Dans le cadre d'une collaboration remarquable, des chercheurs de l'ETH Zürich, du Swiss Data Science Center et du SRI International à New York ont exploité la puissance de l'architecture GPT-2 de l'OpenAI pour développer PassGPT - un modèle innovant pour deviner les mots de passe qui a le potentiel de révolutionner la sécurité en ligne.
Construit à partir d'un modèle de langage étendu et entraîné sur une vaste collection de fuites de mots de passe provenant de divers piratages et exploits, PassGPT vise à décoder les caractéristiques mystérieuses intégrées dans les mots de passe générés par l'homme.
Ce faisant, il offre non seulement aux utilisateurs des mots de passe plus forts et plus complexes, mais aussi la possibilité de détecter des mots de passe probables sur la base de données spécifiques. Cet article se penche sur la méthodologie unique de PassGPT et explore ses implications pour la sécurité des mots de passe.
Comment cela fonctionne-t-il ?
Contrairement aux modèles précédents d'évaluation de mots de passe qui traitaient les mots de passe comme des entités complètes, PassGPT introduit une stratégie révolutionnaire appelée échantillonnage progressif.
Cette approche consiste à construire les mots de passe caractère par caractère, ce qui permet d'obtenir des mots de passe méticuleusement complexes. Le modèle a été entraîné sur des millions de mots de passe ayant fait l'objet de fuites antérieures, ce qui a constitué une ressource précieuse pour l'apprentissage et la reconnaissance des modèles.
En adoptant cette technique d'échantillonnage progressif, PassGPT a atteint un niveau sans précédent de capacité prédictive, se démarquant ainsi de ses prédécesseurs.
Le point de vue de Marc Andreessen sur le développement de l'IA
Avant de nous pencher plus avant sur PassGPT, prenons le temps d'examiner le contexte plus large du développement de l'IA.
Marc Andreessen, éminent investisseur en capital-risque et cofondateur d'Andreessen Horowitz, a récemment fait part de son point de vue sur le sujet. Dans une série de tweets, M. Andreessen a souligné l'importance de permettre aux grandes entreprises d'IA de développer des technologies d'IA rapidement et de manière agressive.
Toutefois, il a également mis en garde contre la formation d'un "cartel protégé par le gouvernement" qui pourrait étouffer la concurrence sur le marché et entraver l'innovation. C'est un équilibre délicat entre progrès et réglementation qui doit être maintenu à mesure que l'IA continue d'évoluer.
Les capacités impressionnantes de PassGPT
PassGPT a surpassé les performances des modèles GAN les plus récents pour deviner des mots de passe. Selon son créateur, Javi Rando, PassGPT peut deviner 20 % de mots de passe inédits en plus par rapport aux modèles existants.
Pour mieux comprendre ses capacités, explorons le concept des réseaux adversoriels génératifs (GAN). Imaginez un match entre deux réseaux - le générateur et le discriminateur*.
Le générateur vise à créer un contenu si réaliste qu'il peut tromper le discriminateur, qui, lui, s'efforce de détecter les contenus artificiels. Au fur et à mesure qu'ils s'affrontent, les deux réseaux apprennent de leurs erreurs et s'améliorent, ce qui permet d'obtenir des résultats de plus en plus authentiques.
PassGPT utilise ce concept pour générer des mots de passe d'une qualité exceptionnelle, ce qui rend difficile pour le discriminateur de faire la distinction entre les mots de passe réels et les mots de passe générés - j'espère que vous avez compris ce que je veux dire.
* discriminateur = "Décriminateur" n'est pas un terme couramment utilisé en français. Dans le contexte des Réseaux Adversaires Génératifs (GANs), le terme anglais "Discriminator" se réfère à une partie spécifique du réseau qui est chargée de distinguer entre les données générées par le Générateur et les données réelles provenant d'un ensemble de données d'entraînement. En français, on pourrait utiliser le terme "Classifieur" pour désigner cette partie du réseau qui effectue cette tâche de discrimination ou de classification. - source chatgpt
Analyse de la force et des vulnérabilités des mots de passe
L'un des aspects remarquables de PassGPT est son modèle génératif explicite, qui donne accès à la distribution modélisée et permet de calculer les probabilités des mots de passe.
