Multilingual AI-Driven Password Strength Estimation with Similarity-Based Detection

Dit onderzoek toont aan dat het integreren van een niet-Engels (Indiaas) dataset en door ChatGPT gegenereerde data, gecombineerd met een Jaro-similariteitsmechanisme, leidt tot een effectievere en taalbewuste wachtwoordsterktemeter die de noodzaak van traditionele modellen zoals PassGAN overbodig maakt.

De kern

Het Krachtmetertje voor Wachtwoorden: Een Verhaal over AI, Taal en Simpelheid

Stel je voor dat je wachtwoord een slot is op je digitale huis. De meeste mensen gebruiken slechte sloten: ze kiezen voor "123456", hun geboortedatum of hun huisdier. Hackers zijn als dieven die een enorme lijst met sleutels hebben gevonden (de "gelekte wachtwoorden") en proberen die één voor één in je slot te steken om te zien of hij past.

Deze paper is een onderzoek van twee studenten van de Queen Mary University of London. Ze wilden een beter slotcontrole-apparaat bouwen (een "Password Strength Meter") dat gebruikers vertelt of hun wachtwoord echt veilig is. Maar ze deden het op een heel slimme, nieuwe manier.

Hier is hoe het werkt, vertaald naar alledaags taal:

1. De Oude Manier: De Zware Machine (PassGAN)

Vroeger gebruikten experts zware, ingewikkelde computersystemen (zoals PassGAN) om wachtwoorden te raden.

• De Analogie: Denk aan PassGAN als een enorme, dure fabrieksmachine die miljoenen keer per seconde probeert een sleutel te smeden. Het werkt goed, maar het is duur, traag en vereist dat je toegang hebt tot enorme lijsten met gestolen wachtwoorden (wat ethisch lastig is).

2. De Nieuwe Manier: De Slimme Chatbot (ChatGPT)

De onderzoekers vroegen zich af: "Hebben we die zware fabrieksmachine wel nodig? Kunnen we niet gewoon een slimme chatbot (ChatGPT) vragen om wachtwoorden te bedenken?"

• De Analogie: In plaats van een fabriek, gebruik je een creatieve schrijver. Je zegt tegen de schrijver: "Bedenk 6.000 wachtwoorden die lijken op wat echte mensen kiezen, maar dan met Indiase namen, gerechten en Engelse woorden."
• Het Resultaat: De schrijver (ChatGPT) deed dit in een flits. De wachtwoorden die hij bedacht, waren net zo realistisch als die van de dure fabriek, maar het kostte veel minder tijd en moeite.

3. De Taal-mix: Een Biculturele Sleutel

Een groot deel van het onderzoek ging over talen. De meeste wachtwoord-systemen zijn alleen getraind op Engels. Maar mensen in India (en overal ter wereld) gebruiken vaak een mix van hun moedertaal en Engels in hun wachtwoorden.

• De Analogie: Stel je voor dat je een slot hebt dat alleen op Engelse sleutels reageert. Als iemand een sleutel maakt met een Hindi-woord erin, past hij niet. De onderzoekers lieten de AI echter "bicultureel" denken. Ze leerden de AI woorden als "Dosa" (een Indiase pannenkoek) en "Raja" (koning) te mengen met Engelse woorden.
• Het Wonder: Toen ze dit deden, bleek dat de AI wachtwoorden kon raden die 99,97% perfect overeenkwamen met echte, gelekte Indiase wachtwoorden. Het was alsof de AI plotseling de "geheime taal" van de dieven had geleerd.

4. De "Niet-Perfecte" Match: De Jaro-Regel

In het verleden keken computers alleen of een wachtwoord exact hetzelfde was als een gelekt wachtwoord.

• Het Probleem: Hackers zijn slim. Als jouw wachtwoord "Raja123" is, proberen ze ook "Raja124" of "Rajaa123". Als de computer alleen op exacte matches let, ziet hij deze pogingen niet als gevaarlijk.
• De Oplossing: De onderzoekers gebruikten een meetlat genaamd de Jaro-similarity.
• De Analogie: Stel je voor dat je twee woorden vergelijkt: "Thorkel" en "Thorgier". Ze zijn niet hetzelfde, maar ze lijken erg op elkaar. De Jaro-maatregel zegt: "Hey, deze twee lijken voor 78% op elkaar, dat is gevaarlijk!"
• De Regels: Ze stelden een drempelwaarde in van 0,5. Als twee wachtwoorden voor meer dan 50% op elkaar lijken, telt het als een "match". Dit geeft een veel realistischer beeld van hoe hackers werken.

