Selon une étude de Home Security Heroes, environ 51 % de tous les mots de passe courants peuvent être déchiffrés par une IA comme PassGAN.

Une étude récente de la société de cybersécurité Home Security Heroes met en évidence la rapidité remarquable avec laquelle une IA peut déchiffrer les mots de passe. Pour l’analyse, les chercheurs en sécurité ont utilisé un outil appelé PassGAN, un réseau antagoniste générateur de mots de passe, qui a utilisé une liste de plus de 15 millions de mots de passe pour l’analyse. Les résultats sont remarquables.

Les chercheurs en sécurité ont utilisé PassGAN, un générateur de mots de passe basé sur un réseau antagoniste génératif (GAN). PassGAN diffère des autres générateurs de mots de passe en ce qu’il ne repose pas sur l’analyse manuelle des mots de passe. En revanche, le modèle PassGAN utilise GAN pour apprendre des violations de mots de passe du monde réel et générer des mots de passe réalistes.

PassGAN est basé sur l’apprentissage automatique

GAN est un modèle d’apprentissage automatique (ML) qui oppose deux réseaux de neurones (générateur et discriminateur) pour améliorer la précision des prédictions. Essentiellement, les GAN génèrent leurs propres données de formation, selon ComputerWeekly.

Dans la première étape, le générateur crée de fausses données pour tromper le discriminateur. Le rôle du discriminateur est de distinguer les vraies données des fausses données générées par le générateur.

Un jeu du chat et de la souris émerge, dans lequel les deux réseaux profitent du débat constant. Le générateur devient de mieux en mieux capable de créer de meilleures fausses données, tandis que le discriminateur parvient de mieux en mieux à distinguer les vraies données des fausses.

Home Security Heroes a fourni à PassGAN 15 680 000 mots de passe communs à partir de l’ensemble de données RockYou pour former le modèle. La société a exclu les mots de passe de moins de quatre caractères et de plus de 18 caractères de l’expérience.

Il y a eu de nombreuses violations de données dans le passé, notamment sur Facebook et Yahoo. Par conséquent, de nombreux ensembles de données personnelles peuvent être utilisés pour former des générateurs de mots de passe tels que PassGAN.

Par exemple, en 2009, des pirates ont fait irruption dans RockYou, un développeur de widgets pour des plateformes de médias sociaux populaires comme MySpace et Facebook. Ce faisant, ils ont volé les données de plus de 32 millions d’utilisateurs.

Comme indiqué par tomshardware, la société a négligemment enregistré ses données dans une base de données non cryptée. L’ensemble de données RockYou est finalement devenu une option populaire pour la formation de modèles ML pour le craquage de mots de passe.

PassGAN : la vitesse alarmante du craquage de mots de passe alimenté par l’IA

Selon l’étude, 51 % des mots de passe courants peuvent être déchiffrés en moins d’une minute, 65 % en moins d’une heure, 71 % en moins d’un jour et 81 % en moins d’un mois. PassGAN a déchiffré la plupart des mots de passe de six caractères et moins presque instantanément.

PassGAN a mis moins de six minutes à déchiffrer un mot de passe à sept chiffres, même s’il contenait des chiffres, des lettres majuscules et minuscules et des symboles. PassGAN peut déchiffrer un mot de passe à dix chiffres composé uniquement de chiffres et de lettres minuscules en une heure. Cependant, l’ajout de lettres majuscules, de chiffres et de symboles ajoute jusqu’à cinq ans au temps de décryptage.

Comment restez-vous en sécurité?

À mesure que la technologie de l’IA progresse, la question de la sécurité se pose, notamment pour protéger les comptes en ligne. Home Security Heroes recommande d’utiliser des mots de passe d’au moins 15 caractères, dont au moins deux lettres, chiffres et symboles. Il est également important d’éviter les schémas prévisibles et de changer régulièrement les mots de passe tous les 3 à 6 mois. Vous devez également éviter d’utiliser le même mot de passe pour plusieurs comptes.

Actuellement, les mots de passe comportent au moins 18 caractères et contiennent à la fois des lettres et des chiffres. toujours aussi sécurisé contre des outils comme PassGAN. Selon l’étude, il a fallu au moins dix mois pour casser un mot de passe à 18 chiffres qui ne contient que des chiffres. Cependant, ce niveau de sécurité peut ne pas durer longtemps car l’IA continue d’évoluer. Home Security Heroes déclare :

« Les mots de passe de plus de 18 caractères sont généralement à l’abri des crackers de mots de passe AI, car PassGAN prend au moins 10 mois pour cracker les mots de passe uniquement numériques conformément aux exigences. En revanche, il faudrait 6 quintillions d’années à l’outil pour casser des mots de passe contenant des symboles, des chiffres, des lettres minuscules et majuscules.

En général, veuillez noter :

• en utilisant 2FA/MFA
• Ne réutilisez pas les mots de passe d’un compte à l’autre
• Utilisez des mots de passe générés automatiquement dans la mesure du possible
• Mettez régulièrement à jour les mots de passe, en particulier pour les comptes sensibles
• Pas de WiFi public, surtout pas pour les comptes bancaires et assimilés.

Il y a un champ de saisie sur le site Web Home Security Heroes. Les mots de passe qui y sont saisis sont ensuite testés pour la sécurité. Les chercheurs en sécurité déclarent qu’ils ne stockent ni ne partagent ces informations.