En AI-modell som heter PassGAN kan knäcka korta lösenord på några sekunder. Men behöver du vara försiktig?
AI har infiltrerat ett ökande antal branscher, och med det våra dagliga liv. Vi har hört mycket mer om det på grund av saker som OpenAIs ChatGPT, Google Bard och liknande. Om du inte har gjort det med flit kan du ha interagerat med AI omedvetet – det används i webbchatbotar och av företag som Google, Apple och Uber för att fatta beslut om kartdata.
En säkerhetsstart har använt ett AI-verktyg för att knäcka lösenord, och det kan göra detta förbluffande snabbt. Det vill säga om ditt lösenord inte är för komplicerat. Här är vad du bör veta.
Vad är PassGAN AI?
Teamet kl Hemsäkerhetshjältar (HSH) använde ett slags AI-neuralt nätverk, kallat lösenordsgenerativa motstridiga nätverk (eller PassGAN), för att gissa lösenord. För att träna sin AI använde de en datamängd som bestod av läckta lösenord från spelsajten RockYou.
Så hur fungerar PassGAN AI? Ett "generativt nätverk" kommer upp med lösenord som sannolikt kommer att användas av vardagligt folk. Sedan jämför ett "Diskrimineringsnätverk" lösenordet som genereras med riktiga lösenord från läckt data.
Diskriminatornätverket tränar effektivt det generativa nätverket att komma med bättre, mer exakta lösenord. Det är en sorts negativ feedback som tenderar mot lösenord som människor i allmänhet kan använda - en sorts allmänhet som kanske inte är särskilt användbar i den verkliga världen.
Hur snabbt kan PassGAN AI knäcka lösenord?
Vad Home Security Heroes-teamet fann var att lösenord som var fyra, fem och sex tecken långa kunde gissas av AI nästan omedelbart, även om de bestod av en kombination av bokstäver (versaler och gemener), siffror och symboler.
Även ett sjusiffrigt lösenord med stora och små bokstäver och siffror (men inga symboler) kunde enligt denna modell knäckas på under en minut; medan de mest strukturellt komplexa åtta- och niosiffriga lösenorden kan knäckas på sju timmar respektive två veckor. Om dina lösenord matchar dessa oönskade kriterier är det dags att uppgradera.
Den här tabellen visar hur snabbt HSH: s PassGAN-test kunde knäcka lösenord baserat på deras längd och komplexitet.
Bör du vara orolig för att AI knäcker dina lösenord?
Även om detta kan låta skrämmande, har verktyg som detta funnits ett tag och våra lösenord och inloggningar är fortfarande säkra. Detta beror delvis på det faktum att lösenordsknäckare, till och med AI-de som tränar sig själva, bara är lika bra som datauppsättningen till deras förfogande.
Det är faktiskt inte första gången vi har hört talas om PassGAN. Under 2017, Science.org, nyhetssajten för tidskriften Science, rapporterade om det då nya sättet att knäcka lösenord, det vill säga att använda ett generativt motståndsnätverk. Sedan användes PassGAN i kombination med ett lösenordsgisningsprogram, hashCat, och fortfarande bara lyckades gissa 27 procent av lösenorden från en läckt uppsättning – inte en liten siffra, men inte alltför alarmerande antingen.
Exakt hur folket på Home Security Heroes mäter sårbarheten för ett visst lösenord är inte särskilt väl förklarat. Huruvida AI som PassGAN kan välja ut din nål i höstackens kontinuum av lösenord är inte klart.
Eftersom verktyg som PassGAN har funnits ett tag nu och alla våra lösenord inte har listats ut av AI (ännu), verkar det som att du inte behöver oroa dig för att AI ska gissa ditt lösenord; åtminstone inte snart... om ditt lösenord är relativt komplicerat.
Hur säkra är dina lösenord?
Du kan testa hur starkt ditt lösenord är via HSH. Även om de säger att testlösenorden du anger är helt privata och aldrig sparade, rekommenderar vi ändå att du överlämnar några riktiga lösenord. Det finns gott om andra verktyg du kan använda för att testa dina lösenord.
Du kan kanske prova något liknande, som följer samma logik som ditt lösenord – en stor bokstav här, en symbol där – för att ta reda på hur ditt lösenord står sig mot AI som bygger på generativ kontradiktorisk nätverkstyp arkitektur.
Så vad kan du göra åt AI som PassGAN? Inte mycket. Dessa AI-modeller finns där ute och kommer att fortsätta att bli mer förfinade (men inte nödvändigtvis "smartare") med varje lösenordsläcka och komprometterad datauppsättningshändelse. Det främsta försvaret du har är ett allvarligt starkt lösenord. Du måste veta hur man gör skapa ett starkt lösenord som du inte kommer att glömma. Ett annat sätt att skydda sig mot hot som detta är att använd multifaktorautentisering på så många av dina konton som möjligt.
Som det ser ut för närvarande med AI-modeller och den data som är tillgänglig för dem, alla lösenord som är minst 11 tecken lång och innehåller siffror, versaler och gemener, samt symboler anses vara biffiga nog att tåla krackning. Så börja där. Skapa ett lösenord tillräckligt länge för att låta även de mest raffinerade AI-verktygen gissa i eoner framöver.
Vad är nästa steg för AI Password-cracking?
Verkligen, vem vet? Artificiell intelligens går alltid framåt med stormsteg. Lämna den senaste tekniken till de som vet. Men blunda inte samtidigt för utvecklingen. Och lås dina ytterdörrar.
