生成式AI如何加速针对Active Directory的身份攻击

赞助商提供

09:46 AM

Active Directory仍然是大多数组织管理用户身份的主要方式，这使其成为攻击中的常见焦点。变化不在于攻击目标，而在于这些攻击变得何其迅速和高效。

生成式AI使得密码攻击成本更低、效率更高，将曾经需要专业技能和大量计算资源的工作变得几乎人人可为。

AI驱动的密码攻击已被实际运用

像PassGAN这样的工具代表了新一代密码破解技术，它们不再依赖静态单词表或暴力随机猜测。通过对抗训练，系统学习人们创建密码的实际模式，并在每次迭代中提升预测能力。

研究结果令人警醒。近期研究发现，PassGAN能在一分钟内破解51%的常用密码，一个月内破解81%。更令人担忧的是这些模型的进化速度。

当使用特定组织的泄露数据、社交媒体内容或公开的公司网站进行训练时，它们能生成高度针对性的密码候选集，准确反映员工的实际行为模式。

生成式AI如何改变密码攻击技术

传统密码攻击遵循可预测的模式。攻击者使用字典单词表，然后应用基于规则的变形（例如将"a"替换为"@"，在末尾添加"123"），并期待匹配成功。这是一个资源密集且相对缓慢的过程。

然而，AI驱动的攻击则截然不同：

大规模模式识别：
机器学习模型能识别人们构建密码的细微模式，包括常见替换、键盘模式以及个人信息整合方式，从而生成符合这些行为的猜测。AI不再测试数百万随机组合，而是将计算资源集中于最可能的候选密码。

智能凭证变异：
当攻击者从第三方服务获取泄露凭证时，生成式AI能快速测试针对您环境的特定变体。例如，如果"Summer2024!"在个人账户上有效，模型会智能测试"Winter2025!"、"Spring2025!"等可能变体，而非随机排列。

自动化侦察：
大语言模型可以分析关于您组织的公开信息（例如新闻稿、LinkedIn资料和产品名称），并将这些上下文融入定向钓鱼攻击和密码喷洒攻击。过去需要分析师数小时完成的工作，现在可以更快实现。

准入门槛降低：
预训练模型和云计算基础设施意味着攻击者不再需要深厚的技术专长或昂贵硬件。

高性能破解硬件的普及化

AI热潮带来一个意外后果：更适合密码破解的强大消费级硬件更易获得。训练机器学习模型的组织常在闲置时段租用GPU集群。

现在，攻击者每小时仅需约5美元即可租用八块RTX 5090 GPU，其破解bcrypt哈希的速度比上一代显卡快约65%。

即使采用强哈希算法和高成本因子，现有计算能力仍使攻击者能测试比两年前多得多的密码候选集。

当与生成更有效猜测的AI模型结合时，破解弱到中等强度密码所需时间已大幅缩短。

使用Specops密码策略保护Active Directory密码

Verizon数据泄露调查报告显示，44.7%的数据泄露事件涉及凭证窃取。

通过合规密码策略轻松保护Active Directory，阻止40多亿已泄露密码，提升安全性并减少支持负担！

免费试用

为何传统Active Directory密码控制措施已不足够

大多数Active Directory密码策略是为前AI时代的威胁环境设计的。标准复杂性要求（大小写字母、数字、符号）产生的可预测模式更容易被AI模型利用。

"Password123!"符合复杂性规则，却遵循生成式模型能瞬间识别的模式。

强制90天密码轮换曾被视为最佳实践，但如今已非有效保护。被迫更改密码的用户常采用可预测模式：递增数字、季节引用或对旧密码进行微小修改。

基于泄露数据训练的AI模型能识别这些模式，并在凭证填充攻击中进行测试。

基础多因素认证（MFA）虽有帮助，但无法解决密码泄露的根本风险。如果攻击者获取泄露密码，并通过社会工程、会话劫持或MFA疲劳攻击绕过MFA，Active Directory仍可能暴露。

应对Active Directory中的AI辅助密码攻击

为防御AI增强的攻击，组织必须超越合规检查项，制定针对密码实际泄露方式的策略。实践中，密码长度比复杂性更重要。

AI模型难以应对真正的随机性和长度，这意味着由随机单词组成的18字符密码短语比带特殊字符的8字符字符串更具防护性。

但更重要的是，您需要掌握员工是否正在使用外部泄露中已暴露的密码。如果明文密码已存在于攻击者的训练数据集中，任何复杂的哈希算法都无法提供保护。