Sztuczna inteligencja łamie większość haseł w minutę
Od lat ostrzegano nas „używajcie silnych haseł, żeby być bezpiecznym w internecie”. Okazuje się, że to upomnienie sprawdzało się, ale do chwili, kiedy za łamanie haseł wzięła się sztuczna inteligencja. Firma Home Security Heroes, zajmująca się cyberbezpieczeństwem, przekazała sztucznej inteligencji miliony rzeczywistych haseł, aby zobaczyć, ile czasu zajmie ich złamanie. Odpowiedź spowodowała przerażenie. System był w stanie złamać większość haseł w mniej niż minutę.
Firma Home Security Heroes przeprowadziła ten test za pomocą generatora haseł PassGAN. W przeciwieństwie do większości generatorów haseł, PassGAN wykorzystuje generatywną sieć przeciwstawną (GAN) do uczenia się na podstawie prawdziwych haseł w celu tworzenia nowych. W tym kontekście sieć GAN składa się z dwóch przeciwstawnych sieci neuronowych, generatora i dyskryminatora. Sieć generatorów stworzyła fałszywe dane, a dyskryminator ma za zadanie wybrać prawdziwe dane z morza fałszywych danych. Z biegiem czasu generator i dyskryminator stają się coraz lepsze w tym, co robią, zwiększając efektywność całego modelu.
GramTV przedstawia:
W opisywanym teście PassGAN otrzymał 15 680 000 haseł z zestawu RockYou. W tym miejscu szybkie wyjaśnienie dla niezorientowanych - RockYou był widżetem społecznościowym zhakowanym wiele lat temu, który ujawnił miliony niezaszyfrowanych haseł. Od tego czasu jest to powszechnie używany zestaw danych w badaniach nad bezpieczeństwem. Z testu wykluczono hasła dłuższe niż 18 znaków i krótsze niż cztery. Home Security Heroes twierdzi, że sztuczna inteligencja złamała 51% tych haseł w mniej niż minutę. Te trudniejsze wymagały około godziny pracy. Analizując zbiór danych udało się rozszyfrować 81% haseł w miesiąc.
Dobrą nowiną jest to, że najbardziej niezawodne hasła nadal są funkcjonalnie niemożliwe do złamania. Jednak nie wszystko co wydaje się nam barierą nie do przejścia jest trudne do odgadnięcia dla SI. Autorzy testu poinformowali, że składające się z 10 znaków hasło z cyframi i małymi literami zostałoby złamane w czasie poniżej 1 godziny. Jednak dodanie kolejnej warstwy złożoności za pomocą wielkich liter lub znaków specjalnych zwiększa czas łamania zabezpieczeń do około pięciu lat.
Jakiego hasła używać, żeby było bezpieczne?
Jeśli chcesz mieć pewność, że Twoje hasła nie dadzą się złamać, Home Security Heroes zaleca, aby miały co najmniej 15 znaków. Powinieneś używać kombinacji liter (wielkich i małych), cyfr i znaków specjalnych. Firma zaleca również częstą zmianę haseł. Jeśli wymieniasz ważne hasła co kilka miesięcy, sztuczna inteligencja nie będzie miała czasu na ich złamanie. Jednak zabawa w kotka i myszkę nigdy się nie skończy. W końcu sztuczna inteligencja będzie zdolna rozszyfrować nawet te bardzo złożone hasła. Dlatego firmy technologiczne już pracują nad systemem pozwalającym całkowicie wyeliminować hasła.
Gry, filmy, seriale, komiksy, technologie i różne retro
graty. Lubię także sprawdzać co słychać w kosmosie. Kiedy przytrafia się okazj wyjeżdżam w podróże dalekie lub bliskie i robię tam masę zdjęć.
Same bzdury. Zacznijmy od tego że większość systemów nie pozwoli atakującemu spróbować tylu haseł w krótkim czasie by to było możliwe.
Po drugie, dzisiaj rozsądni ludzie używają 2fa czyli dodatkową autoryzację np. za pomocą telefonu. Czego też nie da się obejść tak łatwo.
Kolejna rzecz - warto używać menedżer haseł. Tylko nie z tych śmiesznych chmurowych. Bo te chmurowe padają co jakiś czas ofiarami ataków i wasze wszystkie hasła atakujący dostaje na talerzu. Coś lokalnego. To ma sprawić że nawet jak ktoś przechwyci hasło z serwisu X to na nic mu ono bo tylko tam je może użyć. A z 2fa czy powiadamianiami o autoryzacji w zasadzie można spać spokojnie.
