Generar contraseñas fuertes y usar un administrador son dos prácticas que le permitirán a cualquier usuario mejorar notablemente su perfil de seguridad. También existen recursos como la verificación en dos pasos, soluciones de hardware (ej., YubiKey) y biometría, pero las contraseñas aún dominan el mundo, y el interés por crackearlas no se ha ido a ninguna parte. El proyecto PassGAN del año 2017 explora la posibilidad de crackear contraseñas con inteligencia artificial, pero en las últimas semanas muchos sitios lo han presentado como «una nueva amenaza». ¿Qué tan cierto es esto?
La seguridad molesta, o al menos, eso es lo que siente la mayoría de los usuarios. Ese sentimiento los lleva a cometer errores como la reutilización de una misma contraseña en múltiples servicios, «caminar el teclado» (ej., qwertyuiop o asdfghjkl), usar sólo dígitos o fechas de nacimiento, y más. Por ese motivo es que a la hora de crackear la contraseña de una red WiFi, el atacante suele tener suerte probando contraseñas muy básicas, ¿pero qué pasa con el resto?
En los primeros días de abril, el portal Home Security Heroes publicó un artículo explorando las virtudes de un crackeador de contraseñas basado en inteligencia artificial llamado PassGAN. El artículo indica que una contraseña basada en ocho caracteres combinando minúsculas y números puede ser «resuelta» por PassGAN en 19 minutos, o 48 minutos si sumamos letras mayúsculas. La inclusión de símbolos en la contraseña hace saltar el reloj a siete horas.
PassGAN: Inteligencia artificial vs. contraseñas
La gran diferencia de PassGAN es que no utiliza ninguno de los métodos convencionales para crackear contraseñas como ataques Markov, máscaras, wordlists (con o sin reglas especiales) o ataques de combinación. En términos muy relajados, con PassGAN estamos usando una red generativa antagónica para tratar de adivinar contraseñas. Entonces, ¿cuál es el problema?
Que en esta ocasión, el entusiasmo se salió de control. Los números de PassGAN no tienen nada de sorprendentes cuando los comparamos con métodos ya existentes, y en algunos casos, son inferiores. Al mismo tiempo, Home Security Heroes entrenó a PassGAN con 15.68 millones de contraseñas extraídas de la filtración RockYou, que lleva años disponible. En resumen, lo único especial sobre PassGAN es su tecnología, pero si estás pensando en crackear contraseñas, hay muy buenas herramientas disponibles ahora mismo.
Repositotio de PassGAN en GitHub: Haz clic aquí
Fuentes: Ars Technica, Home Security Heroes