Durante años, la industria de la seguridad ha enfatizado la importancia de las contraseñas seguras. Algunas investigaciones recientes de Dwelling Safety Heroes muestran claramente el valor de ese consejo.
Usando inteligencia synthetic, el equipo del sitio net de información y revisiones de seguridad del hogar descifró contraseñas en el rango de cuatro a siete caracteres, ya sea instantáneamente o en cuestión de minutos, incluso cuando las contraseñas contenían una combinación de números, letras mayúsculas y minúsculas, y simbolos
Después de ingresar más de 15,6 millones de contraseñas en un descifrador de contraseñas impulsado por IA llamado PassGAN, los investigadores concluyeron que es posible descifrar el 51% de las contraseñas comunes en un minuto.
Sin embargo, el software program de IA falló con contraseñas más largas. Una contraseña de solo números de 18 caracteres tardaría al menos 10 meses en descifrarse, y una contraseña con números, letras mayúsculas y minúsculas y símbolos tardaría seis quintillones de años en descifrarse.
En el sitio net de Dwelling Safety Heroes, los investigadores explicaron que PassGAN utiliza una pink antagónica generativa (GAN) para aprender de forma autónoma la distribución de contraseñas reales a partir de filtraciones de contraseñas reales y producir contraseñas realistas que los piratas informáticos pueden explotar.
“Los algoritmos de IA se someten constantemente a pruebas A/B entre sí millones de veces para estimular el aprendizaje, lo que les permite poseer aparentemente la suma del conocimiento humano con microchips más de 100 000 veces más rápido que el cerebro humano”, explicó Domingo Guerra, vicepresidente ejecutivo. de confianza para Incode Applied sciences, una empresa internacional de verificación de identidad y autenticación biométrica.
“En comparación con los algoritmos tradicionales de fuerza bruta con capacidad limitada, la IA predice la próxima cifra más possible en función de todo lo que ha aprendido”, dijo a TechNewsWorld. “En lugar de buscar conocimiento externamente, se apoya en los patrones que ha construido durante su entrenamiento para exhibir un comportamiento cuestionado rápidamente”.
Escéptico de la IA
Sobre la base de lo que se ha revelado públicamente, la IA utiliza técnicas similares a los ataques de la tabla del arco iris en lugar de simplemente forzar una contraseña por fuerza bruta, observó Dustin Childs, jefe de concienciación sobre amenazas en la Iniciativa Zero Day de Pattern Micro. Los piratas informáticos usan tablas de arco iris para traducir contraseñas codificadas en texto sin formato.
“La tabla del arco iris permite que la IA realice una búsqueda easy y examine operaciones con una contraseña codificada en lugar de un ataque de fuerza bruta más lento”, dijo a TechNewsWorld.
“Los ataques de la tabla Rainbow se han reconocido durante años y se ha demostrado que descifran incluso contraseñas de 14 caracteres en menos de cinco minutos”, agregó. “Los algoritmos hash más antiguos, como MD5 y SHA-1, también son más susceptibles a estas formas de ataques”.
La mayor parte del descifrado de contraseñas se realiza primero encontrando una contraseña codificada y luego haciendo comparaciones con eso, explicó Robert Hughes, director de seguridad de la información en RSA, una compañía de seguridad cibernética en Bedford, Massachusetts.
“En teoría”, continuó, “una IA podría aprender más información sobre un tema y usarla para hacerlo de manera inteligente, pero eso no está probado en la práctica”.
“Los equipos de seguridad han estado compitiendo con la fuerza bruta y las tablas de arcoíris durante años”, dijo. “De hecho, el modelo PassGAN AI no funciona significativamente más rápido que otros que aprovechan los actores de amenazas”.
Limitaciones de la IA
Roger Grimes, un evangelista de defensa en KnowBe4, un proveedor de capacitación en concientización sobre seguridad en Clearwater, Florida, tampoco está convencido de que la IA pueda descifrar contraseñas más rápido que los métodos tradicionales.
