Nuovi software alimentati dall’intelligenza artificiale come PassGAN rendono più semplice e veloce scoprire le password. Un sito ci consente di sapere quanto è sicura la nostra password dagli attacchi condotti con questi nuovi strumenti.
Nella finzione cinematografica, per tentare di identificare una password, si cerca di combinare date e luoghi di nascita o nome e cognome del proprietario dell’account. Anche nella realtà, gli strumenti per scoprire le password funzionano utilizzando semplici tecniche basate sui dati. Ciò significa che applicano modelli di dati che eseguono analisi manuali delle password. Inoltre, gli strumenti formulano ulteriori ipotesi sui modelli di password ed utilizzano regole di generazione delle password come la concatenazione.
Tutte queste tecniche sfruttano l’intelligenza umana per cercare di creare delle correlazioni tra i dati disponibili.
Anche in questo caso, tuttavia, l’intelligenza artificiale è in grado di fare compiere ai processi un salto di qualità impressionante, aiutando sia i malintenzionati che quanti agiscono per scopi leciti (ad esempio nelle indagini giudiziarie).
Uno degli strumenti più recenti abilitati dall’intelligenza artificiale per hackerare le password è PassGAN, una contrazione delle parole “Password” e “Generative Adversarial Networks” (GAN). GAN è il meccanismo generale che esegue questo strumento e che funziona su una rete neurale.
PassGAN rappresenta un progresso preoccupante nelle tecniche di cracking delle password. Il sistema utilizza il Generative Adversarial Network (GAN) per apprendere autonomamente la distribuzione di password reali utilizzando data-set di password effettive, eliminando la necessità di un’analisi manuale delle password. Ciò renda il cracking delle password più veloce ed efficiente e rappresenta una seria minaccia per la sicurezza online.
Un report di Home Security Heroes, una società di sicurezza informatica, ha testato PassGAN dimostrando quanto l’intelligenza artificiale possa aiutare a decifrare le password. Secondo tale report il 51% delle password comuni può essere violato in meno di un minuto.
Un GAN è un modello di machine learning (ML) che confronta due reti neurali (generatore e discriminatore) l’una contro l’altra per migliorare l’accuratezza delle previsioni.
In breve, il generatore produce dati falsi per ingannare il discriminatore. Nel frattempo, il compito del discriminatore è identificare i dati reali dai dati falsi creati dal generatore. Diventa un gioco del gatto e del topo in cui entrambe le reti beneficiano della disputa costante. Il generatore migliora continuamente per costruire dati falsi migliori e il discriminatore migliora nel differenziare i dati reali da quelli falsi.
Home Security Heroes ha addestrato PassGAN fornendo al software 15.680.000 password dal set di dati RockYou per addestrare il modello. L’azienda ha escluso dall’esperimento le password più corte di quattro caratteri e più lunghe di 18 caratteri. Il data base di RockYou – uno sviluppatore di app – è stato hackerato del 2009, e le 32 milioni di password sono state rese pubbliche diventando ben presto una opportunità per l’addestramento dei modelli di cracking delle password ML.
I risultati di Home Security Heroes sono riassunti in questa tabella:
Come si vede, PassGAN ha violato il 51% delle password comuni in meno di un minuto. Tuttavia, l’intelligenza artificiale ha impiegato un po’ più di tempo con le password più impegnative.
PassGAN ha impiegato sei minuti per decifrare una password di sette caratteri, anche se include numeri, lettere maiuscole e minuscole e simboli. Ad esempio, PassGAN può svelare una password di dieci caratteri con solo numeri e lettere minuscole in un’ora. Tuttavia, l’aggiunta di lettere maiuscole, numeri e simboli al mix aumenta il tempo di decrittazione fino a cinque anni. Pertanto, non si tratta solo di avere una password lunga, ma anche una con uno schema impegnativo che l’intelligenza artificiale non può risolvere rapidamente.
Home Security Heroes ha fornito alcune linee guida per salvaguardare l’integrità password. Per cominciare, la società di sicurezza informatica consiglia di creare una password con almeno 15 caratteri con uno schema forte, combinando almeno due lettere maiuscole e minuscole con numeri e simboli.
PassGAN può trovare una password con otto o nove caratteri rispettivamente in circa sette ore e due settimane, anche se si seguono le migliori pratiche. Le password con 10 o 11 caratteri richiederebbero all’intelligenza artificiale circa cinque e 365 anni per essere decifrate. Una password di 15 caratteri, tuttavia, richiede 14 miliardi di anni per essere decodificata. Quindi è essenziale anche cambiare periodicamente la password, da tre a sei mesi. E per buona misura, evita di utilizzare la stessa password per account diversi.
Home Security Heroes consente anche di verificare dalla propria pagina web le password degli utenti:
Non è ben chiaro se le password inserite verranno utilizzare per continuare ad addestrare il sistema. In ogni caso, per non saper né leggere né scrivere, consigliamo di non verificare le password in uso. Non si sa mai.