Wat is de Grootste Leerkracht?

De paper leert ons drie belangrijke dingen:

1. Je hoeft geen supercomputer te zijn: Je kunt ChatGPT gebruiken in plaats van complexe, dure AI-modellen om wachtwoorden te testen. Het is sneller, makkelijker en ethisch veiliger (geen gestolen databases nodig).
2. Meertaligheid is kracht: Door verschillende talen te mengen (Engels + Hindi), wordt het wachtwoord-systeem veel slimmer en kan het betere wachtwoorden voorspellen.
3. Lijken is gevaarlijk: Het is niet nodig dat een wachtwoord exact hetzelfde is om gevaarlijk te zijn. Als het er netjes op lijkt, is het al een risico.

Kortom:
De onderzoekers hebben bewezen dat je met een slimme chatbot en een beetje creativiteit (en een paar Indiase woorden) een beter wachtwoord-systeem kunt bouwen dan met de oude, zware methoden. Het is alsof je van een zware, stoomaangedreven sleutelfabriek overstapt op een slimme, snelle schrijver die precies weet wat de dieven in gedachten hebben.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het onderzoekspaper "Multilingual AI-Driven Password Strength Estimation with Similarity-Based Detection" in het Nederlands.

Probleemstelling

De huidige informatiesystemen kampen met een ernstig beveiligingsrisico door voorspelbare wachtwoordpatronen, ondanks decennia aan beleidsmaatregelen en gebruikerstraining. Traditionele methoden voor het beoordelen van wachtwoordsterkte (zoals regelgebaseerde checks en entropieberekeningen) blijken ontoereikend tegen grootschalige wachtwoordraadsaanvallen die worden aangedreven door gelekte datasets en toegenomen rekenkracht.

Bestaande data-gedreven benaderingen, zoals PassGAN (Generative Adversarial Networks), zijn effectief maar hebben beperkingen:

1. Ze vereisen complexe neurale netwerken en hoge rekenkosten.
2. Ze zijn voornamelijk getraind op Engelstalige datasets, waardoor ze tekortschieten in het modelleren van wachtwoorden in andere talen (zoals Indiaas).
3. Ze vertrouwen vaak op exacte matches, terwijl hackers vaak wachtwoorden raden die sterk lijken op, maar niet identiek zijn aan, echte wachtwoorden.

Er is een behoefte aan een efficiëntere, meertalige en semantisch bewustere aanpak voor wachtwoordsterkte-meters (PSM).

Methodologie

De auteurs hebben een data-gedreven aanpak ontwikkeld die ChatGPT (een Large Language Model) gebruikt als alternatief voor PassGAN om realistische wachtwoorddatasets te genereren. De methode omvat de volgende stappen:

1. Generatie van Wachtwoorddatasets:

   • ChatGPT werd geprompt om wachtwoorden te genereren die bestaan uit betekenisvolle woorddelen (in plaats van willekeurige karakters).
   • Drie datasets werden gegenereerd:
     • Engels: Veelvoorkomende Engelse woorden en patronen.
     • Indiaas: Culturele referenties (namen, voedsel, religieuze termen).
     • Gemengd: Een combinatie van Engelse en Indiaase woordfragmenten.
   • Alle gegenereerde wachtwoorden hadden een consistente structuur: 8-10 tekens, inclusief hoofdletter, kleine letter, cijfer en symbool. Er werden ongeveer 6.666 wachtwoorden gegenereerd per categorie.

2. Testset:

   • De gegenereerde wachtwoorden werden getest tegen twee echte, gelekte datasets: een Engelse dataset (LinkedIn, 11.356 wachtwoorden) en een Indiaase dataset (7.675 wachtwoorden).

