L'IA decifra la maggior parte delle password in pochi minuti

L’IA decifra la maggior parte delle password in pochi minuti

Apr 24, 2023 Marina Londei Approfondimenti, Hacking, RSS, Tecnologia 0

I ricercatori di Home Security Heroes hanno messo alla prova l’intelligenza artificiale misurando in quanto tempo è in grado di decifrare le password più comuni. I risultati parlano chiaro: le password non sono al sicuro dall’IA e vanno aggiornate il prima possibile.

Il team ha utilizzato PassGAN, un tool che usa un approccio di deep learning per individuare le password degli utenti. I ricercatori hanno testato le capacità dello strumento usando una lista di 15.680.000 password; secondo le stime riportate, PassGAN è in grado di individuare il 51% delle password più comuni in meno di un minuto. Il processo è istantaneo per password di lunghezza minore a 6 caratteri, anche se contengono numeri, lettere e simboli; se si tratta di una password di soli numeri, il tool riesce a scoprire la combinazione istantaneamente fino a 11 caratteri.

PassGAN riesce a individuare una password di 7 caratteri, con simboli, numeri e lettere, in meno di 6 minuti. Le cose cominciano a complicarsi quando la lunghezza supera i 9 caratteri e la password contiene numeri e lettere, sia maiuscole che minuscole.

Pixabay

Considerando che la maggior parte delle persone non utilizza simboli nelle proprie password e ripete le stesse credenziali su più siti, i risultati fanno scattare un campanello d’allarme, soprattutto se si considera che il 71% delle password più comuni viene individuato in meno di un giorno.

Come funziona PassGAN

PassGAN utilizza una rete generativa avversaria (Generative Adversarial Network – GAN) per imparare autonomamente la distribuzione delle password reali da leak, generando ipotesi di altà qualità. Lo strumento sostituisce e migliora l’analisi manuale, e per questo rappresenta una seria minaccia alla sicurezza online.

Il tool è in grado di generare diverse proprietà delle password e migliorare la qualità di quelle individuate, rappresentando così un alleato prezioso per i cybercriminali. PassGAN, al contrario degli strumenti base che si basano su analisi manuali, pattern e regole di generazione, memorizza una moltitudine di proprietà e strutture delle password e le usa per generare nuove ipotesi simili alle combinazioni sulle quali è stato addestrato.

Aumentare la sicurezza delle password contro l’IA

Come proteggersi dalle nuove capacità di hacking dell’intelligenza artificiale? Le password con più di 18 caratteri sono considerate generalmente sicure contro l’IA: una combinazione di soli numeri richiede un lavoro di circa 10 mesi per essere individuata. Combinando simboli, numeri e lettere maiuscole e minuscole, si arriva a 6 quintilioni di anni.

Pixabay

Senza arrivare a quasi 20 caratteri, una buona password parte dagli 11-12 caratteri, a patto però che contenga una combinazione di numeri, simboli e lettere: in questi casi il tempo di individuazione parte da un minimo di 356 anni ai 6 quintilioni dei 18 caratteri, e oltre. Per stare sicuri, i ricercatori di Home Security Heroes consigliano una password di 15 caratteri che contenga numeri, simboli e lettere, senza inserire però pattern comuni di facile individuazione.

A prescindere dalla lunghezza e dal contenuto, le password andrebbero aggiornate ogni 3 mesi o al massimo ogni 6. Se c’è il sospetto di intrusione, l’update deve essere eseguito il prima possibile.

Infine è fondamentale utilizzare password uniche per ogni piattaforma, per evitare che un attaccante prenda possesso di più account in un solo colpo. Nonostante gli accorgimenti che si possono prendere, la soluzione migliore è scegliere metodologie di autenticazione password-less e multi-fattore.

Condividi l'articolo