À l'ère de l'IA et de l'apprentissage automatique, les modèles d'auto-apprentissage comme PassGAN peuvent rendre le craquage des mots de passe plus facile et plus rapide que les outils classiques de craquage de mots de passe. Les organisations qui utilisent encore des mots de passe sont en danger.
Qu'est-ce qui vous vient à l'esprit lorsque vous entendez qwerty, 123456, iloveyou ?
Si vous avez deviné qu'il s'agit de certains des mots de passe les plus courants découverts dans les violations de données, vous avez raison. Les outils de craquage de mots de passe comme John the Ripper ou Hashcat permettent aux acteurs malveillants de vérifier des milliards de mots de passe par seconde par rapport aux hachages de mots de passe. Ces outils permettent de simuler des modes de pensée humaine, comme la concaténation (par exemple, ajouter 123 à password pour générer password123) et le langage leet (transformer le mot leetspeak en 13375p34k) afin de créer des règles permettant de deviner les mots de passe. Étant donné que la plupart des humains sont prévisibles, ont tendance à réutiliser les mots de passe et sont prévisibles, ces outils de devinettes de mots de passe modernes peuvent craquer les mots de passe plus rapidement qu'auparavant.
PassGAN
PassGAN est un nouvel outil développé par des chercheurs qui ont entraîné des réseaux neuronaux avec des ensembles de données provenant de violations de mots de passe (exemple : RockYou) qui peuvent générer des mots de passe meilleurs que les outils tels que John the Ripper et Hashcat.
À l’aide du réseau antagoniste génératif (GAN), PassGAN apprend les mots de passe à partir de fuites de mots de passe réels et génère des suppositions de mots de passe supérieures sans avoir aucune connaissance préalable des structures de mots de passe.
Il utilise deux réseaux neuronaux : un réseau neuronal génère des données (appelé Generator), et l'autre réseau neuronal fournit une rétroaction (appelé Discriminator).
Le générateur crée de nouvelles données dans le but que le discriminateur ne puisse pas les identifier. Le discriminateur évalue si les mots de passe générés sont « réels » (présents dans l’ensemble de données entraîné) ou « faux » (mots de passe nouvellement générés). Ces réseaux neuronaux peuvent effectuer plusieurs itérations de manière non supervisée jusqu’à ce qu’un réseau neuronal puisse créer de « faux » éléments de meilleure qualité et que l’autre réseau neuronal puisse identifier si les données sont « réelles » ou non.
Une analogie concrète pourrait être celle de mauvais acteurs produisant de la fausse monnaie et d'agences de renseignement gouvernementales essayant de distinguer la fausse monnaie de la vraie. Les mauvais acteurs essaient d'améliorer leur art jusqu'à ce que la fausse monnaie ne puisse plus être identifiée.
Comment PassGAN est différent
Avec les outils conventionnels de devinettes de mots de passe, le nombre de mots de passe uniques générés dépend du nombre de règles définies par des acteurs humains et de la taille de l'ensemble de données des mots de passe violés.
En revanche, PassGAN peut générer pratiquement n'importe quel nombre de tentatives de mot de passe sans intervention humaine, et le nombre de correspondances de mots de passe augmente régulièrement avec le nombre de mots de passe générés.
Selon les expériences du chercheur, PassGAN peut deviner entre 51 % et 73 % de mots de passe uniques de plus que les mots de passe de l'outil Hashcat. De plus, lorsque PassGAN a été formé sur des échantillons spécifiques de l'ensemble de données RockYou, il a pu faire correspondre 21,9 % des mots de passe de la violation de LinkedIn.
Les organisations qui utilisent des mots de passe sont en danger
Selon le rapport « Psychologie des mots de passe » publié par LastPass en 2022, 62 % des employés utilisent le même mot de passe ou des variations de mots de passe personnels, et seulement 33 % des utilisateurs créent des mots de passe forts pour leurs comptes professionnels.
Les utilisateurs qui réutilisent des mots de passe ou des variations provenant de leurs comptes de messagerie personnels ou de réseaux sociaux peuvent représenter un risque énorme pour l'organisation. Cela augmente la probabilité qu'un compte soit compromis par des outils de devinettes de mot de passe comme PassGAN en raison de mauvaises pratiques en matière de mots de passe.
Les acteurs malveillants améliorent leurs chances en utilisant plusieurs outils de devinettes de mot de passe. Les adversaires peuvent combiner les outils de devinettes de mot de passe basés sur des règles pour une génération de mot de passe plus rapide, ainsi que des outils basés sur l'apprentissage automatique, afin de générer un plus grand nombre de suppositions, puis de maximiser le nombre de mots de passe devinés et d'obtenir de meilleures correspondances de mot de passe.
Des solutions sans mot de passe à la rescousse
En cette ère d'IA et d'apprentissage automatique, le devinage de mots de passe deviendra plus facile et plus rapide grâce à des outils comme PassGAN. Les humains étant le maillon faible de la sécurité de l'organisation (en ce qui concerne les mots de passe), les organisations doivent se concentrer sur le déploiement de solutions sans mot de passe pour améliorer leur posture de sécurité et rester en sécurité.
Okta FastPassTM est une solution sans mot de passe qui permet l'authentification sans mot de passe et réduit la probabilité d'une violation de données due à des informations d'identification compromises.
Okta FastPass offre aux utilisateurs une expérience sans mot de passe et un accès sécurisé aux applications de confiance. Okta FastPass utilise la cryptographie à clé publique pour authentifier l'utilisateur, éliminant ainsi l'utilisation de mots de passe et les risques qui y sont associés. Okta FastPass peut également s'intégrer aux authentificateurs intégrés aux appareils tels que Windows Hello, Apple Touch ID et Apple Face ID pour prendre en charge l'authentification biométrique.
Pour en savoir plus sur Okta FastPass, consultez ce livre blanc technique Okta Fastpass. Visitez https://www.okta.com/fastpass pour plus d'informations sur le produit et pour contacter notre équipe de vente.
Face ID et Touch ID sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays. Windows Hello est une marque commerciale du groupe de sociétés Microsoft.
