Si cree que tiene una contraseña segura, es hora de pensarlo de nuevo. Un nuevo estudio de Home Security Heroes (se abre en una pestaña nueva), una firma de seguridad cibernética, muestra cuán rápida y fácilmente la inteligencia artificial (IA) puede descifrar su contraseña. Las estadísticas muestran que el 51% de las contraseñas comunes se pueden descifrar en menos de un minuto.
Los investigadores de seguridad utilizaron PassGAN, un generador de contraseñas basado en una Red adversa generativa (GAN). PassGAN y otros generadores de contraseñas se diferencian porque no dependen del análisis manual de contraseñas. Por el contrario, el modo PassGAN, como su nombre lo indica, aprovecha GAN para aprender de filtraciones de contraseñas reales y generar contraseñas realistas que puede usar. Una GAN es un modelo de aprendizaje automático (ML) que enfrenta dos redes neuronales (generador y discriminador) para mejorar la precisión de las predicciones.
En resumen, el generador produce datos falsos para engañar al discriminador. Mientras tanto, el trabajo del discriminador es identificar los datos reales de los datos falsos creados por el generador. Se convierte en un juego del gato y el ratón donde ambas redes se benefician de la disputa constante. El generador mejora continuamente para construir mejores datos falsos, y el discriminador mejora al diferenciar los datos reales de los falsos.
Home Security Heroes alimentó PassGAN con 15 680 000 contraseñas comunes del conjunto de datos de RockYou para entrenar el modelo. Para aquellos que nunca han oído hablar de RockYou, fue un desarrollador de widgets para plataformas de redes sociales populares como MySpace o Facebook. Los piratas informáticos violaron RockYou en 2009 y robaron más de 32 millones de datos de usuarios porque la empresa almacenaba datos dentro de una base de datos sin cifrar. El conjunto de datos de RockYou finalmente se convirtió en una opción popular para entrenar modelos de descifrado de contraseñas de ML.
A lo largo de los años, se han producido numerosas filtraciones de datos con víctimas, incluidas Facebook y Yahoo. Por lo tanto, existen muchos conjuntos de datos personales para entrenar a los generadores de contraseñas como PassGAN. Más datos equivalen a más forraje para cultivar la IA.
| # de Caracteres | Solo numeros | Letras minusculas | Letras mayúsculas, minúsculas | Mayúsculas, Minúsculas, Números | Mayúsculas, Minúsculas, Números, Símbolos |
|---|---|---|---|---|---|
| 4 | Instantáneamente | Instantáneamente | Instantáneamente | Instantáneamente | Instantáneamente |
| 5 | Instantáneamente | Instantáneamente | Instantáneamente | Instantáneamente | Instantáneamente |
| 6 | Instantáneamente | Instantáneamente | Instantáneamente | Instantáneamente | 4 segundos |
| 7 | Instantáneamente | Instantáneamente | 22 segundos | 42 segundos | 6 minutos |
| 8 | Instantáneamente | 3 segundos | 19 minutos | 48 minutos | 7 horas |
| 9 | Instantáneamente | 1 minuto | 11 horas | 2 días | 2 semanas |
| 10 | Instantáneamente | 1 hora | 4 semanas | 6 meses | 5 años |
| 11 | Instantáneamente | 23 horas | 4 años | 38 años | 356 años |
| 12 | 25 segundos | 3 semanas | 289 años | 2K años | 30K años |
| 13 | 3 minutos | 11 meses | 16K años | 91K años | 2 millones de años |
| 14 | 36 minutos | 49 años | 827K Años | 9 millones de años | 187 millones de años |
| 15 | 5 horas | 890 años | 47 millones de años | 613 millones de años | 14 mil millones de años |
| dieciséis | 2 días | 23K años | 2 mil millones de años | 26 mil millones de años | 1Tn Años |
| 17 | 3 semanas | 812K Años | 539,72 millones de años | 2Tn Años | 95Tn Años |
| 18 | 10 meses | 22 millones de años | 7230 millones de años | 96Tn Años | 6Qn Años |
Los hallazgos de Home Security Heroes revelaron que PassGAN descifró el 51 % de las contraseñas comunes en menos de un minuto. Sin embargo, la IA se tomó un poco más de tiempo con las contraseñas más desafiantes. Por ejemplo, PassGAN descifró el 65 % en menos de una hora, el 71 % en un día y hasta el 81 % en menos de un mes.
Según Statista (se abre en una pestaña nueva), seis de cada diez estadounidenses tienen una contraseña con una longitud de entre ocho y 11 caracteres. Sin embargo, menos de un tercio de la población utiliza una contraseña de más de 12 caracteres. Es comprensible ya que las contraseñas más cortas y simples son más fáciles de recordar pero más susceptibles a los ataques.
PassGAN tardó menos de seis minutos en descifrar una contraseña de siete caracteres, incluso si incluye números, letras mayúsculas y minúsculas y símbolos. Por ejemplo, PassGAN puede descifrar una contraseña de diez caracteres con solo números y letras minúsculas en una hora. Sin embargo, agregar letras mayúsculas, números y símbolos a la mezcla aumenta el tiempo de descifrado hasta en cinco años. Por lo tanto, no es solo tener una contraseña larga, sino una con un patrón desafiante, por lo que la IA no puede resolverla rápidamente.
Home Security Heroes proporcionó algunas pautas para salvaguardar la integridad de sus contraseñas. Para empezar, la firma de ciberseguridad recomienda crear una contraseña de al menos 15 caracteres con un patrón fuerte, combinando como mínimo dos letras mayúsculas y minúsculas con números y símbolos.
PassGAN puede descifrar una contraseña con ocho o nueve caracteres en alrededor de siete horas y dos semanas, respectivamente, incluso si sigue las mejores prácticas. Las contraseñas con 10 u 11 caracteres le tomarían a la IA aproximadamente cinco y 365 años para descifrarlas. Sin embargo, una contraseña de 15 caracteres tarda 14 mil millones de años en decodificarse. Así que cambiar tu contraseña periódicamente, entre tres y seis meses, también es fundamental. Y por si acaso, evite usar la misma contraseña para diferentes cuentas.
La IA llegó para quedarse, y el hardware que impulsa la IA mejorará con el tiempo. Es innegable que la IA brinda muchos beneficios a nuestra vida diaria, pero nada impide que las partes malvadas la aprovechen con fines maliciosos, como descifrar contraseñas para robar sus datos.