Já faz tempo que senhas como “password”, “123456”, “qwerty” entram para listas das mais comuns divulgadas por organizações como Have I Been Pwned?. Embora se tenha consciência de que elas devam ser banidas por vários motivos de segurança, à medida que o poder computacional aumenta e novas tecnologias como inteligência artificial (IA) se tornam mais populares, proteger informações pessoais têm exigido além de 12 caracteres.

Um estudo da empresa de segurança cibernética Home Security Heroes mostrou quão rápido e fácil uma IA pode quebrar senhas 51% das mais comuns podem ser decifradas em menos de um minuto.

Quebra de senhas se torna mais rápida com IA

Imagem: Shutterstock

Para obter esse e outros resultados, os pesquisadores usaram o PassGAN, um gerador de senhas baseado em Generative Adversarial Network (GAN), um modelo de aprendizagem de máquina que usa duas redes neurais (gerador e discriminador) para aperfeiçoar a precisão das previsões das senhas.

Ao colocar o gerador contra o discriminador, cujo trabalho do segundo é de identificar os dados reais a partir de dados falsos criados pelo primeiro, ambas as redes se beneficiam da constante disputa. Enquanto o gerador melhora continuamente a produção de dados falsos, o discriminador ganha capacidade maior de diferenciar dados reais dos falsos.

Quebra de senhas se torna mais rápida com IA generativa

Imagem: Home Security Heroes

Para gerar exemplos realistas dos quais os usuários podem usar, a IA aprende com vazamentos de senhas reais. Uma das diferenças em relação a outros geradores, é que o PassGAN não depende da análise manual das senhas.

Foram usadas 15 680 000 senhas comuns do conjunto de dados da RockYou para treinar o modelo, excluindo senhas que eram menores que quatro caracteres e maiores que 18 caracteres. Vale lembrar que essas senhas do antigo desenvolvedor de widgets para plataformas de mídias sociais foram expostas em 2009, depois que a empresa foi violada e 32 milhões de usuários foram afetados, uma vez que a empresa armazenava os dados em um banco de dados não criptografado.

De acordo com os pesquisadores da Home Security Heroes, o PassGAN conseguiu quebrar 51% das senhas comuns em menos de um minuto. No entanto, levou mais tempo com senhas mais desafiadoras: 65% em menos de uma hora, 71% em menos de um dia, e até 81% em menos de um mês.

Uma tabela produzida pela Home Security Heroes mostra quanto tempo diferente padrões de senhas são quebradas por um modelo de IA generativa.

# de caracteres apenas números letras minúsculas letras maiúsculas e minúsculas letras maiúsculas, minúsculas, números letras maiúscula, minúscula, números, símbolos
4 Instantaneamente Instantaneamente Instantaneamente Instantaneamente Instantaneamente
5 Instantaneamente Instantaneamente Instantaneamente Instantaneamente Instantaneamente
6 Instantaneamente Instantaneamente Instantaneamente Instantaneamente 4 segundos
7 Instantaneamente Instantaneamente 22 segundos 42 segundos 6 minutos
8 Instantaneamente 3 segundos 19 minutos 48 minutos 7 horas
9 Instantaneamente 1 minuto 11 horas 2 dias 2 semanas
10 Instantaneamente 1 hora 4 semanas 6 meses 5 anos
11 Instantaneamente 23 horas 4 anos 38 anos 356 anos
12 25 segundos 3 semanas 289 anos 2 mil anos 30 mil anos
13 3 minutos 11 meses 16 mi anos 91 mil anos 2 milhões anos
14 36 minutos 49 anos 827 mil anos 9 milhões anos 187 milhões anos
15 5 horas 890 anos 47 milhões anos 613 milhões anos 14 bilhões anos
16 2 dias 23 mil anos 2 bilhões anos 26 bilhões anos 1 trilhão anos
17 3 semanas 812 mil anos 539,72 milhões anos 2 trilhões anos 95 trilhões anos
18 10 meses 22 milhões anos 7,23 bilhões anos 96 trilhões anos 6 quadrilhões anos

IAs aceleram quebra de senhas

Em 2021, a Statista compartilhou dados de um estudo da Security.org sobre a segurança de senhas. Um dos exemplos usados, com oito caracteres com uma letra maiúscula, levou 22 minutos com ataque de força bruta — um aumento de mais de 1 000% em relação ao mesmo padrão, com todos os caracteres minúsculos. No caso do PassGAN, esse mesmo exemplo seria descoberto em 19 minutos, três minutos a menos em relação a um programa de computador encarregado de quebrá-la sistematicamente.

Quebra de senhas se torna mais rápida com IA generativa

Imagem: Statista

Em outro exemplo, ao usar pelo menos uma letra maiúscula e um número, uma senha de oito caracteres levaria uma hora para ser decifrada pelo computador, enquanto com a IA, esse tempo é reduzido para 48 minutos. 

Minha senha foi quebrada em 2 semanas. O que devo fazer?

A resposta é substituí-la por uma que demore mais tempo para ser identificada. No blog KaBuM!, já falamos sobre algumas dicas, mas vale relembrá-las com base no novo estudo e diretrizes da Home Security Heroes.

Como é possível observar na tabela, uma senha de 10 caracteres formada por apenas números e letras maiúsculas é quebrada em apenas uma hora pelo PassGAN.

Ao adicionar letras maiúsculas, números, símbolos, observe que o desafio para IA aumenta, demandando mais tempo para a quebra, que será de cinco anos.

No entanto, isso não é o bastante para salvaguardar a integridade das senhas. A empresa de cibergurança recomenda que o usuário crie uma senha com pelo menos 15 caracteres com padrão forte, ou seja,  combinando duas letras maiúsculas e minúsculas no mínimo com números e símbolos.

Para decodificar as senhas com esse padrão, serão necessários 14 bilhões de anos. Contudo, isso não quer dizer que não seja mais necessário atualizá-la. Pelo contrário, a recomendação da Home Security é de que seja entre três a seis meses. Em adição, evite usar a mesma senha para contas diferentes.

No site, a Home Security Heroes oferece um password checker, no qual é possível testar as próprias senhas para verificar quanto tempo a IA levaria para quebrá-la. “As entradas são completamente privadas e nunca serão salvas e compartilhadas de forma alguma”, garante a empresa.

Quebra de senhas se torna mais rápida com IA generativa

Imagem: Home Security Heroes

 

Via Tom’s Hardware

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Inscrever-se
Notificar de
0 Comentários
Feedbacks embutidos
Ver todos os comentários