Een AI-model genaamd PassGAN kan korte wachtwoorden binnen enkele seconden kraken. Maar moet je op je hoede zijn?
AI is in een toenemend aantal industrieën geïnfiltreerd, en daarmee ook in ons dagelijks leven. We hebben er veel meer over gehoord vanwege zaken als OpenAI's ChatGPT, Google Bard en dergelijke. Als je dit niet met opzet hebt gedaan, heb je mogelijk onbewust met AI te maken gehad. Het wordt gebruikt in chatbots op websites en door bedrijven als Google, Apple en Uber om beslissingen te nemen over kaartgegevens.
Een beveiligingsstartup heeft een AI-tool gebruikt om wachtwoorden te kraken en kan dit razendsnel. Dat wil zeggen, als uw wachtwoord niet te ingewikkeld is. Dit is wat u moet weten.
Wat is PassGAN AI?
Het team bij Helden van de huisbeveiliging (HSH) gebruikte een soort AI-neuraal netwerk, het wachtwoordgenererende adversarial netwerk (of PassGAN) genoemd, om wachtwoorden te raden. Om hun AI te trainen, gebruikten ze een dataset die bestond uit gelekte wachtwoorden van de spelsite RockYou.
Dus hoe werkt de PassGAN AI? Een "Generative Network" bedenkt wachtwoorden die waarschijnlijk door gewone mensen zullen worden gebruikt. Vervolgens vergelijkt een "Discriminator Network" het gegenereerde wachtwoord met echte wachtwoorden uit de gelekte gegevens.
Het discriminatornetwerk traint effectief het generatieve netwerk om met betere, nauwkeurigere wachtwoorden te komen. Het is een soort negatieve feedback die neigt naar wachtwoorden die mensen in het algemeen zouden kunnen gebruiken - een soort algemeenheid die in de echte wereld misschien niet erg nuttig is.
Hoe snel kan PassGAN AI wachtwoorden kraken?
Wat het Home Security Heroes-team ontdekte, was dat wachtwoorden van vier, vijf en zes tekens lang konden worden geraden de AI bijna onmiddellijk, zelfs als ze uit een combinatie van letters (hoofdletters en kleine letters), cijfers en symbolen.
Zelfs een zevencijferig wachtwoord met hoofdletters en kleine letters en cijfers (maar geen symbolen) kan volgens dit model binnen een minuut worden gekraakt; terwijl de meest structureel complexe acht- en negencijferige wachtwoorden in respectievelijk zeven uur en twee weken kunnen worden gekraakt. Als uw wachtwoorden overeenkomen met deze ongewenste criteria, is het tijd om te upgraden.
Deze tabel laat zien hoe snel de PassGAN-test van HSH wachtwoorden kan kraken op basis van hun lengte en complexiteit.
Moet u zich zorgen maken over AI die uw wachtwoorden kraakt?
Hoewel dit misschien eng klinkt, bestaan dit soort tools al een tijdje en blijven onze wachtwoorden en logins nog steeds veilig. Dit is gedeeltelijk te wijten aan het feit dat wachtwoordkrakers, zelfs AI-krakers die zichzelf trainen, slechts zo goed zijn als de dataset waarover ze beschikken.
Dit is trouwens niet de eerste keer dat we over PassGAN horen. 2017, Wetenschap.org, de nieuwssite van het tijdschrift Science, berichtte over de destijds nieuwe manier om wachtwoorden te kraken, d.w.z. met behulp van een generatief vijandig netwerk. Vervolgens werd PassGAN gebruikt in combinatie met een programma voor het raden van wachtwoorden, hashCat, en nog steeds alleen slaagde erin om 27 procent van de wachtwoorden uit een gelekte set te raden - geen klein cijfer, maar niet overdreven alarmerend of.
Hoe de mensen van Home Security Heroes precies de kwetsbaarheid van een bepaald wachtwoord meten, wordt niet goed uitgelegd. Of AI zoals PassGAN uw speld in het hooiberg-continuüm van wachtwoorden kan uitkiezen, is niet duidelijk.
Aangezien tools zoals PassGAN al een tijdje bestaan en onze wachtwoorden (nog) niet allemaal door AI zijn bedacht, lijkt het erop dat u zich geen zorgen hoeft te maken dat AI uw wachtwoord raadt; in ieder geval niet snel... als uw wachtwoord relatief complex is.
Hoe veilig zijn uw wachtwoorden?
Via HSH kun je testen hoe sterk je wachtwoord is. Hoewel ze zeggen dat de testwachtwoorden die u invoert volledig privé zijn en nooit worden opgeslagen, raden we toch aan om echte wachtwoorden te overhandigen. Er zijn genoeg van andere hulpmiddelen die u kunt gebruiken om uw wachtwoorden te testen.
Je zou misschien iets soortgelijks kunnen proberen, dat dezelfde logica volgt als je wachtwoord - een hoofdletter hier, een symbool daar - om erachter te komen hoe uw wachtwoord bestand is tegen AI die is gebouwd op een generatief adversarieel netwerktype architectuur.
Dus wat kun je doen aan AI zoals PassGAN? Niet veel. Deze AI-modellen zijn beschikbaar en zullen steeds verfijnder worden (hoewel niet noodzakelijkerwijs 'slimmer') bij elk wachtwoordlek en gecompromitteerde datasetgebeurtenis. De belangrijkste verdediging die je hebt, is een serieus sterk wachtwoord. Je moet weten hoe het moet maak een sterk wachtwoord dat je niet vergeet. Een andere manier om uzelf tegen dit soort bedreigingen te beschermen, is door gebruik meervoudige authenticatie op zoveel mogelijk van uw rekeningen.
Zoals de zaken er momenteel voor staan met AI-modellen en de gegevens waarover ze beschikken, is elk wachtwoord van minimaal 11 tekens lang en bevat cijfers, hoofdletters en kleine letters, evenals symbolen wordt beschouwd als stevig genoeg om te weerstaan kraken. Dus begin daar. Maak een wachtwoord dat lang genoeg is om zelfs de meest verfijnde AI-tools nog eeuwenlang te laten gissen.
Wat biedt de toekomst voor AI-wachtwoordkraken?
Echt, wie weet? Kunstmatige intelligentie gaat altijd met sprongen vooruit. Laat de allernieuwste technologie over aan de kenners. Maar tegelijkertijd de ogen niet sluiten voor de ontwikkelingen. En doe je voordeuren op slot.
