Una nueva herramienta en el aprendizaje profundo hace que las contraseñas sean menos seguras.
La semana pasada, la agencia de informes de crédito Equifax anunció que los hackers maliciosos habían filtrado la información personal de 143 millones de personas en su sistema. Esa es razón de preocupación, por supuesto, pero si un hacker quiere acceder a sus datos en línea con sólo adivinar su contraseña, es probable que tostadas en menos de una hora . Ahora, hay más malas noticias: los científicos han aprovechado el poder de la inteligencia artificial (AI) para crear un programa que, combinado con las herramientas existentes, figuró más de un cuarto de las contraseñas de un conjunto de más de 43 millones de perfiles de LinkedIn. Sin embargo, los investigadores dicen que la tecnología también se puede utilizar para vencer a los malos en su propio juego.
El trabajo podría ayudar a los usuarios promedio y las empresas a medir la fuerza de las contraseñas, dice Thomas Ristenpart, un informático que estudia seguridad informática en Cornell Tech en la ciudad de Nueva York, pero no participó en el estudio. “La nueva técnica también podría usarse para generar contraseñas de señuelo para ayudar a detectar las brechas”.
Los programas de adivinación de contraseñas más fuertes, John the Ripper y hashCat, utilizan varias técnicas. Una es la simple fuerza bruta, en la que al azar prueban muchas combinaciones de personajes hasta obtener la correcta. Pero otros enfoques implican la extrapolación de contraseñas previamente filtradas y métodos de probabilidad para adivinar cada carácter en una contraseña basada en lo que vino antes. En algunos sitios, estos programas han adivinado más del 90% de las contraseñas. Pero han requerido muchos años de codificación manual para construir sus planes de ataque.
El nuevo estudio apuntaba a acelerar esto aplicando un aprendizaje profundo , un enfoque inspirado en el cerebro en la vanguardia de la IA. Los investigadores del Stevens Institute of Technology en Hoboken, Nueva Jersey, comenzaron con una llamada red generativa de confrontación, o GAN, que comprende dos redes neuronales artificiales . Un “generador” intenta producir salidas artificiales (como imágenes) que se asemejan a ejemplos reales (fotos reales), mientras que un “discriminador” trata de detectar real de falso. Ayudan a perfeccionarse entre sí hasta que el generador se convierte en un falsificador experto.
Giuseppe Ateniese, un informático de Stevens y coautor de papel, compara el generador y el discriminador con un dibujante policial y un testigo ocular, respectivamente; el artista del bosquejo está intentando producir algo que puede pasar como retrato exacto del criminal. Los GAN se han utilizado para hacer imágenes realistas, pero no se han aplicado mucho al texto.
El equipo de Stevens creó un GAN llamado PassGAN y lo comparó con dos versiones de hashCat y una versión de John the Ripper. Los científicos alimentaron cada herramienta decenas de millones de contraseñas filtradas de un sitio de juego llamado RockYou, y les pidieron que generaran cientos de millones de nuevas contraseñas por su cuenta. Luego, contaron cuántas de estas nuevas contraseñas coincidían con un conjunto de contraseñas filtradas de LinkedIn, como una medida del éxito que tendrían en romperlas.
Por su cuenta, PassGAN generó el 12% de las contraseñas en el conjunto de LinkedIn, mientras que sus tres competidores generaron entre 6% y 23%. Pero el mejor rendimiento provino de combinar PassGAN y hashCat. Juntos, fueron capaces de romper el 27% de las contraseñas en el conjunto de LinkedIn , informaron los investigadores este mes en un borrador publicado en arXiv. Incluso las contraseñas fallidas de PassGAN parecían bastante realistas: saddracula, santazone, coolarse18.
Usar GAN para ayudar a adivinar las contraseñas es “novedoso”, dice Martin Arjovsky, un informático que estudia la tecnología en la Universidad de Nueva York en la ciudad de Nueva York. El documento “confirma que hay problemas claros e importantes en los que la aplicación de soluciones sencillas de aprendizaje de máquinas puede traer una ventaja crucial”, dice.
Sin embargo, Ristenpart dice que “no está claro para mí si uno necesita la maquinaria pesada de GANs para lograr tales ganancias.” Tal vez incluso las técnicas más simples de aprendizaje de la máquina podría haber asistido hashCat tanto, dice. (Arjovsky coincide.) De hecho, una eficiente red neural producida por la Universidad Carnegie Mellon en Pittsburgh, Pensilvania, mostró recientemente promesa , y Ateniese planea compararla directamente con PassGAN antes de presentar su trabajo para su revisión por pares.
Ateniese dice que aunque en esta demostración piloto PassGAN le dio una ayuda a hashCat, está “seguro” de que las iteraciones futuras podrían superar hashCat. Esto se debe en parte a que hashCat utiliza reglas fijas y no pudo producir más de 650 millones de contraseñas por sí solo. PassGan, que inventa sus propias reglas, puede crear contraseñas indefinidamente. “Está generando millones de contraseñas mientras hablamos”, dice. Ateniese también dice que PassGAN mejorará con más capas en las redes neuronales y entrenando en muchas más contraseñas filtradas.
Él compara PassGAN a AlphaGo , el programa de Google DeepMind que recientemente venció a un campeón humano en el juego de mesa Vaya usando algoritmos de aprendizaje profundo. “AlphaGo estaba ideando nuevas estrategias que los expertos nunca habían visto antes”, dice Ateniese. “Así que personalmente creo que si usted da suficientes datos a PassGAN, será capaz de llegar a las reglas que los seres humanos no pueden pensar.”
Y si le preocupa su propia seguridad, los expertos sugieren formas de crear contraseñas seguras , como hacerlas largas (pero aún así fáciles de recordar) y usar la autenticación en dos pasos .