Im Zeitalter von KI und maschinellem Lernen können selbstlernende Modelle wie PassGAN das Knacken von Passwörtern einfacher und schneller machen als herkömmliche Tools zum Knacken von Passwörtern. Organisationen, die noch Passwörter verwenden, sind gefährdet.
Was kommt Ihnen in den Sinn, wenn Sie qwerty, 123456, iloveyou hören?
Wenn Sie vermutet haben, dass dies einige der häufigsten Passwörter sind, die bei Sicherheitsverletzungen entdeckt wurden, liegen Sie richtig. Passwort-Cracking-Tools wie John the Ripper oder Hashcat ermöglichen es böswilligen Akteuren, Milliarden von Passwörtern pro Sekunde gegen Passwort-Hashes zu prüfen. Diese Tools ermöglichen es, menschliche Denkweisen wie Verkettung (z. B. Hinzufügen von 123 zu Passwort, um password123 zu generieren) und Leet-Speak (Umwandlung des Wortes leetspeak in 13375p34k) zu verwenden, um Regeln zu erstellen, die Passwörter erraten. Da die meisten Menschen vorhersehbar sind, dazu neigen, Passwörter wiederzuverwenden, und vorhersehbar sind, können diese modernen Tools zum Erraten von Passwörtern Passwörter schneller knacken als zuvor.
PassGAN
PassGAN ist ein neues Tool, das von Forschern entwickelt wurde, die neuronale Netze trainiert haben mit Datensätzen aus Passwortverletzungen (Beispiel: RockYou), das bessere Passwörter generieren kann als Tools wie John the Ripper und Hashcat.
Mithilfe des Generative Adversarial Network (GAN) lernt PassGAN die Passwörter aus tatsächlichen Passwortlecks und generiert bessere Passwortvermutungen, ohne vorherige Kenntnisse der Passwortstrukturen zu haben.
Es verwendet zwei neuronale Netze; ein neuronales Netz generiert Daten (bekannt als Generator), und das andere neuronale Netz gibt Feedback (bekannt als Diskriminator).
Der Generator erzeugt neue Daten mit der Absicht, dass der Diskriminator sie nicht identifizieren kann. Der Diskriminator bewertet, ob die generierten Passwörter „echt“ (im trainierten Datensatz vorhanden) oder „falsch“ (neu generierte Passwörter) sind. Diese neuronalen Netze können mehrere unbeaufsichtigte Iterationen durchlaufen, bis ein neuronales Netz bessere „Fälschungen“ erstellen kann und das andere neuronale Netz erkennen kann, ob die Daten „echt“ sind oder nicht.
Eine Analogie aus der realen Welt wäre, wenn Kriminelle Falschgeld herstellen und staatliche Nachrichtendienste versuchen, Falschgeld von echtem Geld zu unterscheiden. Kriminelle versuchen, ihr Handwerk zu verbessern, bis Falschgeld nicht mehr identifiziert werden kann.
Wie sich PassGAN unterscheidet
Bei herkömmlichen Tools zum Erraten von Passwörtern hängt die Anzahl der generierten eindeutigen Passwörter von der Anzahl der von menschlichen Akteuren definierten Regeln und der Größe des Datensatzes mit kompromittierten Passwörtern ab.
Im Gegensatz dazu kann PassGAN praktisch beliebig viele Passwort-Vermutungen ohne menschliches Zutun generieren, und die Anzahl der Passwortübereinstimmungen steigt stetig mit der Anzahl der generierten Passwörter.
Laut den Experimenten des Forschers kann PassGAN zwischen 51 % und 73 % mehr eindeutige Passwörter erraten als die Passwörter aus dem Hashcat-Tool. Darüber hinaus konnte PassGAN, als es mit spezifischen Stichproben aus dem RockYou-Datensatz trainiert wurde, 21,9 % der Passwörter aus dem LinkedIn-Datenleck abgleichen.
Organisationen, die Passwörter verwenden, sind gefährdet
Laut dem Bericht Psychology of Passwords, der 2022 von LastPass veröffentlicht wurde, verwenden 62 % der Mitarbeiter dasselbe Passwort oder Variationen persönlicher Passwörter, und nur 33 % der Benutzer erstellen starke Passwörter für ihre Arbeitskonten.
Benutzer, die Passwörter oder Variationen von persönlichen E-Mail- oder Social-Media-Konten wiederverwenden, können ein großes Risiko für die Organisation darstellen. Dies erhöht die Wahrscheinlichkeit, dass ein Konto durch Passwort-Erratungswerkzeuge wie PassGAN aufgrund schlechter Passwortpraktiken kompromittiert wird.
Bösartige Akteure verbessern ihre Chancen, indem sie mehrere Passwort-Erratungswerkzeuge verwenden. Angreifer können die regelbasierten Passwort-Erratungswerkzeuge für eine schnellere Passwortgenerierung zusammen mit maschinellen Lernwerkzeugen kombinieren, um eine größere Anzahl von Vermutungen zu generieren, um dann die Anzahl der erratenen Passwörter zu maximieren und bessere Passwortübereinstimmungen zu erzielen.
Passwortlose Lösungen zur Rettung
In diesem Zeitalter der KI und des maschinellen Lernens wird das Erraten von Passwörtern durch Tools wie PassGAN einfacher und schneller. Da der Mensch das schwächste Glied in der Sicherheitskette des Unternehmens ist (in Bezug auf Passwörter), müssen sich Unternehmen auf die Bereitstellung passwortloser Lösungen konzentrieren, um ihre Sicherheit zu verbessern und sicher zu bleiben.
Okta FastPassTM ist eine passwortlose Lösung, die eine passwortlose Authentifizierung ermöglicht und die Wahrscheinlichkeit einer Datenschutzverletzung aufgrund kompromittierter Anmeldedaten reduziert.
Okta FastPass bietet Benutzern eine passwortlose Erfahrung und sicheren Zugriff auf vertrauenswürdige Anwendungen. Okta FastPass verwendet Public-Key-Kryptographie, um den Benutzer zu authentifizieren, wodurch die Verwendung von Passwörtern und die damit verbundenen Risiken eliminiert werden. Okta FastPass kann auch in geräteinterne Authentifizierungsfunktionen wie Windows Hello, Apple Touch ID und Apple Face ID integriert werden, um die biometrische Authentifizierung zu unterstützen.
Um mehr über Okta FastPass zu erfahren, lesen Sie dieses Okta Fastpass Technical Whitepaper. Besuchen Sie https://www.okta.com/fastpass für weitere Produktinformationen und zur Kontaktaufnahme mit unserem Vertriebsteam.
Face ID und Touch ID sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern. Windows Hello ist eine Marke der Microsoft-Unternehmensgruppe.
