أصبحت تقنيات الذكاء الاصطناعيّ متوغّلة في حياتنا اليوميّة إلى حدّ غير مسبوق، ومن الصعب أن تجد شخصًا لم يتعامل مع أحد التطبيقات التي تستخدم هذه التقنيات من قبل، بدءًا من الاكتشاف التلقائيّ للغات وترجمتها، والتعرف على الوجوه في الصور، مرورًا بروبوتات الدردشة وحتّى تطبيقات الخرائط. ومع الإمكانيّات المُذهلة التي أظهرها الذكاء الاصطناعيّ تعالت الأصوات المُتخوّفة من قدراته ومن إمكانيّة إساءة استخدامه لتنفيذ أغراض تخريبيّة مثل توليد الصور ومقاطع الفيديو المُلفّقة أو اختراق كلمات المرور.
في الحقيقة، لا تُعدّ الأدوات التي تستخدم الذكاء الاصطناعيّ لتخمين كلمات المرور شيئًا جديدًا، ومع هذا فقد تحسّن أداءها مؤخّرًا بصورة ملحوظة، وأصبحت أكثر كفاءة وقُدرة على اختراق كلمات مرور أطول وأكثر تعقيدًا من ذي قبل. لا يعني ذلك أنّنا جميعًا عُرضة لخطر مثل هذه الأدوات، ولكن لكي تتبيّن مدى قُدرة أدوات الذكاء الاصطناعيّ على تخمين كلمات مرور حساباتك دعنا نوضّح كيفيّة عمل هذه الأدوات، وكم من الوقت يُمكن أن تستغرق لكي تُخمّن كلمة المرور الخاصّة بك.
كسر كلمة المرور باستخدام الذكاء الاصطناعي
أولًا: كيف يُخمّن الذكاء الاصطناعيّ كلمات المرور؟
لكي نفهم كيفيّة عمل أدوات الذكاء الاصطناعيّ المُستخدمة لتخمين كلمات المرور، فلننظر عن كثب لأحد الأمثلة على هذه الأدوات، مثل أداة PassGAN التي ظهرت للنور لأوّل مرّة في عام 2017. تستخدم أداة PassGAN نوعًا من الشبكات العصبيّة الاصطناعيّة يُعرف بشبكة الخصومة التوليديّة (GAN) وهو نموذج ذكاء اصطناعيّ يعتمد على التعلُّم العميق، ويُشبه إلى حدّ كبير نموذج المحوّل التوليديّ المُدرّب مسبقًا GPT المُستخدم في بوت الدردشة الشهير ChatGPT، غير أنّ نموذج GAN يهدف في الأساس إلى تدريب الذكاء الاصطناعيّ على توليد تخمينات لكلمات المرور استنادًا إلى عدد هائل من كلمات المرور الحقيقيّة التي يتمّ تغذية النموذج بها.
في عام 2009 بدأت مجموعة من الباحثين في معهد ستيفنز للتكنولوجيا في نيوجيرسي ومعهد نيويورك للتكنولوجيا خلال مشروعهم لتطوير أداة PassGAN تغذية نموذج الخصومة التوليديّ الخاص بها بملايين من كلمات المرور الخاصّة بمُستخدمين حقيقيّين لمنصّة الألعاب الشهيرة RockYou، وهي منصّة ألعاب واسعة الانتشار مُصمّمة خصيصًا للاستخدام في مثل هذه النوعيّة من الأبحاث والدراسات.
طُلب من النموذج بعد ذلك تخمين عدد من كلمات المرور بناءً على البيانات الحقيقيّة التي تمّت تغذية النموذج بها، ثُمّ جاء دور ما يُعرف بشبكات التمييز، والتي عملت على مُقارنة كلمات المرور التي ولّدها النموذج مع كلمات المرور الحقيقيّة لقياس مدى تطابقها وبالتالي مدى دقّة النموذج. وبعد تكرار عمليّة التدريب لعدّة مرّات تمكّن نموذج PassGAN في النهاية من تخمين 2,774,269 من أصل 5,919,936 كلمة مرور بشكل صحيح، أي ما يُعادل 47% من كلمات المرور، في ثوانٍ معدودة.
ثانيًا: ما الوقت المستغرق لتخمين كلمات المرور
أجرت شركة هوم سيكيوريتي هيروز (Home Security Heroes) الأمريكيّة المتخصّصة في أبحاث الأمن السيبرانيّ دراسة اختبرت خلالها مدى كفاءة أداة PassGAN وقُدرتها على تخمين أنماط مُختلفة من كلمات المرور، وجاءت نتائج هذه الاختبارات مُدهشة حقًّا، فقد تمكّنت أداة PassGAN على الفور من تخمين كلمات المرور التي تتألف من أرقام فقط، والتي وصل طولها إلى 11 رقمًا.
