Pesquisadores usam IA para quebrar senhas simples instantaneamente

password cracking with AI

Durante anos, o setor de segurança enfatizou a importância de senhas fortes. Algumas pesquisas recentes da Home Security Heroes mostram claramente o valor desse conselho.

Usando inteligência artificial, a equipe do site de informações e análises de segurança doméstica quebrou senhas na faixa de quatro a sete caracteres instantaneamente ou em questão de minutos – mesmo quando as senhas continham uma mistura de números, letras maiúsculas e minúsculas, e símbolos.

Depois de alimentar mais de 15,6 milhões de senhas em um cracker de senhas com inteligência artificial chamado PassGAN, os pesquisadores concluíram que é possível quebrar 51% das senhas comuns em um minuto.

No entanto, o software AI vacilou contra senhas mais longas. Uma senha apenas numérica de 18 caracteres levaria pelo menos 10 meses para ser decifrada, e uma senha desse tamanho com números, letras maiúsculas e minúsculas e símbolos levaria seis quintilhões de anos para ser decifrada.

Sobre os heróis da segurança doméstica local na rede Internetos pesquisadores explicaram que o PassGAN usa uma rede adversária generativa (GAN) para aprender autonomamente a distribuição de senhas reais de vazamentos de senhas reais e produzir senhas realistas que os hackers podem explorar.

“Os algoritmos de IA são constantemente testados A/B uns contra os outros milhões de vezes para estimular o aprendizado, permitindo que ele aparentemente possua a soma do conhecimento humano com microchips mais de 100.000 vezes mais rápido que o cérebro humano”, explicou Domingo Guerra, vice-presidente executivo de confiança para Tecnologias Incodeuma empresa internacional de verificação de identidade e autenticação biométrica.

“Comparado aos algoritmos tradicionais de força bruta com capacidade limitada, a IA prevê o próximo número mais provável com base em tudo o que aprendeu”, disse ele ao TechNewsWorld. “Em vez de buscar conhecimento externamente, ele se apóia nos padrões que construiu durante seu treinamento para exibir um comportamento questionado rapidamente.”

Cético em relação à IA

Com base no que foi divulgado publicamente, a IA usa técnicas semelhantes aos ataques de tabela de arco-íris, em vez de simplesmente forçar uma senha, observou Dustin Childs, chefe de conscientização de ameaças da Trend MicroIniciativa Dia Zero. Os hackers usam tabelas de arco-íris para traduzir senhas com hash em texto sem formatação.

“A tabela do arco-íris permite que a IA faça pesquisas simples e compare operações em uma senha com hash, em vez de um ataque de força bruta mais lento”, disse ele ao TechNewsWorld.

“Os ataques à tabela Rainbow são reconhecidos há anos e demonstraram quebrar até mesmo senhas de 14 caracteres em menos de cinco minutos”, acrescentou. “Algoritmos de hash mais antigos, como MD5 e SHA-1, também são mais suscetíveis a essas formas de ataques”.


A maioria das quebras de senhas é feita primeiro encontrando uma senha com hash e depois fazendo comparações com ela, explicou Robert Hughes, diretor de segurança da informação da RSAuma empresa de segurança cibernética em Bedford, Massachusetts.

“Em teoria”, continuou ele, “uma IA poderia aprender mais informações sobre um assunto e usá-las para fazer isso de maneira inteligente, mas isso não é comprovado na prática”.

“As equipes de segurança lutam contra a força bruta e as tabelas de arco-íris há anos”, disse ele. “Na verdade, o modelo PassGAN AI não funciona significativamente mais rápido do que outros que os agentes de ameaças utilizam.”

Limitações da IA

Roger Grimes, um evangelista de defesa da KnowBe4um provedor de treinamento de conscientização de segurança em Clearwater, Flórida, também não está convencido de que a IA possa quebrar senhas mais rapidamente do que os métodos tradicionais.

“Possivelmente pode, e certamente será capaz no futuro”, disse ele ao TechNewsWorld, “mas ninguém me mostrou um teste definitivo de qualquer um dos sistemas de IA de hoje quebrando senhas mais rapidamente do que não IA, adivinhação de senha tradicional e cracking métodos.”

“À medida que mais e mais pessoas usam gerenciadores de senhas, que criam senhas verdadeiramente aleatórias, a IA terá vantagem zero sobre qualquer quebra de senha tradicional quando as senhas envolvidas forem verdadeiramente aleatórias, como já deveriam ser”, acrescentou.

Especialistas em segurança apontam algumas limitações no uso de IA para quebrar senhas. O poder de computação pode ser um desafio, por exemplo. “Senhas mais longas e complexas levam um tempo significativo para serem quebradas – mesmo por IA”, disse Childs.

“Também não está claro como a IA se sairia contra os mecanismos de salga usados ​​em alguns algoritmos de hash”, observou ele.

Também há uma grande diferença entre gerar um grande número de palpites de senha e ser capaz de inserir esses palpites em um cenário do mundo real, acrescentou John Gunn, CEO da Símbolofabricante de um anel de autenticação vestível com base biométrica em Rochester, NY

“A maioria dos aplicativos e sistemas tem um baixo número de entradas erradas antes de bloquear o hacker, e a IA não muda isso”, disse ele ao TechNewsWorld.

Adeus às senhas

Claro, ninguém teria que se preocupar com senhas de quebra de IA se não houvesse senhas para quebrar. Isso, apesar das previsões anuais sobre o fim das senhas, não parece possível, pelo menos no curto prazo.

“Com o tempo, provavelmente simplificaremos o incômodo do gerenciamento de senhas removendo o desajeitado processo manual de memorização e digitação de longas sequências de numerais e letras para obter acesso”, observou Darren Guccione, CEO da Guardião da Segurançauma empresa de gerenciamento de senhas e armazenamento online em Chicago.

“Mas, considerando os bilhões de dispositivos e sistemas existentes que já dependem da segurança por senha, as senhas ainda estarão conosco no futuro previsível”, disse ele ao TechNewsWorld. “Só podemos fornecer proteções mais fortes para apoiar seu uso seguro.”


Grimes acrescentou que houve um movimento para se livrar das senhas desde o final dos anos 1980. “Existem milhares de artigos prevendo a morte da senha e, mesmo assim, décadas depois, ainda é uma luta”, disse ele.

“Se você juntar todas as soluções de autenticação sem senha, elas não funcionariam em 2% dos sites e serviços do mundo”, continuou ele. “Isso é um problema e está impedindo a adoção generalizada.”

“Em uma nota boa, mais pessoas usam alguma forma de autenticação sem senha para fazer logon em um ou mais sites e serviços hoje. A porcentagem é maior do que nunca”, observou.

“Mas, enquanto a porcentagem total de sites e serviços permanecer abaixo de 2%, o ‘ponto de inflexão’ para a adoção em massa da autenticação sem senha será difícil”, disse ele. “É um problema de galinha e ovo do mundo real frustrantemente difícil.”

Hughes reconheceu que os sistemas legados, bem como a confiança de usuários e administradores, retardaram o afastamento das senhas. No entanto, ele acrescentou: “Eventualmente, o uso de senhas será minimizado e elas serão usadas principalmente em locais onde são apropriadas ou onde os sistemas não podem ser atualizados para suportar outros métodos, mas ainda levará anos para mudar as senhas para maioria das pessoas e empresas.”

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *