Un modèle d'IA appelé PassGAN peut déchiffrer des mots de passe courts en quelques secondes. Mais faut-il se méfier ?
L'IA s'est infiltrée dans un nombre croissant d'industries et, avec elle, dans notre vie quotidienne. Nous en avons beaucoup entendu parler à cause de choses comme ChatGPT d'OpenAI, Google Bard, etc. Si vous ne l'avez pas fait exprès, vous avez peut-être interagi avec l'IA sans le savoir. Elle est utilisée dans les chatbots de sites Web et par des entreprises comme Google, Apple et Uber pour prendre des décisions concernant les données cartographiques.
Une startup de la sécurité a utilisé un outil d'intelligence artificielle pour déchiffrer les mots de passe, et elle peut le faire très rapidement. Autrement dit, si votre mot de passe n'est pas trop compliqué. Voici ce que vous devez savoir.
Qu'est-ce que l'IA PassGAN?
L'équipe à Héros de la sécurité domestique (HSH) a utilisé une sorte de réseau neuronal d'IA, appelé réseau contradictoire générateur de mots de passe (ou PassGAN), pour deviner les mots de passe. Pour former leur IA, ils ont utilisé un ensemble de données composé de mots de passe divulgués sur le site de jeu, RockYou.
Alors, comment fonctionne l'IA PassGAN? Un « réseau génératif » propose des mots de passe qui sont susceptibles d'être utilisés par les gens ordinaires. Ensuite, un « réseau discriminateur » compare le mot de passe généré aux mots de passe réels à partir des données divulguées.
Le réseau discriminateur entraîne efficacement le réseau génératif à proposer des mots de passe meilleurs et plus précis. C'est une sorte de rétroaction négative qui tend vers les mots de passe que les gens, en général, pourraient utiliser - une sorte de généralité qui peut ne pas être très utile dans le monde réel.
À quelle vitesse PassGAN AI peut-il craquer les mots de passe?
Ce que l'équipe Home Security Heroes a découvert, c'est que les mots de passe de quatre, cinq et six caractères pouvaient être devinés par l'IA presque instantanément, même s'ils comprenaient une combinaison de lettres (majuscules et minuscules), de chiffres et symboles.
Même un mot de passe à sept chiffres avec des lettres majuscules et minuscules et des chiffres (mais pas de symboles) pourrait être déchiffré, selon ce modèle, en moins d'une minute; tandis que les mots de passe à huit et neuf chiffres les plus complexes sur le plan structurel peuvent être déchiffrés en sept heures et deux semaines, respectivement. Si vos mots de passe correspondent à ces critères indésirables, il est temps de mettre à niveau.
Ce tableau montre à quelle vitesse le test PassGAN de HSH peut déchiffrer les mots de passe en fonction de leur longueur et de leur complexité.
Devriez-vous craindre que l'IA craque vos mots de passe?
Bien que cela puisse sembler effrayant, des outils comme celui-ci existent depuis un certain temps et nos mots de passe et connexions restent toujours sécurisés. Cela est dû en partie au fait que les pirates de mots de passe, même ceux qui s'entraînent eux-mêmes, ne sont aussi bons que l'ensemble de données à leur disposition.
En fait, ce n'est pas la première fois que nous entendons parler de PassGAN. En 2017, Science.org, le site d'actualités de la revue Science, a rendu compte de la nouvelle façon de déchiffrer les mots de passe, c'est-à-dire en utilisant un réseau contradictoire génératif. Ensuite, PassGAN a été utilisé conjointement avec un programme de devinette de mot de passe, hashCat, et toujours uniquement a réussi à deviner 27 % des mots de passe d'un ensemble divulgué - ce n'est pas un petit chiffre, mais pas trop alarmant soit.
La façon exacte dont les gens de Home Security Heroes mesurent la vulnérabilité d'un mot de passe particulier n'est pas très bien expliquée. Il n'est pas clair si une IA comme PassGAN peut repérer votre aiguille dans le continuum de mots de passe de la botte de foin.
Étant donné que des outils comme PassGAN existent depuis un petit moment maintenant et que nos mots de passe n'ont pas (encore) tous été trouvés par l'IA, il semblerait que vous n'ayez pas à vous soucier que l'IA devine votre mot de passe; du moins pas de sitôt... si votre mot de passe est relativement complexe.
Dans quelle mesure vos mots de passe sont-ils sécurisés?
Vous pouvez tester la force de votre mot de passe via HSH. Bien qu'ils disent que les mots de passe de test que vous entrez sont entièrement privés et ne sont jamais enregistrés, nous vous conseillons néanmoins de transmettre tous les vrais mots de passe. Il y a beaucoup de d'autres outils que vous pouvez utiliser pour tester vos mots de passe.
Vous pourriez peut-être essayer quelque chose de similaire, qui suit la même logique que votre mot de passe: une majuscule ici, un symbole là-bas - pour savoir comment votre mot de passe résiste à l'IA qui est construite sur un réseau de type adversaire génératif architecture.
Alors, que pouvez-vous faire avec une IA comme PassGAN? Pas beaucoup. Ces modèles d'IA existent et continueront d'être plus raffinés (mais pas nécessairement plus « intelligents ») à chaque fuite de mot de passe et événement de jeu de données compromis. La principale défense que vous avez est un mot de passe très fort. Vous devez savoir comment créer un mot de passe fort que vous n'oublierez pas. Une autre façon de vous protéger contre de telles menaces consiste à utiliser l'authentification multifacteur sur autant de comptes que possible.
Dans l'état actuel des choses avec les modèles d'IA et les données dont ils disposent, tout mot de passe d'au moins 11 caractères long et contient des chiffres, des lettres majuscules et minuscules, ainsi que des symboles est considéré comme suffisamment costaud pour résister fissuration. Alors commencez par là. Créez un mot de passe suffisamment long pour que même les outils d'IA les plus raffinés continuent de deviner pendant des éternités.
Quelle est la prochaine étape pour le piratage de mots de passe par IA?
Vraiment, qui sait? L'intelligence artificielle avance toujours à pas de géant. Laissez la technologie de pointe aux connaisseurs. Mais en même temps, ne fermez pas les yeux sur les développements. Et verrouillez vos portes d'entrée.
