Wenn Sie glauben, dass Sie ein sicheres Passwort haben, sollten Sie es sich noch einmal überlegen. Eine neue Studie von Helden der Heimsicherheit (öffnet in neuem Tab), ein Unternehmen für Cybersicherheit, zeigt, wie schnell und einfach künstliche Intelligenz (KI) Ihr Passwort knacken kann. Statistiken zeigen, dass 51 % der gängigen Passwörter in weniger als einer Minute geknackt werden können.
Die Sicherheitsforscher verwendeten PassGAN, einen Passwortgenerator, der auf einem Generative Adversarial Network (GAN) basiert. PassGAN und andere Passwortgeneratoren unterscheiden sich dadurch, dass ersterer nicht auf eine manuelle Passwortanalyse angewiesen ist. Im Gegensatz dazu nutzt das PassGAN-Modell, wie der Name schon sagt, GAN, um aus echten Passwortlecks zu lernen und realistische Passwörter zu generieren, die Sie verwenden können. Ein GAN ist ein Modell für maschinelles Lernen (ML), das zwei neuronale Netze (Generator und Diskriminator) gegeneinander abgleicht, um die Genauigkeit der Vorhersagen zu verbessern.
Kurz gesagt, der Generator produziert gefälschte Daten, um den Diskriminator zu täuschen. In der Zwischenzeit besteht die Aufgabe des Diskriminators darin, die echten Daten von den gefälschten Daten zu unterscheiden, die vom Generator erstellt wurden. Es wird zu einem Katz-und-Maus-Spiel, bei dem beide Netzwerke vom ständigen Streit profitieren. Der Generator wird kontinuierlich verbessert, um bessere gefälschte Daten zu erstellen, und der Diskriminator wird besser darin, die echten Daten von den gefälschten zu unterscheiden.
Home Security Heroes fütterte PassGAN mit 15.680.000 gängigen Passwörtern aus dem RockYou-Datensatz, um das Modell zu trainieren. Die Firma schloss Passwörter, die kürzer als vier Zeichen und länger als 18 Zeichen waren, aus dem Experiment aus. Für diejenigen, die noch nie von RockYou gehört haben, es war ein Widget-Entwickler für beliebte Social-Media-Plattformen wie MySpace oder Facebook. Hacker brachen 2009 in RockYou ein und stahlen die Daten von über 32 Millionen Benutzern, weil das Unternehmen Daten in einer unverschlüsselten Datenbank speicherte. Der RockYou-Datensatz wurde schließlich zu einer beliebten Option zum Trainieren von ML-Modellen zum Knacken von Passwörtern.
Im Laufe der Jahre sind zahlreiche Datenschutzverletzungen bei Opfern aufgetreten, darunter Facebook und Yahoo. Es gibt also viele persönliche Datensätze, um Passwortgeneratoren wie PassGAN zu trainieren. Mehr Daten bedeuten mehr Futter für die Kultivierung der KI.
