Internet

Złamie hasło w kilka sekund. Tak działa sztuczna inteligencja

przeczytasz w 2 min.
Norbert Garbarek | Redaktor serwisu benchmark.pl
22 komentarzeDyskutuj z nami

Bezpieczne hasło to takie, które składa się z wielu unikalnych znaków. Sztuczna inteligencja udowadnia, że potrafi jednak je złamać nawet w kilka sekund.

Firma Home Security Heroes przeprowadziła badanie, które miało na celu sprawdzić, ile czasu potrzebuje sztuczna inteligencja, aby złamać popularne hasła. Wyniki pokazują, że większość z nich, bo aż 51 proc. można złamać w mniej niż minutę. Do trudniejszych potrzeba niecałej godziny. 

Tyle czasu potrzebuje sztuczna inteligencja do złamania hasła

Badania Home Security Heroes, o których donosi portal tom’sHardware zostały przeprowadzone w oparciu o PassGAN – generator haseł wykorzystujący Generative Adversarial Network (GAN) wykorzystujący dwie sieci neuronowe: pierwszą generującą hasła (generator) oraz drugą, która skanuje je i przekazuje z powrotem do pierwszej.

Jako bazę haseł, które posłużyły do nauki sztucznej inteligencji wykorzystano 15,6 miliona danych, które wyciekły jeszcze w 2009 r. z platformy RockYou. Wyniki badań pokazały, że większość popularnych haseł można złamać w czasie krótszym niż 60 sekund.

Ile czasu żeby złamać hasło Tyle czasu potrzeba, aby złamać hasło przez SI (Źródło: tom'sHardware)

Sztuczna inteligencja złamała 51 proc. danych do logowania w mniej niż minutę. Po niespełna godzinie udało się ten wynik zwiększyć do 65 proc.,natomiast po niecałej dobie było to już 71 proc., a po miesiącu 81 proc.

W badaniu wykorzystywano wyłącznie hasła, które mają przynajmniej 4 znaki i maksymalnie 18. Najkrótsze z nich (zawierające maksymalnie 5 znaków, w tym duże i małe litery, cyfry i symbole) SI może złamać natychmiast. Do “obejścia” 6-znakowej złożonej kombinacji potrzeba 4 sekund, natomiast 7-znakowej 6 minut. Jako relatywnie bezpieczne można traktować hasło złożone z min. 10 znaków (zawierające też symbole), na którego złamanie potrzeba min. 5 lat.

Zdaniem badaczy najbezpieczniejszym wyborem jest używanie danych do logowania, które mają przynajmniej 15 znaków. Taka kombinacja jest właściwie niemożliwa do “obejścia”, bo jej złamanie trwałoby nawet 14 miliardów lat. Warto też stosować dobrą praktykę bezpieczeństwa w sieci, która zakłada systematyczne zmienianie bezpiecznych haseł oraz stosowanie unikalnych kombinacji dla każdego serwisu. Warto też korzystać z menedżera haseł.

Przeczytaj także:

Komentarze

22
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    bbkr_pl
    21
    Ten artykul to calkowity belkot. Co to znaczy, ze "sztuczna inteligencja zlamala haslo"? Mowimy o znalezieniu kolizji hashy? Czy hasla mialy salt? Jaka metoda hashowania byla uzyta? Czy AI mialo dostep do rainbowow? A moze o ataku brute-force? A jezeli brute force to jakie byly parametry serwisu?

    Troche dziennikarskiej rzetelnosci poprosze. Redaktor kreci clickbait. Chwytliwy tytul, jakas niejasna ramka pokazujaca ze typowe 8znakowe haslo to 7 godzin jakiegostam "lamania". Wszyscy maja wejsc w tryb paniki a w ogole nie zostal przedstawiony kontekst.
    • avatar
      bbkr_pl
      6
      Poszukalem wiecej i ta firma w ogole to scam. Opis ich metodologii "lamania hasel" to jakas nedzna ramka calkowicie niczego nie wyjasniajaca. Artykul ma tylko nakrecac panike, bo oferuja jakies pieronsko drogie uslugi wykrywnia w darknecie skradzionych danych osobowych.

      Oczywiscie o zerowej skutecznosci, prawdziwe bazy sa za drogie zeby taka firme bylo stac na porzadne pokrycie. Obstawiam, ze co najwyzej pokaza ze adres email gdzies wyciekl w bulkowych listach typu "10milionow za 15$, zeszmacone ale mozna jeszcze troche pospamowac".

      Takze poprosze redakcje o troche wiecej uwagi skad sie kopiuje tresci.
      • avatar
        Witalis
        5
        Ja używam hasła QWERTY więc jestem w pełni bezpieczny i tłumaczę koledze że hasło 1234 jest trochę proste ale on się nie słucha XD
        • avatar
          First-Ever
          2
          Zawsze się zastanawiam, dlaczego niektóre strony rządowe lub dostawcy usług ograniczają długość haseł dla użytkowników np. do 8 znaków i uniemożliwiają użycia specjalnych znajów - coś tu śmierdzi.