3. Vergelijkingsmethode (Jaro Similarity):

   • In plaats van exacte matching werd de Jaro-similariteitsfunctie gebruikt. Deze berekent een similariteitswaarde tussen 0 en 1 op basis van overeenkomende karakters en transposities.
   • Een drempelwaarde van 0,5 werd vastgesteld als "match". Dit simuleert realistischere aanvallen waarbij hackers wachtwoorden raden die sterk lijken op de echte versie, maar niet identiek zijn.

4. Evaluatie:

   • De prestaties werden gemeten aan de hand van match-accuraatheid: het percentage van de geleekte wachtwoorden dat succesvol werd "gekrakt" door de gegenereerde lijsten.

Belangrijkste Bijdragen

1. Alternatief voor PassGAN: Het onderzoek bewijst dat generatieve AI (ChatGPT) een haalbaar en effectief alternatief is voor complexe GAN-modellen (zoals PassGAN) voor het genereren van realistische wachtwoordlijsten, zonder de hoge rekenkosten en ethische bezwaren van het gebruik van grote gelekte databases voor training.
2. Meertalige Analyse: Het is de eerste studie die specifiek een wachtwoordsterkte-meter (PSM) ontwikkelt en evalueert voor Indiaase wachtwoorden.
3. Similariteit-Based Detectie: De integratie van de Jaro-similariteitsfunctie (met een drempel van 0,5) biedt een realistischere evaluatieframework dan traditionele exacte matching, waardoor het systeem beter in staat is om variaties van zwakke wachtwoorden te detecteren.
4. Prestatieverbetering door Meertaligheid: Het onderzoek toont aan dat het trainen met een gemengde dataset (meertalig) de prestaties verbetert ten opzichte van enkel Engelstalige modellen.

Resultaten

De experimenten leverden de volgende resultaten op bij gebruik van een Jaro-drempel van 0,5:

• Engelse Wachtwoorden: ChatGPT gegenereerde wachtwoorden bereikten een 78,08% match-accuraatheid op de LinkedIn-testset, terwijl PassGAN (baseline) 96,00% behaalde.
• Indiaase Wachtwoorden: Het ChatGPT-model bereikte een bijna perfecte accurate van 99,97% (7.673 van de 7.675 wachtwoorden) op de Indiaase geleekte dataset.
• Gemengde (Meertalige) Wachtwoorden: De meest opvallende bevinding was dat de gemengde dataset (Engels + Indiaas) een accurate van 99,92% behaalde op de Engelse LinkedIn-testset. Dit is significant hoger dan zowel het enkel Engelstalige ChatGPT-model als de PassGAN-baseline.

Dit suggereert dat het opnemen van woorden uit andere talen (in dit geval Indiaas) het model helpt om bredere patronen te leren die ook in Engelstalige wachtwoorden voorkomen, waardoor de algehele voorspellingskracht toeneemt.

Betekenis en Conclusie

De studie concludeert dat:

• ChatGPT een krachtig instrument is voor wachtwoordonderzoek, omdat het realistische, woordgebaseerde patronen kan genereren die lijken op menselijk gedrag, zonder de complexiteit van GAN-training.
• Meertaligheid essentieel is voor het modelleren van echte wachtwoordgedragingen. Gebruikers combineren vaak woorden uit verschillende talen of culturen, en modellen die dit ondersteunen, zijn robuuster.
• Similariteit-based matching (Jaro) superieur is aan exacte matching voor het evalueren van wachtwoordsterkte, omdat het de realiteit van wachtwoordraadsaanvallen beter weerspiegelt.

Beperkingen:
De datasetgrootte was beperkt (ca. 6.666 wachtwoorden per categorie) vanwege de limieten van ChatGPT, en de gegenereerde wachtwoorden hadden een strikte structuur (8-10 tekens, specifieke karakterset), wat minder divers is dan echte wereldwijd gelekte wachtwoorden.

Toekomstperspectief:
Toekomstig werk zou zich moeten richten op het gebruik van grotere datasets met meer talen (bijv. Chinees) en het verkennen van geavanceerdere similariteitsmaten (zoals cosine similarity en vector embeddings) om de semantische matching verder te verbeteren.