TecTop
Durante años, la industria de la seguridad ha enfatizado la importancia de las contraseñas seguras. Algunas investigaciones recientes de Home Security Heroes muestran claramente el valor de ese consejo.
Usando inteligencia artificial, el equipo del sitio web de información y revisiones de seguridad del hogar descifró contraseñas en el rango de cuatro a siete caracteres, ya sea instantáneamente o en cuestión de minutos, incluso cuando las contraseñas contenían una combinación de números, letras mayúsculas y minúsculas, y simbolos
Después de ingresar más de 15,6 millones de contraseñas en un descifrador de contraseñas impulsado por IA llamado PassGAN, los investigadores concluyeron que es posible descifrar el 51% de las contraseñas comunes en un minuto.
Sin embargo, el software de IA falló con contraseñas más largas. Una contraseña de solo números de 18 caracteres tardaría al menos 10 meses en descifrarse, y una contraseña con números, letras mayúsculas y minúsculas y símbolos tardaría seis quintillones de años en descifrarse.
Sobre los héroes de la seguridad en el hogar sitio weblos investigadores explicaron que PassGAN utiliza una red antagónica generativa (GAN) para aprender de forma autónoma la distribución de contraseñas reales a partir de filtraciones de contraseñas reales y producir contraseñas realistas que los piratas informáticos pueden explotar.
“Los algoritmos de IA se someten constantemente a pruebas A/B entre sí millones de veces para estimular el aprendizaje, lo que les permite poseer aparentemente la suma del conocimiento humano con microchips más de 100 000 veces más rápido que el cerebro humano”, explicó Domingo Guerra, vicepresidente ejecutivo. de confianza para Tecnologías Incodeuna empresa internacional de verificación de identidad y autenticación biométrica.
“En comparación con los algoritmos tradicionales de fuerza bruta con capacidad limitada, la IA predice la próxima cifra más probable en función de todo lo que ha aprendido”, dijo a TechNewsWorld. “En lugar de buscar conocimiento externamente, se apoya en los patrones que ha construido durante su entrenamiento para exhibir un comportamiento cuestionado rápidamente”.
Escéptico de la IA
Sobre la base de lo que se ha revelado públicamente, la IA utiliza técnicas similares a los ataques de mesa arco iris en lugar de simplemente forzar una contraseña por fuerza bruta, observó Dustin Childs, jefe de concienciación sobre amenazas en Tendencia MicroIniciativa de Día Cero. Los piratas informáticos usan tablas de arco iris para traducir contraseñas codificadas en texto sin formato.
“La tabla del arco iris permite que la IA realice una búsqueda simple y compare operaciones con una contraseña codificada en lugar de un ataque de fuerza bruta más lento”, dijo a TechNewsWorld.
“Los ataques de la tabla Rainbow se han reconocido durante años y se ha demostrado que descifran incluso contraseñas de 14 caracteres en menos de cinco minutos”, agregó. “Los algoritmos hash más antiguos, como MD5 y SHA-1, también son más susceptibles a estas formas de ataques”.
La mayoría de los descifrados de contraseñas se realizan primero encontrando una contraseña codificada y luego haciendo comparaciones con eso, explicó Robert Hughes, director de seguridad de la información en RSAuna empresa de ciberseguridad en Bedford, Massachusetts.
“En teoría”, continuó, “una IA podría aprender más información sobre un tema y usarla para hacerlo de manera inteligente, pero eso no está probado en la práctica”.
“Los equipos de seguridad han estado compitiendo con la fuerza bruta y las tablas de arcoíris durante años”, dijo. “De hecho, el modelo PassGAN AI no funciona significativamente más rápido que otros que aprovechan los actores de amenazas”.
Limitaciones de la IA
Roger Grimes, un evangelista de defensa en SaberBe4un proveedor de capacitación en concientización sobre seguridad en Clearwater, Florida, tampoco está convencido de que la IA pueda descifrar contraseñas más rápido que los métodos tradicionales.