          Poza moim masterpass, które zawiera "ciekawe znaki z ASCII", wszystko inne to 40-znakowe hasła wygenerowane w menadżerze haseł - SI może się przy tym posr** :)
          • avatar
            deseczka
            2
            I gdzie oni to hasło łamali w zaszyfrowanym PDFie? Życzę powodzenia w serwisie który blokuje dostęp po 3 nieudanej próbie.
            Dużo informacji i liczb, a i tak brak tych najważniejszych...
            • avatar
              Veritatis
              1
              Okazuje się, że pseudo sztuczna inteligencja może szybko zastąpić takich bezmyślnych pismaków. I bardzo dobrze!.
              • avatar
                eskowik
                0
                Teraz hakerzy tak za bardzo nie łamią haseł tylko wysyłają link na email do strony gdzie się wpisuje hasła i tam się wpisuje hasło i haker ma te hasło bo samemu się je wpisało.Albo robią jeszcze inaczej wykradają ciastko logowania z przeglądarki za pomoca jakiejś dziury w przeglądarce i wtedy nie musza znać hasła bo mają zalogowaną sesje danego użytkownika.I to są takie najprostsze sposoby ale śa też inne jak aplikacje które zbierają hasła i zaloguje sie do tej aplikacji i ta aplikacja ma te hasło które wysyła do hakera,a haker sprawdza gdzie te hasłą pasują na innych stronach. jeszcze kiilka innych sposobów jak wejście na konto przez uprawnienia służbowe,jakiś haker zapisuje sie do jakiejś służby no i hakuje konta na podstawie jakiegoś podejrzenia popełnienia przestępstwa.Wiecie Polska to nie jest normalny kraj tylko takie byle co więc na pewno dużo hakerów też pracuje w tych służbach bo tam ręka ręke myje.Wiecie jak jest w takich republikach bananowych.
                • avatar
                  jozek23
                  0
                  Ale jak się to ma do rzeczywistości ? Mogę użyć ophcrack i rainbow tables i złamać hasło na komputerze , ale na stronie banku 3 razy się pomylisz i konto zablokowane .
                  • avatar
                    youkai20
                    0
                    Ciekawe ile zajmie tej AI złamanie mojego hasła, które składa się z 28 znaków, wielkich i małych liter, cyfr, znaków specjalnych i kilku "pustych" spacji?
                    • avatar
                      Kasuja Wpisy Automatem
                      0
                      Czegoż to ten chatgpt jeszcze nie potrafi?

                      @Norbert, jakoś zero sensownych fefleksji w tym twoim hmmmm....... artykule. masz tu od forumowiczów całą masę porad co możesz zrobić gigantycznie lepiej, i nie korzystasz, a potem wielkie zdziwienie że marudzimy. Chłopie, to jest portal technologiczny, pamiętaj o tym.

                      Jedyne co jest dobre w twoim artykule, to dałeś namiar na artykuł @Wojtka, mistrza wycieków :P Trafił on na świetny artykuł, i jedynie to broni w zasadzie głównie tłumaczenie oryginału. Tam są podane dobre praktyki w zakresie haseł, i jednocześnie jest obalony mit haseł z generatorów któe wypluwają 8 znakowe robaczki, ciężkie do zapamiętania przez człowieka, łatwe do rozwalenia przez maszynkę.
                      8 znaków to szybko poleci nawet przez brute force, czyli zgadywanie po kolei. chatGPT nie ma tu nic do roboty, chyba że zacznie używać ......... papieru toaletowego :P

                      w metodzie nie podali ile próbek na sekundę taki chatGPT przetwarza. poza tym muszą dysponować lokalną kopią skrótu hasła. bo jeśli by w ten sposób próbowali zgadywać hasło w serwisie, to serwis po 3ch - 5ciu nieudanych próbach zablokowałby dalsze zgadywanie na godzinę.

                      a poza tym ze względu na partacko zrobione zabezpieczenia bazy ze skrótami haseł w serwisach webowych, używam właśnie długich haseł, minimum 12 znaków. to nie jest trudne. niestety wiele serwisów obcina nadmiernie długie hasła, zdarzają się tez takie które używają tylko 8 pierwszych znaków długiego hasła (są takie stare systemy) a reszta idzie do kosza. można to łatwo sprawdzić, tzn. nie wpisywać np. ostatniego znaku hasła, i zobaczysz czy się zalogujesz czy nie. jeśli się uda, nie wpisujesz 2ch ostatnich znaków.
                      chociaż obecnie bardzo rzadko się zdarza aby serwis uwzględniał mniej niż 20 znaków hasła.

                      tak nawiasem, szkoda że obsługa haseł w serwisach web często olewa unicode. niby wpisać się da, ale potem nie daje się zalogować. a jak się da zalogować, to po jakimś upgrade programów na własnym komputerze (zazwyczaj jest to przeglądarka) lub w serwisie web, hasło przestaje działać.
                      • avatar
                        MokryN
                        0
                        Wystarczy zablokować dostęp do konta po np. 3 próbach.
                        • avatar
                          Rafs0n
                          0
                          Kolejny clickbait... Już myślałem, że moje hasło zostanie złamane w kilka sekund XD a po tabelce widzę widzę nadal ponad 2mln lat
                          • avatar
                            vacotivus
                            0
                            Nic nowego, przecież to brute force, widząc po wykładniczym skalowaniu z długością hasła.