Pendant des années, l’industrie de la sécurité a souligné l’importance de mots de passe forts. Certaines recherches récentes de Home Security Heroes montrent clairement la valeur de ces conseils.

À l’aide de l’intelligence artificielle, l’équipe du site Web d’information et de révision de la sécurité à domicile a déchiffré les mots de passe de quatre à sept caractères, soit instantanément, soit en quelques minutes, même lorsque les mots de passe contenaient un mélange de chiffres, de lettres majuscules et minuscules, et symboles.

Après avoir introduit plus de 15,6 millions de mots de passe dans un craqueur de mots de passe alimenté par l’IA appelé PassGAN, les chercheurs ont conclu qu’il était possible de déchiffrer 51 % des mots de passe courants en une minute.

Cependant, le logiciel d’intelligence artificielle a hésité avec des mots de passe plus longs. Un mot de passe composé uniquement de chiffres de 18 caractères prendrait au moins 10 mois à se fissurer, et un mot de passe de cette longueur avec des chiffres, des lettres majuscules et minuscules et des symboles prendrait six quintillions d’années à se casser.

Sur le site Web Home Security Heroes, les chercheurs ont expliqué que PassGAN utilise un réseau contradictoire génératif (GAN) pour apprendre de manière autonome la distribution de mots de passe réels à partir de fuites de mots de passe réelles et produire des mots de passe réalistes que les pirates peuvent exploiter.

« Les algorithmes d’IA sont constamment testés A/B les uns contre les autres des millions de fois pour stimuler l’apprentissage, ce qui lui permet de posséder apparemment la somme des connaissances humaines avec des micropuces plus de 100 000 fois plus rapides que le cerveau humain », a expliqué Domingo Guerra, vice-président exécutif. de confiance pour Incode Technologies, une société internationale de vérification d’identité et d’authentification biométrique.

« Par rapport aux algorithmes de force brute traditionnels aux capacités limitées, l’IA prédit le prochain chiffre le plus probable en fonction de tout ce qu’elle a appris », a-t-il déclaré à TechNewsWorld. « Plutôt que de rechercher des connaissances à l’extérieur, il s’appuie sur les modèles qu’il a construits au cours de sa formation pour afficher rapidement un comportement interrogé. »

Sceptique de l’IA

Sur la base de ce qui a été divulgué publiquement, l’IA utilise des techniques similaires aux attaques par table arc-en-ciel plutôt que de simplement forcer brutalement un mot de passe, a observé Dustin Childs, responsable de la sensibilisation aux menaces chez Trend Micro’s Zero Day Initiative. Les pirates utilisent des tables arc-en-ciel pour traduire les mots de passe hachés en texte clair.

« La table arc-en-ciel permet à l’IA d’effectuer des recherches simples et de comparer des opérations sur un mot de passe haché plutôt qu’une attaque par force brute plus lente », a-t-il déclaré à TechNewsWorld.

« Les attaques de table arc-en-ciel sont reconnues depuis des années et il a été démontré qu’elles cassent même des mots de passe à 14 caractères en moins de cinq minutes », a-t-il ajouté. « Les algorithmes de hachage plus anciens tels que MD5 et SHA-1 sont également plus sensibles à ces formes d’attaques. »


La plupart des cassages de mots de passe se font en trouvant d’abord un mot de passe haché, puis en faisant des comparaisons avec cela, a expliqué Robert Hughes, responsable de la sécurité de l’information chez RSA, une société de cybersécurité à Bedford, Mass.

« En théorie », a-t-il poursuivi, « une IA pourrait apprendre plus d’informations sur un sujet et l’utiliser pour le faire de manière intelligente, mais cela n’est pas prouvé dans la pratique. »

« Les équipes de sécurité sont confrontées à la force brute et aux tables arc-en-ciel depuis des années », a-t-il déclaré. « En fait, le modèle PassGAN AI ne fonctionne pas beaucoup plus rapidement que d’autres que les acteurs de la menace exploitent. »

Limites de l’IA

Roger Grimes, un évangéliste de la défense chez KnowBe4, un fournisseur de formation de sensibilisation à la sécurité à Clearwater, en Floride, n’est pas non plus convaincu que l’IA peut déchiffrer les mots de passe plus rapidement que les méthodes traditionnelles.

