Исследование: нейросеть из 15,5 млн паролей взломала больше половины менее чем за минуту

Исследование провела компания Home Security Heroes. Значит ли это, что россиянам срочно пора усложнять пароли?

Искусственный интеллект против паролей. Из 15,5 млн распространенных паролей, взятых для эксперимента, нейросетям удалось взломать больше половины паролей менее чем за минуту, 65% — менее чем за час, а чуть больше 70% — менее чем за день. Это цифры из исследования компании Home Security Heroes, которая специализируется на кибербезопасности. Эта компания на днях протестировала нейросеть PassGAN, она способна в момент взломать каждый второй обычный пароль в интернете.

Дело тут не только в сложности паролей, а в том, что они регулярно утекают, а нейросети обучаются на этих слитых базах, говорит генеральный директор Phishman, эксперт по информационной безопасности Алексей Горелкин:

Алексей Горелкин генеральный директор Phishman, эксперт по информационной безопасности «Пароли утекают регулярно. Даже есть интересная статистика, что, несмотря на все эти утечки, когда ты перепроверяешь эти пароли, 70% людей так их и не меняли. То есть, скормив в нейронку уже имеющуюся базу паролей, а это, кстати, на самом деле несложно, можно быстро или фактически мгновенно подбирать, как они назвали, простые пароли. Более того, даже сложные пароли, если они были в утечке, подобрать будет не так сложно. Восемь символов пароля можно подобрать за минуты, причем там могут быть восемь совершенно разных символов. Если все восемь символов — это цифры, тогда это будет мгновенно. Как обезопасить данные? Меняйте пароли на своем Wi-Fi и делайте пароль реально сложным. Это если мы говорим про домашнее, бытовое до того, как ты подключился к какому-нибудь сервису. В самом же сервисе всегда, где это возможно, включается двухфакторная верификация. Если же нет возможности использовать, к примеру, второй фактор, если мы говорим про корпоративные сервисы, то это должны быть довольно сложные пароли, состоящие из цифр, символов. Опять-таки по политике вашей компании они должны меняться раз в три месяца. Самое сложное для всех, пароли не должны быть идентичны у домашних сервисов и у корпоративных. То есть не надо использовать один и тот же пароль для условных «Одноклассников» и для входа в домен организации, где вы работаете».

Если пароли сложные и их много, их приходится хранить в базах. Но эти базы ведь тоже можно взломать. О том, как быть и насколько ситуация с кибербезопасностью сейчас ухудшается, рассуждает генеральный директор компании Zecurion Алексей Раевский:

Алексей Раевский генеральный директор компании Zecurion «Что значит взломать пароль? Это не то что кто-то зашел в вашу учетную запись в интернет-банке или в социальной сети и с помощью искусственного интеллекта подобрал пароль. Такого произойти не может, потому что там есть и ограничения на количество ввода и прочие способы ограничения. Здесь нужно, чтобы злоумышленник каким-то образом получил базу данных пользователей и пароли. Но плохая новость в том, что базы данных хотя и хорошо защищаются, это основной, самый ценный ресурс для компаний, все равно они иногда утекают. Но это не то что повсеместная история, такие случаи не столь часты, как утечки обычных персональных данных. В принципе, я бы сказал, что ситуация с нашей безопасностью ухудшилась, но не очень значительно».

По данным компании Home Security Heroes, быстро или относительно быстро взламываются простые пароли, особенно состоящие из одних только цифр. Если же использовать буквы, то уже десяти символов достаточно, чтобы загрузить работой нейросети на пять лет. Если используется 12-значный пароль, состоящий из прописных и строчных букв, инструменту может потребоваться 289 лет, чтобы взломать пароль.