因素身份验证(MFA)是密码破解的解决方案. 然而,实际情况比这更复杂. 并非所有的MFA都具有相同的安全级别. 如果我们参考 消费者身份验证强度成熟度模型(CASMM) v6, 采用无密码身份验证的最高成熟度为8级,漏洞暴露最少, 而使用基于短信的2FA代码的成熟度级别为5,容易受到网络钓鱼的攻击, 中间人攻击(MiTM)和sim卡交换/克隆攻击.
从基于风险的, 理想的用户体验和业务支持方法, 而不是要求用户创建一个冗长且难以记住的密码,并要求每隔90天定期更改密码, 像无密码这样近乎无摩擦的方法是最可取的, 在完全不需要使用密码的情况下保持强大的安全性. 如果不需要键盘输入密码和otp, 由于成为网络钓鱼的牺牲品而导致凭证被盗的风险被消除了. 话虽如此,无密码注册过程必须是稳健的. 如果注册过程降级为较弱的身份验证形式,则可能会受到损害, 它成为黑客注册自己的生物识别被信任的后门.
如何确保可靠的身份验证?
以下是一种由九个步骤组成的方法,以确保健全的身份验证过程:
- 执行系统影响评估.
- 确定资产的重要性和敏感性.
- 执行充分的威胁建模,以确定暴露于凭证攻击的程度.
- 确定该资产可容忍的风险偏好和剩余风险水平.
- 确定与可容忍的剩余风险匹配的认证强度成熟度.
- 为实现的身份验证机制设计健壮的注册流程.
- 针对注册过程和身份验证机制执行充分的测试.
- 重新审视基于新威胁和新策略的新情报的注册和身份验证机制的鲁棒性.
- 清洗并重复.
事实上,人工智能的优点可以用于自适应身份验证. AI可以根据遥测信息动态加强或提升现有身份验证措施的强度,并在高风险情况下应用更多的身份验证, 应用三因素身份验证并限制对您身份的访问(i).e. 生物识别),你有什么(i.e. 您的移动设备)和您所在的位置(i.e. GPS定位).
不幸的是,没有一种身份验证技术可以独立工作. 它必须辅以关于用户注册过程的充分的用户意识培训, 论正确利用身份验证机制, 并理解身份验证机制, 即使是三重身份验证, 难道不是刀枪不入吗, 因此,注意特定于所选机制的漏洞暴露非常重要.
人工智能和零信任协同工作
如果我们退一步设计一个分层的防御方法, 健壮的强认证只是整体网络安全方法的一部分. 使整个安全体系结构有效地工作, 零信任必须融入到整个等式中. 为此目的, 除了简单的身份验证之外,还有另外两个方面——认证和假定泄露. 人工智能在这两个领域都有帮助.
在这种新的网络安全常态下,违规是不可避免的. 这一被广泛接受的事实也意味着,问题不在于是否被入侵,而在于能否迅速发现, 遏制和恢复,从而不会感受到重大业务影响,并在违规后保持网络弹性.
假设的入侵需要持续维护和吸收网络威胁情报,以便新的ioc(入侵指标)和ttp(战术), 技术和程序)可用于更新保护和侦查措施,以限制任何成功攻击的爆炸半径,并及早发现,以便及时遏制. 因此,除了自适应身份验证之外,AI还可以用于零信任的第三个方面.
总之,人工智能是一把双刃剑. 而黑客则将人工智能用于邪恶的目的, 它也可以被蓝队用来保护资产. 随着人工智能的推动,这种凭证黑客威胁需要重新引起人们的关注. 然而,防守者可以以牙还牙. 因此, 将凭证黑客技术纳入威胁建模过程,并在人工智能的支持下提升相应的控制措施,以有效地对抗这些技术-不仅在身份验证过程中,而且在网络威胁情报摄取的自动化中, 事件控制和响应是零信任假定违约的一部分, 还有更多.
编者按: 通过ISACA了解更多关于人工智能的信息 人工智能基础证书.
