En la era de la IA y el aprendizaje automático, los modelos de autoaprendizaje como PassGAN pueden hacer que descifrar contraseñas sea más fácil y rápido que las herramientas convencionales para descifrar contraseñas. Las organizaciones que aún utilizan contraseñas están en riesgo.
¿Qué te viene a la mente cuando escuchas qwerty, 123456, iloveyou?
Si adivinaste que estas son algunas de las contraseñas comunes descubiertas en las filtraciones, estás en lo correcto. Las herramientas para descifrar contraseñas como John the Ripper o Hashcat permiten a los actores maliciosos comprobar miles de millones de contraseñas por segundo comparándolas con los hashes de las contraseñas. Estas herramientas permiten condiciones de pensamiento humano como la concatenación (como añadir 123 a password para generar password123) y el leet-speak (transformando la palabra leetspeak a 13375p34k) para crear reglas que adivinen las contraseñas. Dado que la mayoría de los humanos son predecibles y tienden a reutilizar contraseñas y son predecibles, estas herramientas modernas para adivinar contraseñas pueden descifrar contraseñas más rápido que antes.
PassGAN
PassGAN, es una nueva herramienta desarrollada por investigadores que entrenaron redes neuronales con conjuntos de datos de filtraciones de contraseñas (ejemplo: RockYou) que puede generar contraseñas mejor que herramientas como John the Ripper y Hashcat.
Usando la Red Generativa Antagónica (GAN), PassGAN aprende las contraseñas de filtraciones de contraseñas reales y genera mejores intentos de adivinación de contraseñas sin tener ningún conocimiento previo de las estructuras de contraseñas.
Utiliza dos redes neuronales; una red neuronal genera datos (conocida como Generador) y la otra red neuronal proporciona retroalimentación (conocida como Discriminador).
El Generador genera nuevos datos con la intención de que el Discriminador no pueda identificarlos. El Discriminador evalúa si las contraseñas generadas son "reales" (presentes en el conjunto de datos entrenado) o "falsas" (contraseñas recién generadas). Estas redes neuronales pueden ejecutarse a través de múltiples iteraciones sin supervisión hasta que una red neuronal pueda crear mejores "falsificaciones" y la otra red neuronal pueda identificar si los datos son "reales" o no.
Una analogía del mundo real podría ser la de malos actores produciendo moneda falsa y agencias de inteligencia gubernamentales tratando de distinguir la moneda falsa de la moneda real. Los malos actores intentan mejorar su oficio hasta que la moneda falsa no pueda ser identificada.
Cómo PassGAN es diferente
Con las herramientas convencionales de adivinación de contraseñas, el número de contraseñas únicas generadas depende del número de reglas definidas por actores humanos y el tamaño del conjunto de datos de contraseñas vulneradas.
Por el contrario, PassGAN puede generar prácticamente cualquier número de intentos de adivinación de contraseñas sin intervención humana, y el número de coincidencias de contraseñas aumenta constantemente con el número de contraseñas generadas.
Según los experimentos del investigador, PassGAN puede adivinar entre un 51% y un 73% más de contraseñas únicas que las contraseñas de la herramienta Hashcat. Además de esto, cuando PassGAN fue entrenado en muestras específicas del conjunto de datos RockYou, fue capaz de coincidir con el 21.9% de las contraseñas de la filtración de LinkedIn.
Las organizaciones que utilizan contraseñas están en riesgo
De acuerdo con el informe de Psicología de las Contraseñas publicado por LastPass en 2022, el 62% de los empleados usan la misma contraseña o variaciones de contraseñas personales, y solo el 33% de los usuarios crean contraseñas seguras para sus cuentas de trabajo.
Los usuarios que reutilizan contraseñas o variaciones de cuentas personales de correo electrónico o redes sociales pueden representar un gran riesgo para la organización. Esto aumenta la probabilidad de que una cuenta se vea comprometida por herramientas de adivinación de contraseñas como PassGAN debido a malas prácticas de contraseñas.
Los malos actores están mejorando sus posibilidades mediante el uso de múltiples herramientas para adivinar contraseñas. Los adversarios pueden combinar las herramientas de adivinación de contraseñas basadas en reglas para una generación de contraseñas más rápida, junto con herramientas basadas en aprendizaje automático, para generar un mayor número de conjeturas, para luego maximizar el número de contraseñas adivinadas y lograr mejores coincidencias de contraseñas.
Soluciones sin contraseña al rescate
En esta era de la IA y el aprendizaje automático, adivinar contraseñas será más fácil y rápido a través de herramientas como PassGAN. Dado que los humanos son el eslabón más débil en la seguridad de la organización (con respecto a las contraseñas), las organizaciones deben centrarse en implementar soluciones sin contraseña para mejorar su postura de seguridad y mantenerse seguros.
Okta FastPassTM es una solución sin contraseña que permite la autenticación sin contraseña y reduce la probabilidad de violación de datos debido a credenciales comprometidas.
Okta FastPass brinda a los usuarios una experiencia sin contraseña y acceso seguro a aplicaciones confiables. Okta FastPass utiliza criptografía de clave pública para autenticar al usuario, eliminando así el uso de contraseñas y los riesgos asociados con ellas. Okta FastPass también se puede integrar con autenticadores integrados en el dispositivo, como Windows Hello, Apple Touch ID y Apple Face ID, para admitir la autenticación biométrica.
Para obtener más información sobre Okta FastPass, consulte este Okta Fastpass Technical Whitepaper. Visite https://www.okta.com/fastpass para obtener más información del producto y ponerse en contacto con nuestro equipo de ventas.
Face ID y Touch ID son marcas comerciales de Apple Inc., registradas en EE. UU. y otros países. Windows Hello es una marca comercial del grupo de empresas de Microsoft.
