Používate takéto heslá? Umelá inteligencia ich prelomí mihnutím oka

Umelá inteligencia so sebou prináša množstvo benefitov pre ľudí, od tvorby textov cez generovanie obrázkov až po potenciál skrátiť naše pracovné týždne na štyri dni.

Urýchliť a zjednodušiť však táto nová technológia dokáže aj veci, u ktorých to až tak nevítame – prelamovanie hesiel. Stále však existuje spôsob, ako sa voči tomu ochrániť.

Bezpečnostná spoločnosť Home Security Heroes zverejnila štúdiu, v ktorej ukazuje, aká efektívna dokáže byť umelá inteligencia pri prelamovaní hesiel. Na tento účel využila nový nástroj PassGAN (password generative adversarial network), ktorý spracoval 15 miliónov prihlasovacích údajov z dávnejšie uniknutej databázy služby RockYou.

Výsledok tohto testu je bez preháňania pomerne šokujúci. Až 51 % všetkých bežných hesiel by umelá inteligencia bola schopná prelomiť za menej ako minútu, 65 % za menej ako hodinu, 71 % za menej ako jeden deň a 81 % za menej ako jeden mesiac.

Z detailnejších dát vychádza, že heslá s dĺžkou 4 až 11 znakov zložené iba z čísiel, dokáže PassGAN prelomiť okamžite. Podobne je to pri heslách zložených len z malých písmen s dĺžkou 4-7 znakov, zatiaľ čo pri 11 znakoch sa už uhádnutie hesla predlžuje na 23 hodín a pri kombinácii veľkých a malých písmen dokonca až na 4 roky.

Skúsenejší používatelia na dôležitejšie služby využívajú už bežne (často z vynútenia samotnej služby) heslá zložené z veľkých a malých písmen a čísiel. Zaujímavé však je, že hoci takéto heslo môže pôsobiť už skutočne bezpečne, pri nízkom počte znakov pôjde iba o falošný pocit bezpečia. Aj takéto heslá možno prelomiť okamžite alebo v priebehu niekoľkých dní.

Ako sa voči tomu ochrániť?

Odhadované lehoty potrebné pre prelomenie hesiel pôsobia desivo, no v skutočnosti útočníci túto metódu využívajú len zriedka. Oveľa častejšie sa do účtov obetí dostanú inými spôsobmi, napr. sociálnym inžinierstvom, kedy obeť prostredníctvom phishingu heslo do služby odovzdá útočníkovi sama. Najlepšou ochranou je preto kombinácia niekoľkých zásad:

• Používajte 2-faktorovú autentifikáciu. Ak aj útočník pozná heslo od vášho účtu, ešte to nemusí znamenať, že sa doň bude schopný dostať. Ak prihlásenie neschválite prostredníctvom mobilnej aplikácie alebo dočasného hesla, váš účet zostane v bezpečí,
• Nepoužívajte vo viacerých službách tie isté heslá. Ak niektorej z týchto služieb unikne na internet databáza používateľských údajov, útočníci môžu vyskúšať, či sa s rovnakým heslom nedostanú aj do niektorých vašich ďalších účtov,
• Používajte správcu hesiel, ktorý vám vygeneruje pre každú službu unikátne a najmä dlhé heslo zložené z viac ako desiatich znakov s kombináciou veľkých a malých písmen, čísiel a špeciálnych znakov,
• Nepoužívajte na prihlásenie sa k citlivým službám verejné Wi-Fi siete a cudzie zariadenia, obe môžu byť infikované, resp. využívané útočníkmi na odchyt citlivých údajov, ako sú napr. práve heslá.