honeywords是插入数据库中的虚拟密码,以识别密码漏洞。主要困难是如何生产难以区分实际密码的蜂蜜字。尽管过去已经广泛研究了蜂蜜词的产生,但大多数现有研究假设攻击者对用户不了解。如果攻击者利用了用户的个人身份信息(PII),并且实际密码包括用户的PII,则这些蜂蜜词生成技术(HGT)可能会完全失败。在本文中,我们建议建立一个更安全和可信赖的身份验证系统,该系统采用现成的预训练的语言模型,不需要对真实密码进行进一步的培训以产生蜂蜜字,同时保留了相关的真实密码的PII,因此很明显提高攻击者的标准。我们进行了一个试点实验,要求个人在为GPT-3提供用户名和调整技术时区分真实的密码和蜂蜜字。结果表明,对于这两种技术,很难将真实密码与人工密码区分开。我们推测,较大的样本量可以揭示两种HGT技术之间的显着差异,这有利于我们提出的方法。
translated by 谷歌翻译