No i ostatni temat - powód dla którego dużo haseł można łatwo złamać jest banalny - ludzie nadal nie rozumieją jak ważne jest mieć swoje dane zabezpieczone w sieci i używają trywialne hasła. Dlatego atakujący często używają metodę słownikową gdzie sprawdzają najpopularniejsze hasła w pierwszej kolejności.
I później jest śmiech kiedy ktoś jest zdziwiony że jego nie do odgadnięcia hasło zaq!xsw@ zostało złamane.
Fun_g_1_2_3
Gramowicz
13/04/2023 00:03
FromSky napisał:
Jak nie ma się pojęcia o loginie, haśle, jest ono długie i jest blokada błędnych prób logowania to nikt się nie dostanie bo nie jest jasnowidzem
Tylko że w łamaniu haseł chodzi o to że dane z serwera już wyciekły, tylko że hasła na nim są przechowywane w zaszyfrowanej formie i trzeba je przkształcić do pierwotnej formy. Im dłuższe i lepiej zaszyfrowane hasło tym dłużej to trwa i właśnie AI szkoląc sie na parach zaszyfrowanym i normalnym potrafi zgadnąć ten drugi szybciej.
Pisząc to wszystko cały czas zakładałem, że mamy login do konta i jego zaszyfrowane hasło, ale nie mamy klucza szyfrującego.
"Autorzy testu poinformowali, że składające się z 10 znaków hasło z cyframi i małymi literami zostałoby złamane w czasie poniżej 1 godziny. Jednak dodanie kolejnej warstwy złożoności za pomocą wielkich liter lub znaków specjalnych zwiększa czas łamania zabezpieczeń do około pięciu lat."
Superkomputer pracując tylko nad jednym silnym hasłem potrafi osiągnąć dokładnie to samo w krótszym/podobnym czasie.
Artykuł powołuje się na stronę projektu gdzie opublokowali wszystkie dane (link w pierwszym akapicie). Jest na niej pole gdzie możemy wpisać przykładowe hasło i wyświetli ile czasu zajełoby SI jego złamanie. W moim przypadku po wpisaniu hasła, które używałem parę lat temu wyświetliło okres 356 lat.
No i jeszcze kwestia tego, że każda baza powinna mieć inny klucz. Nawet jeśli zdobyto by inną bazę danych to w większości przypadków wcześniejsze obliczenia i tak byłyby praktycznie bezużyteczne.
Mówiąc krótko - nic w kwestii łamania haseł się nie zmieniło. Czy to superkomputer z jednym hasłem czy SI z całą bazą danych, złamanie jednego silnego hasła z 10 znaków to kwestia (uśredniając) co najmniej jednego roku gdzie dłuższe silne hasła to już kilkaset lat :-)
FromSky
Gramowicz
12/04/2023 22:40
Fun_g_1_2_3 napisał:
Tylko czego to dowodzi w kwestii bezpieczeństwa? To całe SI/AI (jak kto tam woli nazywać) jest w stanie wygenerować hasło, które może stosować człowiek, ale nie jest w stanie przypisać go do konkretnego konta.
W takim przypadku gdy nie ma stałej blokady konta po 3 błędnych próbach logowania, a jest np. blokada na 1 godzinę to na przepuszczenie 16 mln haseł SI potrzebowałoby 5333333 godzin co daje jakieś 222222 dni czyli dobre 611 lat, aby włamać się na konto. Normalnie czuję się zagrożony...
Obstawiam, że na dzisiejszy czasy jeden z superkomputerów na świecie byłby w stanie rozszyfrować jedno zaszyfrowane hasło od jednego konkretnego konta w ciągu jakichś 90 dni, ale kogo to interesuje gdy SI może osiągnąć to samo (przy odrobinie szczęścia) w 90 lat :-)
FromSky napisał:
AI jak ze wszystkim innym po prostu zgaduje prawidłowe hasło bazując na tym czego się wcześniej nauczyło i cały czas się uczy, a próbowało miliony razy. W tym wypadku to nie jedno AI a a dwie osobne które cały czas się uczą od siebie nawzajem z astronomiczną dla człowieka intensywnością
Jak nie ma się pojęcia o loginie, haśle, jest ono długie i jest blokada błędnych prób logowania to nikt się nie dostanie bo nie jest jasnowidzem
Tylko że w łamaniu haseł chodzi o to że dane z serwera już wyciekły, tylko że hasła na nim są przechowywane w zaszyfrowanej formie i trzeba je przkształcić do pierwotnej formy. Im dłuższe i lepiej zaszyfrowane hasło tym dłużej to trwa i właśnie AI szkoląc sie na parach zaszyfrowanym i normalnym potrafi zgadnąć ten drugi szybciej.
