Password a rischio… e questa volta c’entra l’intelligenza artificiale
Se non credevate già che le password deboli potessero essere decifrate facilmente, l’intelligenza artificiale è qui per dimostrarlo definitivamente. Uno strumento basato sull’intelligenza artificiale ha infatti decifrato oltre la metà delle password che gli sono state fornite in meno di un minuto e il 65% in meno di un’ora.
L’esperimento, condotto dall’azienda di cybersicurezza Home Security Heroes, ha coinvolto PassGAN, un nuovo tipo di password cracker. A differenza dei tipici strumenti di cracking delle password, che si basano su set di dati fissi, PassGAN si basa su due reti neurali: una addestrata a generare password e l’altra a distinguere tra le password “false” della prima e quelle ricavate da vere violazioni di dati. Man mano che viene addestrata, questa sorta di rete generativa adattiva impara ad offrire previsioni più sofisticate sulle password, consentendo un cracking più rapido e diffuso.
Per il test di Home Security Heroes, PassGAN è stato “addestrato” con oltre 15 milioni di password tratte dalla violazione di RockYou del 2009, un set di dati spesso utilizzato per addestrare strumenti di cracking simili. Sono state escluse le password con meno di quattro e più di 18 caratteri. Non c’è da sorprendersi che le password con un basso numero di caratteri e con poche variazioni di caratteri siano state decifrate all’istante, ma anche le password leggermente più complesse sono state decifrate molto rapidamente (una password piuttosto semplice di 11 caratteri è stata decifrata immediatamente). In generale, lo strumento è stato in grado di decifrare il 51% delle password più comuni in meno di un minuto, il 65% in meno di un’ora, il 71% in un giorno e l’81% in un mese.
Sulla base dei risultati ottenuti, Home Security Heroes offre diversi consigli, due dei quali sono ripetuti spesso dagli esperti di sicurezza, ovvero non riutilizzare le password e cambiare le password ogni tanto, soprattutto per i siti web violati. Infine, usare password lunghe almeno 15 caratteri, con un mix di almeno due lettere (maiuscole e minuscole), numeri e simboli e non seguire schemi di password ovvi o prevedibili.
Potete leggere di più sui risultati di Home Security Heroes nel loro blog, ma la cosa più importante è che la casualità di una password può influire sul tempo di cracking. Home Security Heroes afferma che una password con 18 lettere minuscole e maiuscole, simboli e numeri richiederebbe 6 quintilioni di anni per essere indovinata.
Tuttavia, questo si riferisce all’oggi e una password di 18 caratteri probabilmente non risolverà le nostre esigenze di sicurezza per sempre. I modelli di intelligenza artificiale imparano infatti rapidamente e stanno crescendo a passi da gigante. Immaginate se questo fenomeno si applicasse a un’infinità di hacker. L’unico modo per rimanere al sicuro è utilizzare un gestore di password. Questi tool infatti non solo possono generare password casuali e uniche al vostro posto, ma aiuteranno a cambiare le vostre credenziali quando sarà il momento di aumentare ancora una volta la forza delle vostre password.