Sofrer uma vulnerabilidade é algo que pode acontecer com mais frequência. Por isso, o assunto de hoje é PassGAN, uma nova ferramenta de IA que pode colocar em risco as informações da sua empresa, descriptografando as chaves de segurança em segundos.
A Password Generative Adversarial Network chegou recentemente ao conhecimento de todos e já impressiona pelo fato de usar inteligência artificial para decifrar senhas ou códigos de acesso em menos de um segundo.
Ela começou a ser nomeada porque uma empresa de segurança cibernética publicou um relatório em que examina e testa a ferramenta em uma lista de 15,680 milhões de senhas para descobrir quanto tempo levaria para descobrir uma senha em 2023.
Antes de contar o que eles descobriram com esse teste, deixe-me explicar o que é o PassGAN, como ele funciona, por que ele deve chamar sua atenção em termos de segurança cibernética para as organizações e por que pode se tornar um recurso perigoso para todos.
O que é PassGAN e como funciona?
PassGAN é a abreviação de duas palavras em inglês: password e Generative Adversarial Networks (GAN).
Essa ferramenta funciona com GANs, um modelo generativo que cria instâncias de novos dados que se assemelham a dados de treinamento, de acordo com o Google. Ou seja, você pode criar coisas novas, a partir de informações já existentes.
“O objetivo das GANs é gerar dados novos e sintéticos que se assemelham a alguma distribuição conhecida.”
—Portal Geeks para Geeks.
Graças a esse modelo, que inclui aprendizado por reforço que ajuda o robô a aprender mais rápido, imagens e músicas podem ser geradas do zero e senhas agora podem ser decifradas.
Assim, é uma ferramenta avançada que usa redes GAN para “aprender de forma autônoma a distribuição de códigos de acesso reais a partir de vazamentos de chaves reais, eliminando assim a necessidade de análise manual destes”, de acordo com o relatório Home Security Heroes.
O risco é que, como essa ferramenta pode gerar várias propriedades de senha e melhorar a qualidade das senhas que ela prevê, isso torna mais fácil para os criminosos cibernéticos decifrar senhas e acessar informações pessoais de outros usuários em menos de um minuto, em alguns casos.
PassGAN pode descriptografar chaves complexas em pouco tempo
Para testar essa ferramenta, eles treinaram a tecnologia com informações da RockYou, que tem um grupo de dados usados para treinar sistemas inteligentes em análise de senhas. Aqui estavam algumas das descobertas:
PassGAN aprende e cria novos conhecimentos
Um dos primeiros resultados obtidos de acordo com o relatório Home Security Heroes é que a GAN aproveitou o conhecimento adquirido para criar novas senhas de amostra.
Ele tem uma alta capacidade de descobrir senhas
De acordo com os resultados do experimento, 51% das chaves mais comuns podem ser descriptografadas em menos de um minuto, 65% em menos de uma hora, 71% em menos de um dia e 81% em menos de um mês.
As senhas mais comuns são descriptografadas instantaneamente
Basicamente, se suas chaves tiverem entre quatro e cinco caracteres, com números, letras maiúsculas, minúsculas e símbolos, essa ferramenta descriptografa ela imediatamente. Além disso, você leva menos de seis minutos para saber qualquer senha de 7 caracteres.
As chaves mais desafiadoras para o PassGAN
Senhas com mais de 18 caracteres, por exemplo, são as mais seguras contra programas de IA de descriptografia. Neste caso, o PassGAN pode levar pelo menos 10 meses para descobrir uma senha somente com número. E levaria cerca de seis quintilhões de anos para fazê-lo com aqueles que têm símbolos, números, letras minúsculas e maiúsculas.
O PassGAN já foi testado em 2018
Um estudo anterior conhecido como “PassGAN: A Deep Learning Approach for Password Guessing” (2018-2019), conduzido por Briland Hitaj, Paolo Gasti, Giuseppe Ateniese, Fernando Perez-Cruz e publicado pela Universidade de Cornell em sua página Arxiv.org; ele foi aparentemente o primeiro a realizar tal teste com PasGAN.
Algumas das conclusões foram:
As GANs podem gerar suposições para adivinhar as chaves e o experimento deste estudo mostrou que o PassGAN conseguiu corresponder 34,2% das chaves extraídas do RockYou, banco de dados de senhas. Também conseguiu corresponder a 21,9% das senhas no conjunto de dados do LinkedIn. A ferramenta foi capaz de adivinhar um número alto em termos de caracteres, com base em apenas um conjunto de amostras.
Ele poderia substituir a adivinhação de senha baseada em regras
Essa é uma das conclusões a que chegaram após verificarem que, ao combinar múltiplas técnicas, os percentuais de coincidências são muito maiores. Portanto, softwares ou aplicativos como o PassGAN poderiam substituir a identificação de senha baseada em regras que tem sido usada até agora.
É capaz de adivinhar chaves sem intervenção do usuário
O PassGAN é capaz de gerar senhas sem a intervenção do usuário. Além disso, não é necessário conhecer o domínio atual destes ou uma análise manual de vazamentos de banco de dados de senhas.
Com ferramentas como o PassGAN para decifrar senhas, que usam algoritmos como os GANs, que são usados em IA, apenas uma coisa é muito clara: é urgente investir em questões de segurança da informação.
A grande questão é: como estamos nos preparando e o que vamos fazer?
Traduzido do nosso site.
Traduzido por Evellyn da Silva Amorin