Se você acha que tem uma senha forte, é hora de pensar novamente. Um novo estudo da Heróis da segurança doméstica (abre em nova aba), uma empresa de segurança cibernética, mostra com que rapidez e facilidade a inteligência artificial (IA) pode quebrar sua senha. As estatísticas mostram que 51% das senhas comuns podem ser quebradas em menos de um minuto.
Os pesquisadores de segurança usaram o PassGAN, um gerador de senhas baseado em uma Generative Adversarial Network (GAN). O PassGAN e outros geradores de senha diferem porque não dependem da análise manual de senha. Por outro lado, o modo PassGAN, como o próprio nome indica, aproveita o GAN para aprender com vazamentos de senhas reais e gerar senhas realistas que você pode usar. Uma GAN é um modelo de aprendizado de máquina (ML) que lança duas redes neurais (geradora e discriminadora) uma contra a outra para melhorar a precisão das previsões.
Resumindo, o gerador produz dados falsos para enganar o discriminador. Enquanto isso, o trabalho do discriminador é identificar os dados reais dos dados falsos criados pelo gerador. Torna-se um jogo de gato e rato onde ambas as redes se beneficiam da disputa constante. O gerador melhora continuamente para construir melhores dados falsos, e o discriminador melhora na diferenciação dos dados reais dos falsos.
Home Security Heroes alimentou o PassGAN com 15.680.000 senhas comuns do conjunto de dados RockYou para treinar o modelo. Para quem nunca ouviu falar do RockYou, era um desenvolvedor de widgets para plataformas populares de mídia social como MySpace ou Facebook. Os hackers violaram o RockYou em 2009, roubando dados de mais de 32 milhões de usuários porque a empresa estava armazenando dados em um banco de dados não criptografado. O conjunto de dados RockYou acabou se tornando uma opção popular para treinar modelos de quebra de senha de ML.
Numerosas violações de dados ocorreram ao longo dos anos com vítimas, incluindo Facebook e Yahoo. Portanto, muitos conjuntos de dados pessoais estão disponíveis para treinar geradores de senhas como o PassGAN. Mais dados equivalem a mais forragem para cultivar a IA.
# de personagens | Apenas números | Letras minúsculas | Letras Maiúsculas, Minúsculas | Letras Maiúsculas, Minúsculas, Números | Letras Maiúsculas, Minúsculas, Números, Símbolos |
---|---|---|---|---|---|
4 | Imediatamente | Imediatamente | Imediatamente | Imediatamente | Imediatamente |
5 | Imediatamente | Imediatamente | Imediatamente | Imediatamente | Imediatamente |
6 | Imediatamente | Imediatamente | Imediatamente | Imediatamente | 4 segundos |
7 | Imediatamente | Imediatamente | 22 segundos | 42 segundos | 6 minutos |
8 | Imediatamente | 3 segundos | 19 minutos | 48 minutos | 7 horas |
9 | Imediatamente | 1 minuto | 11 horas | 2 dias | 2 semanas |
10 | Imediatamente | 1 hora | 4 semanas | 6 meses | 5 anos |
11 | Imediatamente | 23 horas | 4 anos | 38 anos | 356 anos |
12 | 25 segundos | 3 semanas | 289 anos | 2 mil anos | 30 mil anos |
13 | 3 minutos | 11 meses | 16 mil anos | 91 mil anos | 2 milhões de anos |
14 | 36 minutos | 49 anos | 827 mil anos | 9 milhões de anos | 187 milhões de anos |
15 | 5 horas | 890 anos | 47 milhões de anos | 613 milhões de anos | 14 bilhões de anos |
16 | 2 dias | 23 mil anos | 2 bilhões de anos | 26 bilhões de anos | 1Tn anos |
17 | 3 semanas | 812 mil anos | 539,72 milhões de anos | 2Tn anos | 95Tn anos |
18 | 10 meses | 22 milhões de anos | 7,23 bilhões de anos | 96Tn anos | 6Qn anos |
As descobertas do Home Security Heroes revelaram que o PassGAN quebrou 51% das senhas comuns em menos de um minuto. No entanto, a IA demorou um pouco mais com as senhas mais desafiadoras. Por exemplo, o PassGAN quebrou 65% em menos de uma hora, 71% em um dia e até 81% em menos de um mês.
De acordo com Político (abre em nova aba), seis em cada dez americanos têm uma senha com comprimento entre oito e 11 caracteres. No entanto, menos de um terço da população utiliza uma senha com mais de 12 caracteres. É compreensível, pois senhas mais curtas e simples são mais fáceis de lembrar, mas mais suscetíveis a ataques.
PassGAN levou menos de seis minutos para quebrar uma senha de sete caracteres, mesmo que inclua números, letras maiúsculas e minúsculas e símbolos. Por exemplo, o PassGAN pode desvendar uma senha de dez caracteres apenas com números e letras minúsculas em uma hora. No entanto, adicionar letras maiúsculas, números e símbolos à mistura aumenta o tempo de descriptografia em até cinco anos. Portanto, não é apenas ter uma senha longa, mas uma com um padrão desafiador, para que a IA não consiga resolvê-la rapidamente.
Home Security Heroes forneceu algumas diretrizes para proteger a integridade de suas senhas. Para começar, a empresa de segurança cibernética recomenda que você crie uma senha com pelo menos 15 caracteres com um padrão forte, combinando no mínimo duas letras maiúsculas e minúsculas com números e símbolos.
PassGAN pode descobrir uma senha com oito ou nove caracteres em cerca de sete horas e duas semanas, respectivamente, mesmo se você seguir as melhores práticas. Senhas com 10 ou 11 caracteres levariam aproximadamente cinco e 365 anos para serem decifradas pela IA. Uma senha de 15 caracteres, no entanto, leva 14 bilhões de anos para ser decodificada. Por isso, trocar a senha periodicamente, entre três a seis meses, também é essencial. E por precaução, evite usar a mesma senha para contas diferentes.
A IA veio para ficar, e o hardware que alimenta a IA melhorará com o tempo. É inegável que a IA traz muitos benefícios ao nosso dia a dia, mas nada impede que malfeitores a utilizem para fins maliciosos, como quebrar senhas para roubar seus dados.