«Posiblemente pueda, y ciertamente podrá hacerlo en el futuro», dijo a TechNewsWorld, «pero nadie me ha mostrado una prueba definitiva de ninguno de los sistemas de inteligencia artificial actuales que descifran contraseñas más rápido que la adivinación y el descifrado de contraseñas tradicionales que no son de inteligencia artificial. métodos.»
“A medida que más y más personas usen administradores de contraseñas, que crean contraseñas verdaderamente aleatorias, la IA no tendrá ninguna ventaja sobre cualquier descifrado tradicional de contraseñas cuando las contraseñas involucradas sean realmente aleatorias, como ya deberían ser”, agregó.
Los expertos en seguridad señalan algunas limitaciones en el uso de IA para descifrar contraseñas. El poder de computación puede ser un desafío, por ejemplo. “Las contraseñas más largas y complejas tardan mucho tiempo en descifrarse, incluso por IA”, dijo Childs.
“Tampoco está claro cómo le iría a la IA frente a los mecanismos de salazón utilizados en algunos algoritmos de hashing”, señaló.
También hay una gran diferencia entre generar cantidades masivas de conjeturas de contraseñas y poder ingresar esas conjeturas en un escenario del mundo real, agregó John Gunn, director ejecutivo de Simbólicoun fabricante de un anillo de autenticación portátil basado en biometría en Rochester, NY
“La mayoría de las aplicaciones y sistemas tienen un bajo número de entradas incorrectas antes de bloquear al hacker, y la IA no cambia eso”, dijo a TechNewsWorld.
Largo adiós a las contraseñas
Por supuesto, nadie tendría que preocuparse por el descifrado de contraseñas por parte de la IA si no hubiera contraseñas que descifrar. Eso, a pesar de las predicciones anuales sobre el fin de las contraseñas, no parece posible, al menos a corto plazo.
“Con el tiempo, es probable que simplifiquemos la molestia de la administración de contraseñas al eliminar el engorroso proceso manual de memorizar e ingresar largas filas de números y letras para obtener acceso”, observó Darren Guccione, director ejecutivo de Seguridad del guardiánuna empresa de gestión de contraseñas y almacenamiento en línea de Chicago.
“Pero dados los miles de millones de dispositivos y sistemas existentes que ya dependen de la seguridad de las contraseñas, las contraseñas seguirán estando con nosotros en el futuro previsible”, dijo a TechNewsWorld. “Solo podemos proporcionar protecciones más sólidas para respaldar su uso seguro”.
ANUNCIO
Grimes agregó que ha habido un movimiento para deshacerse de las contraseñas desde fines de la década de 1980. “Hay miles de artículos que predicen la muerte de la contraseña y, sin embargo, décadas después, sigue siendo una lucha”, dijo.
“Si junta todas las soluciones de autenticación sin contraseña, no funcionarán en el 2 % de los sitios y servicios del mundo”, continuó. “Ese es un problema, y eso impide la adopción generalizada”.
“En una buena nota, más personas usan alguna forma de autenticación sin contraseña para iniciar sesión en uno o más sitios y servicios en la actualidad. El porcentaje es más alto que nunca”, señaló.
“Pero mientras el porcentaje total de sitios y servicios se mantenga por debajo del 2%, el ‘punto de inflexión’ para la adopción masiva de autenticación sin contraseña será difícil”, dijo. «Es un problema del huevo y la gallina del mundo real frustrantemente difícil».
Hughes reconoció que los sistemas heredados, así como la confianza de los usuarios y administradores, han frenado el alejamiento de las contraseñas. Sin embargo, agregó: “Eventualmente, el uso de contraseñas se minimizará y se usarán principalmente en lugares donde sean apropiadas o donde los sistemas no puedan actualizarse para admitir otros métodos, pero aún llevará años dejar de usar contraseñas para la mayoría de las personas y empresas.”
