近报 -21版:新知-2017年10月13日

　　近日,有消息说美国史蒂文斯理工学院开发出的人工智能可猜对25%的密码。
　　AI已经学会猜密码了?如果真是这样,你还敢用“6个0”“6个8”这样简单的密码吗?网络还有安全可言吗?
破解的是口令不是密码
　　“先纠正一个概念,”中国科学院软件研究所可信计算与信息保障实验室主任张振峰说,“这则消息里说的密码,更准确地说是口令,而不是学术上密码学中研究的密码。”
　　它们最直观的区别是“字符串长度”,口令一般十几个字符,字符组成的所有可能可以被“穷举”(根据条件确定的范围,对所有可能的情况逐一验证),而一代RSA密码算法就有1024位,“穷举”在计算上是不可行的。打个不太恰当的比喻,攻破口令要踹开的是一扇门,而攻破密码是要征服一座迷宫。
　　“现在还没有研究表明AI能破解密码算法。”张振峰说,“密码”被业界认为是互联网的基础设施,一个国际标准的商用密码是非常复杂的,里面包含复杂的密码算法,凝结了研究人员多年的智慧,很难通过学习基础数据倒推其中规律,进而破解。
AI破解口令的方法是什么?
　　破解口令,目前大致有暴力攻击、启发式攻击、概率猜测等方式。
　　暴力攻击是最原始的方法,把所有的可能都试一遍,计算机的计算能力越强大,破解越快；启发式攻击,也叫字典攻击,是根据泄露的口令进行分析,把规律“编写”成“字典”,并结合矫正规则进行猜测,用于攻击的“字典”不同,攻击的方式就不同,同等硬件条件下,字典越好,越快破解；概率猜测基于人们设置密码时,有着和自然语言类似的分布特征,通过数据集计算其概率分布,有些字符组合用的频率高,猜测就准。
　　AI破解口令是深度学习的一种应用,“它属于一种启发式方法,基于数据集来猜测口令,”张振峰说。
　　那么,AI是如何进行口令猜测的呢?
　　AI神经网络由大量“感知机”相互连接构成。感知机类似于生物神经系统中的神经元。它并非生来就具备强大的功能,而且需要训练才能掌握技能。
　　原消息中提到,团队让一个人工智能程序利用数千万个泄露的密码来学习如何生成新密码。
　　数据显示,2016年,全球已知的用户数据泄露有40亿之多。2017年,这个数据可能更多。“猛增有可能是以前的存量,因为很多服务器的数据泄露,自己并不知情,”张振峰说,“或者即便知道,自己也不愿意主动公布。”
　　无论何种情况,值得担忧的是,人工智能能用来学习的基础数据越来越多。
　　神经网络读取数据样本后,感知机们会先根据现有模型参数进行计算,然后把输出的值与真实值进行比较,再将两者的差距反馈回去,以调整参数。经过反复多次“计算—比对—反馈—调整”的循环后,AI就能判断个八九不离十了。　据《科技日报》