« Peut-être que c’est possible, et certainement qu’il le pourra à l’avenir », a-t-il déclaré à TechNewsWorld, « Mais personne ne m’a montré un test définitif de l’un des systèmes d’IA d’aujourd’hui cassant les mots de passe plus rapidement que la non-IA, la devinette et le craquage traditionnels des mots de passe. méthodes. »

« Alors que de plus en plus de personnes utilisent des gestionnaires de mots de passe, qui créent des mots de passe vraiment aléatoires, l’IA n’aura aucun avantage sur tout piratage de mot de passe traditionnel lorsque les mots de passe impliqués sont vraiment aléatoires, comme ils devraient déjà l’être », a-t-il ajouté.

Les experts en sécurité soulignent certaines limites à l’utilisation de l’IA pour déchiffrer les mots de passe. La puissance de calcul peut être un défi, par exemple. « Les mots de passe plus longs et plus complexes prennent beaucoup de temps à déchiffrer, même par l’IA », a déclaré Childs.

« On ne sait pas non plus comment l’IA se comporterait par rapport aux mécanismes de salage utilisés dans certains algorithmes de hachage », a-t-il noté.

Il y a aussi une grande différence entre générer un nombre massif de suppositions de mots de passe et pouvoir saisir ces suppositions dans un scénario réel, a ajouté John Gunn, PDG de Token, un fabricant d’un anneau d’authentification portable basé sur la biométrie à Rochester, NY

« La plupart des applications et des systèmes ont un faible nombre d’entrées erronées avant de verrouiller le pirate, et l’IA ne change rien à cela », a-t-il déclaré à TechNewsWorld.

Long adieu aux mots de passe

Bien sûr, personne n’aurait à s’inquiéter du crackage des mots de passe par l’IA s’il n’y avait pas de mots de passe à cracker. Cela, malgré les prédictions annuelles sur la fin des mots de passe, ne semble pas possible, du moins à court terme.

« Avec le temps, nous sommes susceptibles de rationaliser l’ennui de la gestion des mots de passe en supprimant le processus manuel fastidieux de mémorisation et de saisie de longs brins de chiffres et de lettres pour y accéder », a observé Darren Guccione, PDG de Keeper Security, une gestion de mots de passe et stockage en ligne. entreprise à Chicago.

« Mais étant donné les milliards d’appareils et de systèmes existants qui dépendent déjà de la sécurité des mots de passe, les mots de passe seront toujours avec nous dans un avenir prévisible », a-t-il déclaré à TechNewsWorld. « Nous ne pouvons que fournir des protections plus solides pour soutenir leur utilisation en toute sécurité. »


Grimes a ajouté qu’il y a eu un mouvement pour se débarrasser des mots de passe depuis la fin des années 1980. « Il y a des milliers d’articles prédisant la mort du mot de passe, et pourtant des décennies plus tard, c’est toujours un combat », a-t-il déclaré.

« Si vous réunissiez toutes les solutions d’authentification sans mot de passe, elles ne fonctionneraient pas sur 2 % des sites et services dans le monde », a-t-il poursuivi. « C’est un problème, et cela empêche une adoption généralisée. »

« Sur une bonne note, de plus en plus de personnes utilisent une forme d’authentification sans mot de passe pour se connecter à un ou plusieurs sites et services aujourd’hui. Le pourcentage est plus élevé que jamais », a-t-il noté.

« Mais tant que le pourcentage total de sites et de services reste inférieur à 2 %, le » point de basculement « pour l’adoption massive de l’authentification sans mot de passe sera difficile », a-t-il déclaré. « C’est un problème de poulet et d’œufs réel et frustrant. »

Hughes a reconnu que les systèmes hérités, ainsi que la confiance des utilisateurs et des administrateurs, ont ralenti l’abandon des mots de passe. Cependant, il a ajouté: « Finalement, l’utilisation des mots de passe sera minimisée et ils seront principalement utilisés dans des endroits où ils sont appropriés ou où les systèmes ne pourraient pas être mis à jour pour prendre en charge d’autres méthodes, mais il faudra encore des années pour abandonner les mots de passe pour la plupart des gens et des entreprises.

A lire également