Los investigadores descifran instantáneamente contraseñas simples con inteligencia artificial

Durante años, la industria de la seguridad ha enfatizado la importancia de contraseñas seguras. Algunas investigaciones recientes de Home Security Heroes muestran claramente el valor de ese consejo.

Utilizando inteligencia artificial, el equipo del sitio web de revisión e información de seguridad del hogar descifró contraseñas en el rango de cuatro a siete caracteres, ya sea instantáneamente o en cuestión de minutos, incluso cuando las contraseñas contenían una combinación de números, letras mayúsculas y minúsculas. y símbolos.

Después de introducir más de 15,6 millones de contraseñas en un descifrador de contraseñas impulsado por inteligencia artificial llamado PassGAN, los investigadores concluyeron que es posible descifrar el 51% de las contraseñas comunes en un minuto.

Sin embargo, el software de inteligencia artificial falló ante contraseñas más largas. Una contraseña compuesta exclusivamente por números de 18 caracteres tardaría al menos 10 meses en descifrarse, y una contraseña de esa longitud con números, letras mayúsculas y minúsculas y símbolos tardaría seis quintillones de años en descifrarse.

En el sitio web Home Security Heroes, los investigadores explicaron que PassGAN utiliza una red generativa adversaria (GAN) para aprender de forma autónoma la distribución de contraseñas reales a partir de filtraciones de contraseñas reales y producir contraseñas realistas que los piratas informáticos puedan explotar.

“Los algoritmos de IA se prueban constantemente A/B entre sí millones de veces para estimular el aprendizaje, permitiéndole aparentemente poseer la suma del conocimiento humano con microchips más de 100.000 veces más rápido que el cerebro humano”, explicó Domingo Guerra, vicepresidente ejecutivo. de confianza para Incode Technologies, una empresa internacional de verificación de identidad y autenticación biométrica.

"En comparación con los algoritmos tradicionales de fuerza bruta con capacidad limitada, la IA predice la próxima cifra más probable basándose en todo lo que ha aprendido", dijo a TechNewsWorld. "En lugar de buscar conocimiento externamente, se apoya en los patrones que ha construido durante su capacitación para exhibir rápidamente un comportamiento cuestionado".

Escéptico ante la IA

Según lo que se ha revelado públicamente, la IA utiliza técnicas similares a los ataques de tabla de arco iris en lugar de simplemente forzar una contraseña por fuerza bruta, observó Dustin Childs, jefe de concientización sobre amenazas en la Iniciativa Día Cero de Trend Micro. Los piratas informáticos utilizan tablas de arcoíris para traducir contraseñas hash a texto sin formato.

"La tabla arcoíris permite a la IA realizar búsquedas simples y comparar operaciones con una contraseña hash en lugar de un ataque de fuerza bruta más lento", dijo a TechNewsWorld.

"Los ataques a la mesa Rainbow han sido reconocidos durante años y se ha demostrado que pueden descifrar incluso contraseñas de 14 caracteres en menos de cinco minutos", añadió. "Los algoritmos hash más antiguos, como MD5 y SHA-1, también son más susceptibles a estas formas de ataques".

La mayor parte del descifrado de contraseñas se realiza encontrando primero una contraseña cifrada y luego haciendo comparaciones con ella, explicó Robert Hughes, director de seguridad de la información de RSA, una empresa de ciberseguridad en Bedford, Massachusetts.

"En teoría", continuó, "una IA podría aprender más información sobre un tema y utilizarla para hacerlo de forma inteligente, pero eso no está probado en la práctica".

“Los equipos de seguridad llevan años lidiando con la fuerza bruta y las mesas de arcoíris”, afirmó. "De hecho, el modelo PassGAN AI no funciona significativamente más rápido que otros que aprovechan los actores de amenazas".

Limitaciones de la IA

Roger Grimes, evangelista de defensa de KnowBe4, un proveedor de capacitación en concientización sobre seguridad en Clearwater, Florida, tampoco está convencido de que la IA pueda descifrar contraseñas más rápido que los métodos tradicionales.