كما تمكّنت الأداة على الفور من تخمين كلمات المرور التي يتراوح طولها ما بين أربعة وخمسة أحرف بشكل صحيح حتّى في حالة كلمات المرور التي تتألّف من مزيج من الأحرف الكبيرة والصغيرة والأرقام والرموز، واستطاعت تخمين كلمات المرور التي تتألّف من 6 أحرف على الفور في حالة احتوائها على مزيج من الأرقام والأحرف الكبيرة والصغيرة، بينما احتاجت نحو 4 ثوانٍ لتخمين كلمات المرور التي تتألف من 6 أحرف بشكل صحيح في حالة احتوائها على مزيج من الأحرف الكبيرة والصغيرة والأرقام والرموز.
كذلك استغرق الذكاء الاصطناعيّ أقلّ من دقيقة لتخمين كلمات المرور التي تألفت من 7 حروف ولم تكُن تحتوي أيّة رموز، على حين استغرق مُدّة لم تتجاوز 6 دقائق لتخمين كلمات المرور التي تتألّف من سبع أحرف هي عبارة عن مزيج من الأحرف الكبيرة والصغيرة والأرقام والرموز، بينما استغرق قرابة سبع ساعات لتخمين كلمات المرور الأكثر تعقيدًا، والتي تتألف من ثمانية أحرف، واحتاج لمُدّة تصل إلى أسبوعين لكي يتمكّن من تخمين كلمات المرور التي تتألف من تسعة أحرف وتحتوي على أحرف كبيرة وصغيرة وأرقام ورموز.
لا تُعدّ PassGAN أداة تخمين كلمات المرور الوحيدة الموجودة حاليًا، فهناك أدوات وبرامج وتطبيقات أخرى عديدة تؤدّي ذات الغرض مثل برنامج John the Ripper وبرنامج hashCat غير أنّ PassGAN لا يزال هو أكثر الخيارات الثلاثة تفوّقًا في الأداء حتّى الآن، وقد أظهر PassGAN نتائج أفضل بشكل ملحوظ عندما دُمج مع برنامج hashCat حيث وصلت نسبة كلمات المرور التي تمكّنا من تخمينها بشكل صحيح إلى 24%.
لا تزال قُدرة أدوات الذكاء الاصطناعيّ على إعطاء تخمينات دقيقة لكلمات المرور متواضعة، بل ويزداد الأمر صعوبة كلّما ازدادت كلمات المرور المُستخدمة قوة وتعقيدًا، فبالنسبة لكلمات المرور التي تحتوي على مزيج من الأحرف الكبيرة والصغيرة والأرقام والرموز، يحتاج PassGAN مُدّة تبلغ 5 سنوات لتخمينها بشكل صحيح إذا كانت تتألّف من 10 أحرف، وتُقدّر بنحو 356 عامًا إذا كانت تتألّف من 11 حرفًا، وتصل إلى 2 مليون سنة إذا كانت تتألف من 13 حرفًا.
——————
كما ترى، لا يزال بإمكان كلمات المرور القوية حتّى الآن الصمود أمام أدوات الذكاء الاصطناعيّ المُخصّصة لتخمين كلمات المرور، ويُمكن تعريف كلمات المرور القويّة بأنّها كلمات المرور التي تتألّف من 11 حرفًا أو أكثر و تجمع بين الأحرف الكبيرة والأحرف الصغيرة والأرقام والرموز، وبالتالي، إذا كُنت قلقًا من احتماليّة استخدام أدوات الذكاء الاصطناعي لتخمين كلمات المرور الخاصة بك واختراق حساباتك، فإنّ كُلّ ما عليك فعله هو الحرص على تعيين كلمات مرور قويّة بما يكفي لحساباتك، ويُمكن عمل ذلك من خلال الاستعانة بأحد التطبيقات الموثوقة المُخصّصة لإدارة كلمات المرور، والتي تُساعدك على توليد كلمات مرور قويّة. كما يُنصح أيضًا باستخدام المُصادقة الثنائيّة كُلّما أتيح ذلك لإضفاء مزيد من الحماية وإضافة طبقة أمان إضافيّة على عمليّات تسجيل الدخول إلى الحسابات بحيث يصعُب تخطّيها حتّى في حالة نجاح أحد البرامج في تخمين كلمة المرور.