Na era da IA e do aprendizado de máquina, os modelos de autoaprendizagem como o PassGAN podem tornar a quebra de senhas mais fácil e rápida do que as ferramentas convencionais de quebra de senhas. As organizações que ainda usam senhas estão em risco.
O que vem à sua mente quando você ouve qwerty, 123456, eu te amo?
Se você adivinhou que estas são algumas das senhas comuns mais descobertas em violações, você está certo. Ferramentas de quebra de senha como John the Ripper ou Hashcat permitem que agentes maliciosos verifiquem bilhões de senhas por segundo em relação aos hashes de senha. Essas ferramentas habilitam condições de pensamento humano como concatenação (como adicionar 123 à senha para gerar password123) e leet-speak (transformando a palavra leetspeak em 13375p34k) para criar regras que adivinham senhas. Como a maioria dos humanos é previsível, tende a reutilizar senhas e é previsível, essas ferramentas de adivinhação de senhas da nova era podem quebrar senhas mais rapidamente do que antes.
PassGAN
PassGAN, é uma nova ferramenta desenvolvida por pesquisadores que treinaram redes neurais com conjuntos de dados de violações de senha (exemplo: RockYou) que pode gerar senhas melhores do que ferramentas como John the Ripper e Hashcat.
Usando a Rede Generativa Adversarial (GAN), o PassGAN aprende as senhas de vazamentos de senhas reais e gera palpites de senhas superiores sem ter nenhum conhecimento prévio das estruturas de senhas.
Ele usa duas redes neurais; uma rede neural gera dados (conhecida como Generator) e a outra rede neural fornece feedback (conhecida como Discriminator).
O Generator gera novos dados com a intenção de que o Discriminator não consiga identificá-los. O Discriminator avalia se as senhas geradas são “reais” (presentes no conjunto de dados treinado) ou “falsas” (senhas recém-geradas). Essas redes neurais podem passar por várias iterações não supervisionadas até que uma rede neural possa criar “falsificações” melhores e a outra rede neural possa identificar se os dados são “reais” ou não.
Uma analogia do mundo real poderia ser agentes maliciosos produzindo moeda falsa e agências de inteligência governamentais tentando distinguir moeda falsa de moeda real. Agentes maliciosos tentam melhorar seu ofício até que a moeda falsa não possa ser identificada.
Como o PassGAN é diferente
Com as ferramentas convencionais de adivinhação de senhas, o número de senhas únicas geradas depende do número de regras definidas por atores humanos e do tamanho do conjunto de dados de senhas violadas.
Em contraste, o PassGAN pode gerar praticamente qualquer número de tentativas de senha sem intervenção humana, e o número de correspondências de senha aumenta constantemente com o número de senhas geradas.
De acordo com os experimentos do pesquisador, o PassGAN pode adivinhar entre 51% a 73% mais senhas exclusivas do que as senhas da ferramenta Hashcat. Além disso, quando o PassGAN foi treinado em amostras específicas do conjunto de dados RockYou, ele conseguiu corresponder a 21,9% das senhas da violação do LinkedIn.
Organizações que usam senhas estão em risco
De acordo com o relatório Psychology of Passwords publicado pela LastPass em 2022, 62% dos funcionários usam a mesma senha ou variações de senhas pessoais, e apenas 33% dos usuários criam senhas fortes para suas contas de trabalho.
Usuários que reutilizam senhas ou variações de contas de e-mail pessoal ou mídia social podem representar um grande risco para a organização. Isso aumenta a probabilidade de uma conta ser comprometida por ferramentas de adivinhação de senhas como o PassGAN devido a práticas de senha deficientes.
Atores mal-intencionados estão melhorando suas chances usando várias ferramentas de adivinhação de senhas. Os adversários podem combinar as ferramentas de adivinhação de senhas baseadas em regras para geração de senhas mais rápida, juntamente com ferramentas baseadas em aprendizado de máquina, para gerar um número maior de palpites, para então maximizar o número de senhas adivinhadas e obter melhores correspondências de senhas.
Soluções sem senha para o resgate
Nesta era de IA e aprendizado de máquina, a adivinhação de senhas se tornará mais fácil e rápida por meio de ferramentas como o PassGAN. Com os humanos sendo o elo mais fraco na segurança da organização (com relação às senhas), as organizações devem se concentrar na implantação de soluções sem senha para melhorar sua postura de segurança e permanecer seguras.
Okta FastPassTM é uma solução sem senha que permite a autenticação sem senha e reduz a probabilidade de violação de dados devido a credenciais comprometidas.
Okta FastPass fornece aos usuários uma experiência sem senha e acesso seguro a aplicativos confiáveis. Okta FastPass usa criptografia de chave pública para autenticar o usuário, eliminando assim o uso de senhas e os riscos associados a elas. Okta FastPass também pode se integrar com autenticadores integrados ao dispositivo, como Windows Hello, Apple Touch ID e Apple Face ID para oferecer suporte à autenticação biométrica.
Para saber mais sobre o Okta FastPass, confira este Okta Fastpass Technical Whitepaper. Visite https://www.okta.com/fastpass para obter mais informações sobre o produto e entrar em contato com nossa equipe de vendas.
Face ID e Touch ID são marcas registradas da Apple Inc., registradas nos EUA e em outros países. Windows Hello é uma marca registrada do grupo de empresas Microsoft.
