Продуманный пароль, который непросто подобрать, — один из столпов кибербезопасности. Новый подход, позволяющий эффективно оценивать надежность паролей, разработал доцент кафедры информационной безопасности Тульского государственного университета, кандидат технических наук Дмитрий Александрович Абрамов. Исследователь предложил привлечь к решению задачи методы машинного обучения. Разработка была представлена на X Международной конференции «Конвергентные когнитивно-информационные технологии» в рамках Международного конгресса «Современные проблемы компьютерных и информационных наук», прошедшего в МГУ в ноябре 2025 г. Подробнее об исследовании корреспондент «Научной России» узнал у самого автора работы.
Вопрос кибербезопасности сегодня стоит очень остро. Например, только за первое полугодие 2024 г. количество серьезных киберинцидентов в России и странах СНГ возросло на 39% в сравнении с аналогичным периодом 2023 г. Одно из «слабых мест», уязвимых для хакеров, — пароли, поскольку эта ступень защиты напрямую зависит от изобретательности и ответственности пользователей. В своем докладе Д.А. Абрамов привел данные компании Home Security Heroes, занимающейся кибербезопасностью: до 65% используемых паролей можно подобрать всего за 1 час. Поэтому создание новых подходов к проверке надежности «цифровых ключей» остается важной задачей.
Для ее решения Д.А. Абрамов обратился к возможностям искусственного интеллекта, попробовав привлечь к работе разные методы машинного обучения.
Доцент кафедры информационной безопасности Тульского государственного университета, кандидат технических наук Дмитрий Александрович Абрамов.
Фото: из личного архива Д.А. Абрамова
«Методы машинного обучения позволяют значительно расширить набор критериев, по которым оценивается сложность пароля. Они также дают возможность сравнивать пароли, которые нельзя сопоставить традиционными способами, и переводить результат сравнения в единое пространство признаков, — объяснил Дмитрий Александрович Абрамов. — Традиционные методы проверки надежности паролей — это просто набор формул, позволяющих понять, соответствует ли отдельный пароль определенным требованиям. Однако с их помощью сложно сравнивать длинные пароли с более короткими и простыми. Средства, основанные на машинном обучении, существенно упрощают решение этой задачи. Более того, за счет применения машинного обучения можно создать модель, которая благодаря значительной обучающей базе способна давать заключение о сложности пароля с заданной точностью и сравнительно быстрее традиционных методов — фактически в реальном времени. Примечательно, что в дальнейшем полученную модель машинного обучения можно будет улучшить и добиться еще более точных результатов проверки паролей. Поясню, что для решения этой задачи должны использоваться гибкие модели, позволяющие расширять метрики (критерии оценивания правильности работы ИИ-модели. — Примеч. корр.) и добиваться стабильного качества оценки сложности паролей».
Для обучения и тестирования «умных» алгоритмов использовался набор данных компании «Сбер» Password Security, содержащий разные примеры паролей с показателями надежности от нуля до двух.
«К набору данных предъявлялись следующие требования:
- наличие информации в открытом доступе;
- объем от 10 тыс. паролей;
- принадлежность компании, компетентной в данной области;
- отсутствие противоречивости данных.
Кроме того, в наборе должны были отражаться основные характеристики паролей, необходимые для обучения моделей, — перечислил Д.А. Абрамов. — В данном случае требованиям удовлетворял набор паролей компании “Сбер”, размещенный в открытом доступе на ресурсе kaggle. Его оказалось вполне достаточно для проведения исследований, и это неудивительно, поскольку “Сбер” входит в топ-10 российских организаций по уровню информационной безопасности».
Обученные алгоритмы показали хорошие результаты: точность оценок с помощью разных методов варьировалась от 95% до 100%. Таким образом, в перспективе подобные технологии смогут пригодиться для более совершенной проверки надежности паролей.
Три метода машинного обучения, показавшие лучшие результаты, были объединены в ансамбль для повышения качества работы системы.
Источник изображения: upklyak / фотобанк Freepik
«Для решения данной задачи были исследованы несколько методов машинного обучения как с учителем, так и без учителя (“натренированные” на размеченных и неразмеченных данных соответственно. — Примеч. корр.). Для изучения были выбраны довольно простые, распространенные и хорошо зарекомендовавшие себя подходы: методы случайного леса, случайных множеств, градиентного бустинга и гистограммного градиентного бустинга. Было также решено попробовать использовать нейронные сети различной структуры как наиболее популярный инструмент, — рассказал Д.А. Абрамов. — Для оценивания качества методов использовались следующие метрики: F-мера (подход, позволяющий оценить, насколько точно и полно модель ИИ выявляет в наборе данных объекты определенного класса. — Примеч. корр.) и матрица неточностей, а также вероятность верной классификации сложности пароля».
Лучшие результаты показали методы случайных множеств, гистограммного градиентного бустинга и градиентного бустинга. В результате было принято решение объединить их в ансамбль для повышения стабильности и качества работы созданной системы. Простыми словами, там, где один из методов не сработает, ему “помогут” другие два. А вот от нейросетей пришлось отказаться, поскольку, в отличие от других методов, они не позволяли добиться стопроцентной точности.
«В дальнейшем планируется провести исследования предложенных моделей машинного обучения на обновленных версиях исходных данных, если таковые появятся в открытом доступе. Кроме того, будут предприниматься попытки пилотного внедрения нового подхода на предприятиях, с которыми я раньше был связан договорными отношениями, — поделился Д.А. Абрамов. — Помимо непосредственного внедрения результатов работы, в рамках своих курсов в университете я планирую углубленно обучать студентов методикам, использованным при выполнении данной работы. В данном случае важен не столько результат, сколько принцип его получения, с которым можно познакомить молодых людей, чтобы они смогли в дальнейшем применять эти знания в работе и развивать подобные подходы».
Фото на стоп-кадре видео: из личного архива Д.А. Абрамова
Новость подготовлена при поддержке Министерства науки и высшего образования РФ
Источник изображения на превью: rawpixel.com / фотобанк Freepik
Источники изображений в тексте: из личного архива Д.А. Абрамова, upklyak / фотобанк Freepik.
Фото на стоп-кадре видео: из личного архива Д.А. Абрамова
