Un modello di intelligenza artificiale chiamato PassGAN può decifrare password brevi in pochi secondi. Ma bisogna stare attenti?
L'intelligenza artificiale si è infiltrata in un numero crescente di industrie e, con essa, nella nostra vita quotidiana. Ne abbiamo sentito parlare molto di più a causa di cose come ChatGPT di OpenAI, Google Bard e simili. Se non l'hai fatto apposta, potresti aver interagito inconsapevolmente con l'intelligenza artificiale: viene utilizzata nei chatbot dei siti Web e da aziende come Google, Apple e Uber per prendere decisioni sui dati delle mappe.
Una startup di sicurezza ha utilizzato uno strumento di intelligenza artificiale per decifrare le password e può farlo in modo incredibilmente rapido. Cioè, se la tua password non è troppo complicata. Ecco cosa dovresti sapere.
Che cos'è PassGAN AI?
La squadra a Eroi della sicurezza domestica (HSH) ha utilizzato una sorta di rete neurale AI, chiamata password generative adversarial network (o PassGAN), per indovinare le password. Per addestrare la loro intelligenza artificiale, hanno utilizzato un set di dati che comprendeva password trapelate dal sito di giochi RockYou.
Quindi, come funziona PassGAN AI? Una "rete generativa" fornisce password che potrebbero essere utilizzate dalla gente comune. Quindi una "rete discriminante" confronta la password generata con le password reali dai dati trapelati.
La rete del discriminatore addestra efficacemente la rete generativa a trovare password migliori e più accurate. È una sorta di feedback negativo che tende alle password che le persone, in generale, potrebbero utilizzare, una sorta di generalità che potrebbe non essere molto utile nel mondo reale.
Quanto velocemente PassGAN AI può decifrare le password?
Ciò che il team di Home Security Heroes ha scoperto è che le password lunghe quattro, cinque e sei caratteri potevano essere indovinate l'intelligenza artificiale quasi istantaneamente, anche se comprendevano una combinazione di lettere (maiuscole e minuscole), numeri e simboli.
Anche una password di sette cifre con lettere maiuscole e minuscole e numeri (ma senza simboli) potrebbe essere decifrata, secondo questo modello, in meno di un minuto; mentre le password a otto e nove cifre strutturalmente più complesse possono essere decifrate rispettivamente in sette ore e due settimane. Se le tue password corrispondono a questi criteri indesiderati, è il momento di aggiornare.
Questa tabella mostra quanto velocemente il test PassGAN di HSH potrebbe decifrare le password in base alla loro lunghezza e complessità.
Dovresti essere preoccupato per l'intelligenza artificiale che viola le tue password?
Anche se questo può sembrare spaventoso, strumenti come questo esistono da un po' e le nostre password e i nostri accessi rimangono ancora al sicuro. Ciò è, in parte, dovuto al fatto che i cracker di password, anche quelli di intelligenza artificiale che si addestrano da soli, sono validi solo quanto il set di dati a loro disposizione.
In effetti, questa non è la prima volta che sentiamo parlare di PassGAN. Nel 2017, Science.org, il sito di notizie della rivista Science, ha riportato l'allora nuovo modo di decifrare le password, ovvero utilizzando una rete generativa di contraddittorio. Quindi, PassGAN è stato utilizzato insieme a un programma per indovinare la password, hashCat, e ancora solo è riuscito a indovinare il 27 percento delle password da un set trapelato: una cifra non piccola, ma non eccessivamente allarmante O.
Il modo esatto in cui i ragazzi di Home Security Heroes misurano la vulnerabilità di una particolare password non è ben spiegato. Non è chiaro se un'intelligenza artificiale come PassGAN possa individuare il tuo ago nel pagliaio continuum di password.
Dal momento che strumenti come PassGAN sono in circolazione da un po' di tempo e le nostre password non sono state tutte individuate dall'intelligenza artificiale (ancora), sembrerebbe che non ci sia bisogno di preoccuparsi che l'intelligenza artificiale indovini la tua password; almeno non presto... se la tua password è relativamente complessa.
Quanto sono sicure le tue password?
Puoi testare quanto è forte la tua password tramite HSH. Anche se dicono che le password di prova che inserisci sono completamente private e mai salvate, ti consigliamo comunque di consegnare eventuali password reali. Ce ne sono molti altri strumenti che puoi utilizzare per testare le tue password.
Potresti, forse, provare qualcosa di simile, che segua la stessa logica della tua password: una lettera maiuscola qui, un simbolo lì, per scoprire come la tua password resiste all'intelligenza artificiale costruita su un tipo di rete contraddittorio generativo architettura.
Quindi cosa puoi fare con l'IA come PassGAN? Non tanto. Questi modelli di intelligenza artificiale sono là fuori e continueranno a essere sempre più perfezionati (anche se non necessariamente "più intelligenti") a ogni perdita di password ed evento di set di dati compromesso. La principale difesa che hai è una password davvero complessa. Devi sapere come crea una password complessa che non dimenticherai. Un altro modo per proteggersi da minacce come questa è farlo utilizzare l'autenticazione a più fattori sul maggior numero possibile di account.
Allo stato attuale delle cose con i modelli AI e i dati a loro disposizione, qualsiasi password di almeno 11 caratteri lungo e contiene numeri, lettere maiuscole e minuscole, nonché simboli è considerato abbastanza robusto da resistere screpolatura. Quindi inizia da lì. Crea una password abbastanza lunga da far indovinare anche gli strumenti di intelligenza artificiale più raffinati per eoni a venire.
Quali sono le prospettive per il cracking delle password AI?
Davvero, chi lo sa? L'intelligenza artificiale fa sempre passi da gigante. Lascia la tecnologia all'avanguardia alle persone che sanno. Ma allo stesso tempo, non chiudere un occhio sugli sviluppi. E chiudi a chiave le porte d'ingresso.