En AI-modell kalt PassGAN kan knekke korte passord på sekunder. Men trenger du å være på vakt?
AI har infiltrert et økende antall bransjer, og med det dagliglivet vårt. Vi har hørt mye mer om det på grunn av ting som OpenAIs ChatGPT, Google Bard og lignende. Hvis du ikke har gjort det med vilje, kan det hende du har samhandlet med AI uten å vite det – den brukes i chatbots på nettsider og av selskaper som Google, Apple og Uber for å ta avgjørelser om kartdata.
En sikkerhetsoppstart har brukt et AI-verktøy for å knekke passord, og det kan gjøre dette fort. Det vil si hvis passordet ditt ikke er for komplisert. Her er hva du bør vite.
Hva er PassGAN AI?
Teamet kl Hjemmesikkerhetshelter (HSH) brukte et slags AI-nevralt nettverk, kalt passordgenerative adversarial network (eller PassGAN), for å gjette passord. For å trene opp AI brukte de et datasett som besto av lekkede passord fra spillsiden RockYou.
Så hvordan fungerer PassGAN AI? Et "generativt nettverk" kommer opp med passord som sannsynligvis vil bli brukt av vanlige folk. Deretter sammenligner et "Diskriminatornettverk" passordet som genereres med ekte passord fra de lekkede dataene.
Diskriminatornettverket trener effektivt det generative nettverket til å komme opp med bedre, mer nøyaktige passord. Det er en slags negativ tilbakemelding som har en tendens til passord som folk generelt kan bruke - en slags generalitet som kanskje ikke er veldig nyttig i den virkelige verden.
Hvor raskt kan PassGAN AI knekke passord?
Det Home Security Heroes-teamet fant var at passord på fire, fem og seks tegn kunne gjettes av AI nesten umiddelbart, selv om de består av en kombinasjon av bokstaver (store og små bokstaver), tall og symboler.
Selv et syvsifret passord med store og små bokstaver og tall (men ingen symboler) kunne knekkes, ifølge denne modellen, på under ett minutt; mens de mest strukturelt komplekse åtte- og nisifrede passordene kan knekkes på henholdsvis syv timer og to uker. Hvis passordene dine samsvarer med disse uønskede kriteriene, er det på tide å oppgradere.
Denne tabellen viser hvor raskt HSHs PassGAN-test kunne knekke passord basert på deres lengde og kompleksitet.
Bør du være bekymret for at AI knekker passordene dine?
Selv om dette kan høres skummelt ut, har verktøy som dette eksistert en stund, og passordene og påloggingene våre er fortsatt sikre. Dette er delvis på grunn av det faktum at passordknekkere, til og med AI- som trener seg selv, bare er like gode som datasettet de har til rådighet.
Faktisk er dette ikke første gang vi har hørt om PassGAN. I 2017, Science.org, nyhetssiden til tidsskriftet Science, rapporterte om den da nye måten å knekke passord på, det vil si å bruke et generativt motstandsnettverk. Deretter ble PassGAN brukt i forbindelse med et passordgjettingsprogram, hashCat, og fortsatt bare klarte å gjette 27 prosent av passordene fra et lekket sett - ikke et lite tall, men ikke altfor alarmerende enten.
Nøyaktig hvordan folkene på Home Security Heroes måler sårbarheten til et bestemt passord er ikke veldig godt forklart. Hvorvidt AI som PassGAN kan plukke ut nålen din i høystakkkontinuumet av passord er ikke klart.
Siden verktøy som PassGAN har eksistert en liten stund nå og passordene våre ikke alle har blitt funnet ut av AI (ennå), ser det ut til at du ikke trenger å bekymre deg for at AI skal gjette passordet ditt; i hvert fall ikke snart... hvis passordet ditt er relativt komplekst.
Hvor sikre er passordene dine?
Du kan teste hvor sterkt passordet ditt er via HSH. Selv om de sier at testpassordene du skriver inn er helt private og aldri lagret, anbefaler vi likevel at du overlater ekte passord. Det er nok av andre verktøy du kan bruke til å teste passordene dine.
Du kan kanskje prøve noe lignende, som følger samme logikk som passordet ditt – en stor bokstav her, et symbol der – for å finne ut hvordan passordet ditt står opp mot AI som er bygget på generativ kontradiktorisk nettverkstype arkitektur.
Så hva kan du gjøre med AI som PassGAN? Ikke mye. Disse AI-modellene er der ute og vil fortsette å bli mer raffinerte (men ikke nødvendigvis "smartere") med hver passordlekkasje og kompromitterte datasetthendelse. Hovedforsvaret du har er et seriøst sterkt passord. Du må vite hvordan lag et sterkt passord som du ikke vil glemme. En annen måte å beskytte deg mot trusler som dette er å bruke multifaktorautentisering på så mange av kontoene dine som mulig.
Slik situasjonen er for øyeblikket med AI-modeller og dataene som er tilgjengelige for dem, ethvert passord som er på minst 11 tegn lang og inneholder tall, store og små bokstaver, samt symboler anses som kraftig nok til å tåle sprekker. Så begynn der. Lag et passord lenge nok til å holde selv de mest raffinerte AI-verktøyene gjette i evigheter som kommer.
Hva er neste for AI Password-Cracking?
Virkelig, hvem vet? Kunstig intelligens går alltid fremover i sprang og grenser. Overlat den banebrytende teknologien til de som kjenner til det. Men samtidig må du ikke lukke øynene for utviklingen. Og lås inngangsdørene dine.