Grâce à cette capacité, les chercheurs ont pu analyser efficacement les vulnérabilités liées à la force des mots de passe.
PassGPT s'est avéré capable de découvrir des modèles qui semblent robustes par rapport aux estimations traditionnelles de la force des mots de passe, mais qui sont relativement faciles à deviner à l'aide de techniques génératives.
En outre, PassGPT est capable de reconnaître des modèles dans plusieurs langues, ce qui lui permet de surmonter le défi que représentent les mots de passe non anglais pour les méthodes heuristiques basées sur le dictionnaire.
Cette capacité multilingue constitue une nouvelle référence dans la recherche sur la sécurité des mots de passe. Il convient de noter que PassGPT peut même deviner des mots de passe qui ne font pas partie de son ensemble de données d'entraînement, ce qui démontre sa capacité d'adaptation et son efficacité.
La puissance des grands modèles de langage - LLM
Les grands modèles de langage tels que PassGPT peuvent être adaptés à des applications spécifiques en les entraînant sur différents ensembles de données.
Cette flexibilité a conduit à des développements intéressants, tels que l'entraînement par Google d'un LLM d'IA sur des données médicales et d'autres modèles capturant les nuances du langage politiquement incorrect de plateformes telles que 4Chan ou le style d'expression de YouTubers populaires.
Le succès de PassGPT met en évidence le potentiel des LLM pour améliorer divers domaines et nous incite à explorer les innombrables possibilités qu'ils offrent.
Sécurité des mots de passe
Les fuites de mots de passe, tout en constituant une menace pour la sécurité des systèmes, représentent également une opportunité pour les chercheurs de découvrir des modèles cachés dans les mots de passe générés par les utilisateurs.
Cette exploration des fuites de mots de passe contribue au développement d'outils de piratage de mots de passe plus puissants et à l'affinement des algorithmes d'estimation de la force des mots de passe.
L'apprentissage automatique, en particulier dans le domaine du traitement du langage naturel, a joué un rôle essentiel dans l'extraction d'informations précieuses à partir de nombreuses fuites de mots de passe. Ces informations, à leur tour, alimentent les progrès des techniques permettant de deviner les mots de passe, ce qui permet de mettre en place des mesures de sécurité plus robustes.
L'IA dans tous les aspects de la vie
PassGPT témoigne de la présence croissante de l'IA dans nos vies. Grâce à cet outil alimenté par l'IA, l'époque où l'on utilisait des mots de passe simples et faciles à deviner - comme le nom de votre chat combiné à votre date de naissance - est en train de s'estomper.
Alors que la technologie continue de progresser, il devient de plus en plus crucial de trouver un équilibre entre l'exploitation du potentiel de l'IA et la garantie d'un développement et d'une réglementation responsables.
L'évolution vers un environnement en ligne plus sûr et plus sécurisé est un effort permanent, qui nécessite une innovation et une collaboration constantes entre les chercheurs, les développeurs et les utilisateurs.
Conclusion
Alors que l'IA continue de progresser, il est impératif de tirer parti de son potentiel tout en restant vigilant face aux défis éthiques et réglementaires qui se posent. Avec des outils comme celui-ci, l'avenir de la sécurité en ligne semble prometteur, ouvrant la voie à une ère où les mots de passe deviennent plus forts et où nos vies numériques restent protégées. N'oubliez pas que nous avons toujours la sécurité à deux facteurs.
source :
https://medium.com/@benjaminampouala/no-one-is-safe-anymore-this-ai-is-trained-to-guess-your-password-6b4bfbae2f29