Quebra de senhas se torna mais rápida com IA generativa
Gerador de senhas baseado em um modelo de machine learning levou pequena vantagem em relação a ataque de força brutaBy - Liliane Nakagawa, 10 abril 2023 às 20:47
Já faz tempo que senhas como “password”, “123456”, “qwerty” entram para listas das mais comuns divulgadas por organizações como Have I Been Pwned?. Embora se tenha consciência de que elas devam ser banidas por vários motivos de segurança, à medida que o poder computacional aumenta e novas tecnologias como inteligência artificial (IA) se tornam mais populares, proteger informações pessoais têm exigido além de 12 caracteres.
Um estudo da empresa de segurança cibernética Home Security Heroes mostrou quão rápido e fácil uma IA pode quebrar senhas — 51% das mais comuns podem ser decifradas em menos de um minuto.
Imagem: Shutterstock
Para obter esse e outros resultados, os pesquisadores usaram o PassGAN, um gerador de senhas baseado em Generative Adversarial Network (GAN), um modelo de aprendizagem de máquina que usa duas redes neurais (gerador e discriminador) para aperfeiçoar a precisão das previsões das senhas.
Ao colocar o gerador contra o discriminador, cujo trabalho do segundo é de identificar os dados reais a partir de dados falsos criados pelo primeiro, ambas as redes se beneficiam da constante disputa. Enquanto o gerador melhora continuamente a produção de dados falsos, o discriminador ganha capacidade maior de diferenciar dados reais dos falsos.
Imagem: Home Security Heroes
Para gerar exemplos realistas dos quais os usuários podem usar, a IA aprende com vazamentos de senhas reais. Uma das diferenças em relação a outros geradores, é que o PassGAN não depende da análise manual das senhas.
Foram usadas 15 680 000 senhas comuns do conjunto de dados da RockYou para treinar o modelo, excluindo senhas que eram menores que quatro caracteres e maiores que 18 caracteres. Vale lembrar que essas senhas do antigo desenvolvedor de widgets para plataformas de mídias sociais foram expostas em 2009, depois que a empresa foi violada e 32 milhões de usuários foram afetados, uma vez que a empresa armazenava os dados em um banco de dados não criptografado.
De acordo com os pesquisadores da Home Security Heroes, o PassGAN conseguiu quebrar 51% das senhas comuns em menos de um minuto. No entanto, levou mais tempo com senhas mais desafiadoras: 65% em menos de uma hora, 71% em menos de um dia, e até 81% em menos de um mês.
Uma tabela produzida pela Home Security Heroes mostra quanto tempo diferente padrões de senhas são quebradas por um modelo de IA generativa.
| # de caracteres | apenas números | letras minúsculas | letras maiúsculas e minúsculas | letras maiúsculas, minúsculas, números | letras maiúscula, minúscula, números, símbolos |
|---|---|---|---|---|---|
| 4 | Instantaneamente | Instantaneamente | Instantaneamente | Instantaneamente | Instantaneamente |
| 5 | Instantaneamente | Instantaneamente | Instantaneamente | Instantaneamente | Instantaneamente |
| 6 | Instantaneamente | Instantaneamente | Instantaneamente | Instantaneamente | 4 segundos |
| 7 | Instantaneamente | Instantaneamente | 22 segundos | 42 segundos | 6 minutos |
| 8 | Instantaneamente | 3 segundos | 19 minutos | 48 minutos | 7 horas |
| 9 | Instantaneamente | 1 minuto | 11 horas | 2 dias | 2 semanas |
| 10 | Instantaneamente | 1 hora | 4 semanas | 6 meses | 5 anos |
| 11 | Instantaneamente | 23 horas | 4 anos | 38 anos | 356 anos |
| 12 | 25 segundos | 3 semanas | 289 anos | 2 mil anos | 30 mil anos |
| 13 | 3 minutos | 11 meses | 16 mi anos | 91 mil anos | 2 milhões anos |
| 14 | 36 minutos | 49 anos | 827 mil anos | 9 milhões anos | 187 milhões anos |
| 15 | 5 horas | 890 anos | 47 milhões anos | 613 milhões anos | 14 bilhões anos |
| 16 | 2 dias | 23 mil anos | 2 bilhões anos | 26 bilhões anos | 1 trilhão anos |
| 17 | 3 semanas | 812 mil anos | 539,72 milhões anos | 2 trilhões anos | 95 trilhões anos |
| 18 | 10 meses | 22 milhões anos | 7,23 bilhões anos | 96 trilhões anos | 6 quadrilhões anos |
IAs aceleram quebra de senhas
Em 2021, a Statista compartilhou dados de um estudo da Security.org sobre a segurança de senhas. Um dos exemplos usados, com oito caracteres com uma letra maiúscula, levou 22 minutos com ataque de força bruta — um aumento de mais de 1 000% em relação ao mesmo padrão, com todos os caracteres minúsculos. No caso do PassGAN, esse mesmo exemplo seria descoberto em 19 minutos, três minutos a menos em relação a um programa de computador encarregado de quebrá-la sistematicamente.
Imagem: Statista
Em outro exemplo, ao usar pelo menos uma letra maiúscula e um número, uma senha de oito caracteres levaria uma hora para ser decifrada pelo computador, enquanto com a IA, esse tempo é reduzido para 48 minutos.
Minha senha foi quebrada em 2 semanas. O que devo fazer?
A resposta é substituí-la por uma que demore mais tempo para ser identificada. No blog KaBuM!, já falamos sobre algumas dicas, mas vale relembrá-las com base no novo estudo e diretrizes da Home Security Heroes.
Como é possível observar na tabela, uma senha de 10 caracteres formada por apenas números e letras maiúsculas é quebrada em apenas uma hora pelo PassGAN.
Ao adicionar letras maiúsculas, números, símbolos, observe que o desafio para IA aumenta, demandando mais tempo para a quebra, que será de cinco anos.
No entanto, isso não é o bastante para salvaguardar a integridade das senhas. A empresa de cibergurança recomenda que o usuário crie uma senha com pelo menos 15 caracteres com padrão forte, ou seja, combinando duas letras maiúsculas e minúsculas no mínimo com números e símbolos.
Para decodificar as senhas com esse padrão, serão necessários 14 bilhões de anos. Contudo, isso não quer dizer que não seja mais necessário atualizá-la. Pelo contrário, a recomendação da Home Security é de que seja entre três a seis meses. Em adição, evite usar a mesma senha para contas diferentes.
No site, a Home Security Heroes oferece um password checker, no qual é possível testar as próprias senhas para verificar quanto tempo a IA levaria para quebrá-la. “As entradas são completamente privadas e nunca serão salvas e compartilhadas de forma alguma”, garante a empresa.
Imagem: Home Security Heroes
Via Tom’s Hardware
Comentários