Un enfoque de aprendizaje profundo para adivinar contraseñas. Llamado PassGAN - y cuyo código fuente es en un repositorio de Github - esta herramienta, disponible en la línea de comando y ya entrenada previamente en el conjunto de datos de RockYou, sería suficiente para hacer sudar frío a los gerentes de seguridad y TI corporativos. Y con razón, porque según numerosos artículos, este último podría descifrar cualquier código de acceso que contenga hasta siete caracteres, incluidos símbolos y números, en menos de seis minutos. Una tremenda actuación teórica que relegaría al olvido los ataques de fuerza bruta utilizados para romperlos.

De hecho, PassGAN no es nada nuevo ya que su enfoque se describe en el marco de una investigación de febrero de 2019. En ese momento, los cuatro investigadores de seguridad que trabajaron en ello estaban satisfechos: “Creemos que nuestro enfoque de adivinación de contraseñas es revolucionario porque PassGAN genera contraseñas sin la intervención del usuario, lo que no requiere conocimiento de los códigos de acceso ni análisis manual de las filtraciones de la base de datos de contraseñas. Entonces, ¿cómo es posible que un proyecto de hace cuatro años vuelva a estar en primer plano? A investigación de Home Security Heroes realmente explica la situación. Este último utilizó PassGAN para explorar una lista de 15.680.000 contraseñas y explicó que logró descifrar el 51% de las contraseñas comunes en menos de un minuto, el 65% en menos de una hora, el 71% en menos de un día y el 81% en menos. de un mes.

El rendimiento de PassGAN se disparó

“PassGAN representa un avance importante en las técnicas de descifrado de contraseñas. El último enfoque utiliza la Generative Adversarial Network (GAN) para aprender de forma autónoma la distribución de contraseñas reales a partir de filtraciones de contraseñas reales, eliminando la necesidad de un análisis manual de contraseñas. Si bien esto hace que descifrar contraseñas sea más rápido y eficiente, representa una grave amenaza para su seguridad en línea”, advierte Home Security Heroes. “PassGAN puede generar múltiples propiedades de contraseña y mejorar la calidad de las previstas, lo que facilita a los ciberdelincuentes descifrar sus credenciales y acceder a sus datos personales. Por lo tanto, es esencial actualizar periódicamente sus autenticadores para protegerse de esta peligrosa tecnología”.

Entonces, ¿una amenaza real o Home Security Heroes es demasiado? La realidad parece inclinarse hacia el segundo escenario. "PassGAN fue un experimento emocionante que contribuyó al uso de generadores de contraseñas basados ​​en IA, pero su tiempo ya pasó". lo hizo saber Jeremi Gosney, experto en la materia e ingeniero principal de Yahoo. Dice que otro método de red neuronal para adivinar códigos de acceso, introducido en 2016, funciona ligeramente mejor que PassGAN utilizando un modelo de aprendizaje automático conocido como PCFG, abreviatura de probabilístico sin contexto. gramáticas. Este último, sin embargo, no es una panacea: “Aunque sea el principal generador de contraseñas de IA, su cracker está aproximadamente al mismo nivel que los generadores de Markov, lo que no representa una mejora significativa. Refiriéndose a los resultados generales de la herramienta PassGAN implementada por Home Security Heroes, el experto incluso explica que "desafortunadamente, su rendimiento está muy por debajo de las técnicas existentes, incluidos generadores estadísticos como Markov, generadores probabilísticos como PCFG, listas de palabras con reglas de alteración y, para entradas breves, incluso fuerza bruta estúpida”. La IA y la seguridad también van bien juntas a efectos de comunicación.