| # Zeichen | Nur Zahlen | Kleinbuchstaben | Großbuchstaben, Kleinbuchstaben | Großbuchstaben, Kleinbuchstaben, Zahlen | Großbuchstaben, Kleinbuchstaben, Zahlen, Symbole |
|---|---|---|---|---|---|
| 4 | Sofort | Sofort | Sofort | Sofort | Sofort |
| 5 | Sofort | Sofort | Sofort | Sofort | Sofort |
| 6 | Sofort | Sofort | Sofort | Sofort | 4 Sekunden |
| 7 | Sofort | Sofort | 22 Sekunden | 42 Sekunden | 6 Minuten |
| 8 | Sofort | 3 Sekunden | 19 Minuten | 48 Minuten | 7 Stunden |
| 9 | Sofort | 1 Minute | 11 Stunden | 2 Tage | 2 Wochen |
| 10 | Sofort | 1 Stunde | 4 Wochen | 6 Monate | 5 Jahre |
| 11 | Sofort | 23 Stunden | 4 Jahre | 38 Jahre | 356 Jahre |
| 12 | 25 Sekunden | 3 Wochen | 289 Jahre | 2K Jahre | 30.000 Jahre |
| 13 | 3 Minuten | 11 Monate | 16.000 Jahre | 91.000 Jahre | 2M Jahre |
| 14 | 36 Minuten | 49 Jahre | 827.000 Jahre | 9M Jahre | 187M Jahre |
| 15 | 5 Stunden | 890 Jahre | 47M Jahre | 613 Millionen Jahre | 14 Mrd. Jahre |
| 16 | 2 Tage | 23.000 Jahre | 2 Mrd. Jahre | 26 Milliarden Jahre | 1 Billion Jahre |
| 17 | 3 Wochen | 812.000 Jahre | 539,72 Millionen Jahre | 2Tn Jahre | 95Tn Jahre |
| 18 | 10 Monate | 22M Jahre | 7,23 Mrd. Jahre | 96Tn Jahre | 6Qn Jahre |
Die Ergebnisse von Home Security Heroes zeigten, dass PassGAN 51 % der gängigen Passwörter in weniger als einer Minute knackte. Allerdings brauchte die KI bei den anspruchsvolleren Passwörtern etwas mehr Zeit. Zum Beispiel knackte PassGAN 65 % in weniger als einer Stunde, 71 % in weniger als einem Tag und bis zu 81 % in weniger als einem Monat.
Entsprechend Statistik (öffnet in neuem Tab)haben sechs von zehn Amerikanern ein Passwort mit einer Länge zwischen acht und elf Zeichen. Allerdings verwendet weniger als ein Drittel der Bevölkerung ein Passwort mit mehr als 12 Zeichen. Es ist nachvollziehbar, da kürzere und einfachere Passwörter leichter zu merken, aber anfälliger für Angriffe sind.
PassGAN brauchte weniger als sechs Minuten, um ein siebenstelliges Passwort zu knacken, selbst wenn es Zahlen, Groß- und Kleinbuchstaben und Symbole enthält. PassGAN kann beispielsweise ein zehnstelliges Passwort mit nur Zahlen und Kleinbuchstaben in einer Stunde enträtseln. Das Hinzufügen von Großbuchstaben, Zahlen und Symbolen zum Mix verlängert jedoch die Entschlüsselungszeit um bis zu fünf Jahre. Daher hat es nicht nur ein langes Passwort, sondern eines mit einem herausfordernden Muster, sodass die KI es nicht schnell lösen kann.
Home Security Heroes hat einige Richtlinien zum Schutz der Integrität Ihrer Passwörter bereitgestellt. Für den Anfang empfiehlt die Cybersicherheitsfirma, ein Passwort mit mindestens 15 Zeichen mit einem starken Muster zu erstellen, das mindestens zwei Groß- und Kleinbuchstaben mit Zahlen und Symbolen kombiniert.
PassGAN kann ein Passwort mit acht oder neun Zeichen in etwa sieben Stunden bzw. zwei Wochen herausfinden, selbst wenn Sie sich an die Best Practices halten. Passwörter mit 10 oder 11 Zeichen zu entschlüsseln, würde die KI etwa fünf und 365 Jahre brauchen. Die Entschlüsselung eines 15-stelligen Passworts dauert jedoch 14 Milliarden Jahre. Daher ist es auch wichtig, Ihr Passwort regelmäßig zwischen drei und sechs Monaten zu ändern. Und zur Sicherheit sollten Sie es vermeiden, dasselbe Passwort für verschiedene Konten zu verwenden.
KI ist hier, um zu bleiben, und die Hardware, die KI antreibt, wird sich im Laufe der Zeit verbessern. Es ist unbestreitbar, dass KI unserem täglichen Leben viele Vorteile bringt, aber nichts hindert böse Parteien daran, sie für böswillige Zwecke zu nutzen, wie z. B. das Knacken von Passwörtern, um Ihre Daten zu stehlen.