«Posiblemente pueda, y ciertamente podrá hacerlo en el futuro», dijo a TechNewsWorld, «pero nadie me ha mostrado una prueba definitiva de ninguno de los sistemas de inteligencia synthetic actuales que descifran contraseñas más rápido que la adivinación y el descifrado de contraseñas tradicionales que no son de inteligencia synthetic. métodos.»
“A medida que más y más personas usen administradores de contraseñas, que crean contraseñas verdaderamente aleatorias, la IA no tendrá ninguna ventaja sobre cualquier descifrado tradicional de contraseñas cuando las contraseñas involucradas sean realmente aleatorias, como ya deberían ser”, agregó.
Los expertos en seguridad señalan algunas limitaciones en el uso de IA para descifrar contraseñas. El poder de computación puede ser un desafío, por ejemplo. “Las contraseñas más largas y complejas tardan mucho tiempo en descifrarse, incluso por IA”, dijo Childs.
“Tampoco está claro cómo le iría a la IA frente a los mecanismos de salazón utilizados en algunos algoritmos de hashing”, señaló.
También hay una gran diferencia entre generar cantidades masivas de conjeturas de contraseñas y poder ingresar esas conjeturas en un escenario del mundo actual, agregó John Gunn, director ejecutivo de Token, un fabricante de un anillo de autenticación portátil basado en biometría en Rochester, Nueva York.
“La mayoría de las aplicaciones y sistemas tienen un bajo número de entradas incorrectas antes de bloquear al hacker, y la IA no cambia eso”, dijo a TechNewsWorld.
Largo adiós a las contraseñas
Por supuesto, nadie tendría que preocuparse por el descifrado de contraseñas por parte de la IA si no hubiera contraseñas que descifrar. Eso, a pesar de las predicciones anuales sobre el fin de las contraseñas, no parece posible, al menos a corto plazo.
«Con el tiempo, es possible que simplifiquemos la molestia de la administración de contraseñas al eliminar el engorroso proceso guide de memorizar e ingresar cadenas largas de números y letras para obtener acceso», observó Darren Guccione, director ejecutivo de Keeper Safety, una empresa de administración de contraseñas y almacenamiento en línea. empresa en Chicago.
“Pero dados los miles de millones de dispositivos y sistemas existentes que ya dependen de la seguridad de las contraseñas, las contraseñas seguirán estando con nosotros en el futuro previsible”, dijo a TechNewsWorld. “Solo podemos proporcionar protecciones más sólidas para respaldar su uso seguro”.
Grimes agregó que ha habido un movimiento para deshacerse de las contraseñas desde fines de la década de 1980. “Hay miles de artículos que predicen la muerte de la contraseña y, sin embargo, décadas después, sigue siendo una lucha”, dijo.
“Si junta todas las soluciones de autenticación sin contraseña, no funcionarán en el 2 % de los sitios y servicios del mundo”, continuó. “Ese es un problema, y eso impide la adopción generalizada”.
“En una buena nota, más personas usan alguna forma de autenticación sin contraseña para iniciar sesión en uno o más sitios y servicios en la actualidad. El porcentaje es más alto que nunca”, señaló.
“Pero mientras el porcentaje complete de sitios y servicios se mantenga por debajo del 2%, el ‘punto de inflexión’ para la adopción masiva de autenticación sin contraseña será difícil”, dijo. «Es un problema del huevo y la gallina del mundo actual frustrantemente difícil».
Hughes reconoció que los sistemas heredados, así como la confianza de los usuarios y administradores, han frenado el alejamiento de las contraseñas. Sin embargo, agregó: “Eventualmente, el uso de contraseñas se minimizará y se usarán principalmente en lugares donde sean apropiadas o donde los sistemas no puedan actualizarse para admitir otros métodos, pero aún llevará años dejar de usar contraseñas para la mayoría de las personas y empresas.”