Digitalmania – Neural network yang dilatih untuk mempelajari pendekatan yang dilakukan peretas untuk menebak sandi dengan brute force dapat digunakan sebagai cara untuk menerapkan keamanan sandi minim tanpa menggunakan daftar blokir yang besar dan kombinasi huruf, angka, dan simbol khusus yang rumit, menurut tim peneliti di Universitas Carnegie Mellon,
Menggunakan model neural network yang dibangun ke dalam pengukur kekuatan kata sandi dan merekrut pengguna melalui Amazon’s Mechanical Turk, para peneliti di Institut Keamanan dan Privasi CyLab CMU mengevaluasi serangkaian rekomendasi kata sandi yang berbeda, dari kata sandi delapan karakter menggunakan satu kelas (huruf, sebagai contoh) untuk kata sandi 16 karakter menggunakan empat kelas yaitu huruf kecil, huruf besar, angka, dan simbol, serta daftar blokir yang berbeda.
Para peneliti menemukan bahwa hanya membutuhkan 12 karakter dari satu kelas dan memenuhi rekomendasi neural network menghasilkan kata sandi yang sulit dipecahkan yang seharusnya cukup untuk sebagian besar penggunaan.
Menariknya, pengguna tidak perlu menggabungkan, angka, dan simbol yang berbeda, kata Lujo Bauer, profesor teknik listrik dan komputer dan peneliti di Institut CMU untuk Penelitian Perangkat Lunak.
Alat peretas saat ini telah berkembang dan cukup pandai untuk menebak kata sandi yang terdiri dari empat kelas karakter.
“Sebagian, karena sebelumnya ada lebih sedikit sandi tiga dan empat kelas yang telah bocor dan tersedia bagi peretas, sehingga lebih sulit bagi peretas untuk mengembangkan cara menebak sandi tersebut secara efektif,” kata Bauer. “Sekarang karena ada banyak sandi yang bocor, jauh lebih mudah melatih algoritma untuk menebaknya.”
Penelitian ini tentang menemukan keseimbangan terbaik antara kegunaan dan keamanan untuk kata sandi. Peneliti neural network memodelkan peretas untuk menentukan apa yang dapat dengan mudah ditebak dengan metode saat ini. Meskipun “mudah ditebak” itu relatif, model neural network akhir menentukan apakah peretas dapat menemukan sandi jika orang tersebut memiliki daftar 10 miliar kemungkinan.
Kesimpulannya adalah bahwa situs web dan layanan lain dapat menyederhanakan persyaratan mereka bagi pengguna, kata para peneliti.
“Hasil eksperimental kami memberikan bukti konkret pertama bahwa persyaratan kelas karakter harus dihindari tidak hanya karena pengguna cenderung menganggapnya mengganggu, tetapi juga karena tidak memberikan manfaat yang substansial terhadap serangan peretas yang menggunakan peretasan kata sandi yang canggih alat,” kata para peneliti. “Peretas ahli dapat menebak sandi (kelas tunggal, dua kelas, atau empat kelas) dengan tingkat keberhasilan yang sama.”
Tim tersebut termasuk Joshua Tan, Lujo Bauer, Nicolas Christin, dan Lorrie Faith Cranor, semuanya dari Universitas Carnegie Mellon.
Pekerjaan ini didasarkan pada penelitian Carnegie Mellon sebelumnya yang membuat pengukur kekuatan kata sandi menggunakan neural network yang dilatih dengan ukuran kamus kata sandi tertentu.
Kombinasi panjang kata sandi minimum dan persyaratan bahwa kata sandi memenuhi standar kekuatan neural network dapat membantu perusahaan memastikan bahwa karyawan mereka membuat kata sandi yang sulit dipecahkan, kata Bauer dari CMU.
“Pilihan ambang batas kekuatan minimum tergantung pada persyaratan keamanan,” kata para peneliti di koran. “Ambang batas yang terlalu rendah mungkin tidak memberikan pertahanan yang cukup, terutama terhadap serangan online dan ambang batas yang terlalu tinggi dapat menghambat kegunaan secara tidak dapat diterima.”
Selain itu, perusahaan harus mewajibkan pekerja menggunakan otentikasi dua faktor sebagai cara untuk meningkatkan keamanan dan menggagalkan penyerang offline, kata Bauer. Digitalmania. AN