Uno studio terrificante condotto e pubblicato dal portale Home Security Heroes ha messo in mostra quanto possa essere potente la più recente intelligenza artificiale generativa nel decifrare le password.

Emerge, quindi, quanto sia importante proteggere i nostri account con password abbastanza complesse, realizzate in modo da risultare difficilmente decifrabili dagli hacker del futuro che si appoggiano a questi strumenti sempre più performanti.

Lo studio allarmante: l’81% delle password più comuni viene decifrato entro un mese

Oltre a tutte le destinazioni d’uso che stiamo imparando a conoscere, i nuovi servizi di intelligenza artificiale generativa, se sfruttati da malintenzionati, possono mettere in serio pericolo la “sicurezza online” degli utenti.

Qualche giorno fa, il portale Home Security Heroes ha messo in luce un approccio avanzato che permette di sfruttare l’intelligenza artificiale generativa per decifrare le password. Questo si chiama PassGAN (Password Generative Adversarial Networks).

Lo studio pubblicato dal portale, mette in luce che PassGAN è stato in grado di compromettere il 51% delle password più comuni in meno di un minuto e, più in generale, l’81% delle password più comuni in appena un mese.

Home Security Heroes PassGAN password compromesse entro un mese

Il motivo per cui le intelligenze artificiali stiano facendo tutta questa differenza nel “bucare” le password è molto semplice e risiede proprio nella natura delle intelligenze artificiali stesse.

Gli utenti malintenzionati, anziché dovere affidarsi ad una analisi manuale delle password o ad algoritmi più o meno avanzati, danno “in pasto” alle intelligenze artificiali database di password reali provenienti da perdite effettive (quelle di cui ogni tanto sentiamo parlare).

I membri di Home Security Heroes hanno dunque spiegato come è stato addestrato PassGAN e, bene o male, hanno illustrato il funzionamento di questa IA.

In soldoni: la rete generativa si occuperà di generare un campione, lo confronterà con un campione “reale” (ovvero prelevato dal database di cui sopra) e lo passerà nella “Discriminate Network” tramite cui verrà stabilito se la password possa o meno risultare reale.

PassGAN workflow

È importante creare una password a prova di IA

Detto tutto ciò, è quindi molto importante mantenere un buon livello di sicurezza nelle nostre password. Sfortunatamente, molte perdite di database di password hanno rivelato che le persone tendono a utilizzare password piuttosto semplici e quindi facili da hackerare rispetto a quelle più sicure.

La domanda è: come possiamo assicurarci che la nostra password sia abbastanza forte da resistere a un “hack” e tenere al sicuro i nostri account? Proviamo a dare una risposta analizzando cosa, con gli strumenti a nostra disposizione per creare una password (numeri, lettere maiuscole e minuscole, simboli), possa rappresentare la migliore soluzione per proteggere i nostri account.

Partiamo dall’assunto che più consistente è la una password, minore sarà la probabilità che le persone o i sistemi di intelligenza artificiale possano decifrarla. Ecco un elenco di fattori che assicurano che la sicurezza della password sia difficile da compromettere:

  • Utilizzare almeno 15 caratteri.
  • Inserire almeno due lettere (maiuscole e minuscole), numeri e simboli nella password.
  • Evitare schemi di password ovvi, anche qualora soddisfino i precedenti requisiti.

La seguente immagine mette in mostra il tempo che una IA, nel 2023, può impiegare a bucare una password a seconda della sua complessità: si passa dalle password fatte da soli numeri che possono essere bucate istantaneamente, alle password composte da 18 caratteri (tra cui numeri, lettere maiuscole e minuscole e simboli) che richiedono tempi biblici per essere decifrate e che, attualmente, risultano impenetrabili.

Rispettando i requisiti minimi sopra-citati (combinazione di quindici caratteri con almeno due lettere, numeri e simboli, senza schemi ovvi), si può tranquillamente costruire una password che, allo stato attuale, richiederebbe miliardi di anni per essere decifrata.

Consigli per creare password a prova di IA

Altre misure di sicurezza

Sebbene possa sembrare faticoso/noioso mantenere le nostre password al sicuro, vale la pena fare uno sforzo per impedire a un utente malintenzionato di bucare i nostri account e potere fare tutto con le nostre app e ormai, diciamocelo, con la nostra vita.

Vedere quanto possa essere potente l’intelligenza artificiale per decifrare le password dovrebbe fungere da buon promemoria, non solo per assicurarci di utilizzare password complesse ma anche per controllare altri aspetti fondamentali e adottare altre misure di sicurezza:

  • Assicurarsi di utilizzare l’autenticazione a due (o più) fattori (2FA/MFA) non affidandosi a quella tramite SMS, quando possibile; ci sono un sacco di servizi molto utili (e gratuiti, vedi Google Authenticator) per generare codici per la 2FA.
  • Non utilizzare la stessa password su più account
  • Sfruttare le password generate automaticamente: spesso e volentieri, specie quando ci registriamo ad un servizio tramite smartphone, il browser ci consiglia di utilizzare una passord decisamente complessa e praticamente impossibile da ricordare che poi viene salvata all’interno del gestore delle password.
  • Aggiornare regolarmente le password, in particolar modo quelle degli account più importanti (account bancari, indirizzi e-mail).
  • Astenersi dall’utilizzare il WiFi pubblico, soprattutto per accedere alle app dei conti bancari e ad altri servizi “sensibili”.

Per maggiori informazioni, vi rimandiamo alla pagina dedicata sul portale Home Security Heroes dove è inoltre presente uno strumento che permette di “verificare” la consistenza di una password.

Potrebbero interessarti anche: Stop a ChatGPT in Italia: il Garante spiega i motivi del blocco e I creativi iniziano a fare causa alle società che sviluppano l’IA generativa