"Posiblemente pueda, y ciertamente podrá hacerlo en el futuro", dijo a TechNewsWorld, "pero nadie me ha mostrado una prueba definitiva de ninguno de los sistemas de inteligencia artificial actuales que descifran contraseñas más rápido que la adivinación y el descifrado de contraseñas tradicionales sin inteligencia artificial". métodos”.

"A medida que más y más personas utilicen administradores de contraseñas, que crean contraseñas verdaderamente aleatorias, la IA no tendrá ninguna ventaja sobre cualquier descifrado de contraseñas tradicional cuando las contraseñas involucradas sean verdaderamente aleatorias, como ya deberían serlo", añadió.

Los expertos en seguridad señalan algunas limitaciones del uso de la IA para descifrar contraseñas. La potencia informática puede ser un desafío, por ejemplo. “Se necesita mucho tiempo para descifrar contraseñas más largas y complejas, incluso mediante IA”, dijo Childs.

"Tampoco está claro cómo se comportaría la IA frente a los mecanismos de salazón utilizados en algunos algoritmos de hash", señaló.

También hay una gran diferencia entre generar una gran cantidad de adivinanzas de contraseñas y poder ingresar esas adivinanzas en un escenario del mundo real, agregó John Gunn, director ejecutivo de Token, un fabricante de un anillo de autenticación portátil basado en biometría en Rochester, Nueva York.

"La mayoría de las aplicaciones y sistemas tienen una cantidad baja de entradas incorrectas antes de bloquear al hacker, y la IA no cambia eso", dijo a TechNewsWorld.

Adiós a las contraseñas

Por supuesto, nadie tendría que preocuparse de que la IA descifre contraseñas si no hubiera contraseñas que descifrar. Eso, a pesar de las predicciones anuales sobre el fin de las contraseñas, no parece posible, al menos a corto plazo.

"Con el tiempo, es probable que agilicemos la molestia de la administración de contraseñas eliminando el complicado proceso manual de memorizar e ingresar largas cadenas de números y letras para obtener acceso", observó Darren Guccione, director ejecutivo de Keeper Security, una empresa de administración de contraseñas y almacenamiento en línea. empresa en Chicago.

"Pero dados los miles de millones de dispositivos y sistemas existentes que ya dependen de la seguridad de las contraseñas, las contraseñas seguirán con nosotros en el futuro previsible", dijo a TechNewsWorld. "Solo podemos brindar protecciones más sólidas para respaldar su uso seguro".

Grimes añadió que ha habido un movimiento para deshacerse de las contraseñas desde finales de los años 1980. "Hay miles de artículos que predicen la muerte de la contraseña y, sin embargo, décadas después, sigue siendo una lucha", dijo.

"Si se juntan todas las soluciones de autenticación sin contraseña, no funcionarían en el 2% de los sitios y servicios del mundo", continuó. "Eso es un problema y está impidiendo una adopción generalizada".

“Lo bueno es que hoy en día cada vez más personas utilizan alguna forma de autenticación sin contraseña para iniciar sesión en uno o más sitios y servicios. El porcentaje es más alto que nunca”, señaló.

"Pero mientras el porcentaje total de sitios y servicios se mantenga por debajo del 2%, el 'punto de inflexión' para la adopción masiva de la autenticación sin contraseña va a ser difícil", afirmó. "Es un problema del huevo y la gallina del mundo real, frustrantemente difícil".

Hughes reconoció que los sistemas heredados, así como la confianza de los usuarios y administradores, han ralentizado el abandono de las contraseñas. Sin embargo, añadió: “Con el tiempo, el uso de contraseñas se minimizará y se utilizarán principalmente en lugares donde sean apropiadas o donde los sistemas no se puedan actualizar para admitir otros métodos, pero todavía llevará años dejar de usar contraseñas para la mayoría de las personas y empresas”.