Seguici su

News

Grazie all’AI, indovinarti la password è diventato molto più facile

Pubblicato

il

Ma c’è una buona notizia: l’algoritmo può essere utilizzato per ingannare i malintenzionati.

La settimana scorsa, l’agenzia di reporting del credito Equifax ha annunciato che hacker malintenzionati avevano trafugato le informazioni personali di 143 milioni di persone nel loro sistema. Questo è motivo di preoccupazione, naturalmente, ma se un hacker volesse accedere ai tuoi dati online semplicemente indovinando la tua password, probabilmente saresti fregato in meno di un’ora. Ma c’è una notizia ancora peggiore: gli scienziati hanno sfruttato il potere dell’intelligenza artificiale (AI) per creare un programma che, combinato con gli strumenti esistenti, ha ricavato più di un quarto delle password da un set di oltre 43 milioni di profili LinkedIn. Tuttavia, i ricercatori suggeriscono che la tecnologia può essere utilizzata anche per battere i cattivi nel loro gioco.

Il lavoro potrebbe aiutare gli utenti medi e le aziende a misurare la forza delle password, dice Thomas Ristenpart, un informatico che studia la sicurezza informatica alla Cornell Tech di New York City ma che non ha partecipato allo studio. “La nuova tecnica potrebbe anche essere potenzialmente utilizzata per generare password ingannevoli per individuare le violazioni”.

I più efficaci programmi per il riconoscimento delle password, John The Ripper e hashCat, utilizzano diverse tecniche. Uno è semplice forza bruta, in cui provano casualmente un sacco di combinazioni di caratteri fino a ottenere quella giusta. Ma altri approcci comportano l’estrapolazione da password precedentemente trapelate e metodi di probabilità per indovinare ogni carattere in una password basandosi su quella precedente. In alcuni siti, questi programmi hanno indovinato più del 90% delle password. Ma ci sono voluti molti anni di codifica manuale per costruire dei piani di attacco.

La nuova ricerca mirava ad accelerare questo processo applicando il cosiddetto deep learning, un approccio di ispirazione cerebrale all’avanguardia dell’IA. I ricercatori dello Stevens Institute of Technology di Hoboken, New Jersey, hanno iniziato con una cosiddetta rete generativa di conflittualità, o GAN, che comprende due reti neurali. Un “generatore” tenta di produrre risultati artificiali (come le immagini) che assomigliano ad esempi reali (foto reali), mentre un “discriminatore” cerca di capire quali siano reali e quali create artificialmente. Si affinano fino a quando il generatore diventa un esperto contraffattore.

Giuseppe Ateniese, informatico di Stevens e co-autore del documento, paragona il generatore e il discriminatore rispettivamente a un bozzettista della polizia e a un testimone oculare; il disegnatore cerca di produrre qualcosa che possa sembrare un ritratto accurato del criminale. Le GAN sono state utilizzate per creare immagini realistiche, ma non sono state molto utilizzate per creare testi.

Il team dello Stevens ha creato un GAN chiamato PassGAN e lo ha confrontato con due versioni di hashCat e una versione di John The Ripper. Gli scienziati hanno somministrato ad ogni algoritmo decine di milioni di password trapelate da un sito di gioco chiamato RockYou, e hanno chiesto loro di generare centinaia di milioni di nuove password autonomamente. Hanno poi contato quante di queste nuove password corrispondevano a una serie di password trapelate di LinkedIn, per misurare la percentuale di successo.

PassGAN da sola ha generato il 12% delle password del set LinkedIn, mentre i suoi tre concorrenti hanno generato tra il 6% e il 23%. Ma le migliori prestazioni sono arrivate dalla combinazione di PassGAN e hashCat. Insieme, sono stati in grado di decifrare il 27% delle password nel set LinkedIn, come riportato dai ricercatori questo mese in una bozza di documento pubblicato su arXiv. Anche le password errate di PassGAN sembravano abbastanza realistiche, come ad esempio saddraculasantazonecoolarse18.

Usare le GAN per indovinare le password è una “novità”, dice Martin Arjovsky, un informatico che studia la tecnologia alla New York University di New York City. Il documento “conferma che ci sono problemi chiari e importanti in cui l’applicazione di semplici soluzioni di apprendimento automatico può portare un vantaggio cruciale”, afferma.

Ristenpart dice ancora: “Non mi è chiaro se per ottenere questi risultati è necessario l’artiglieria pesante e utilizzare il GAN”. Forse alcune tecniche di machine learning ancora più semplici avrebbero potuto aiutare hashCat allo stesso modo, dice (Arjovsky è d’ accordo.) Infatti, una rete neurale efficiente prodotta dalla Carnegie Mellon University di Pittsburgh, Pennsylavania, ha recentemente mostrato promesse, e Ateniese prevede di confrontarla direttamente con PassGAN prima di presentare il suo documento per la revisione.

Ateniese dice che anche se in questa dimostrazione pilota PassGAN ha aiutato hashCat, è “certo” che le future iterazioni potrebbero superare hashCat. Ciò è dovuto in parte al fatto che hashCat utilizza regole fisse e non è stato in grado di produrre da solo più di 650 milioni di password. PassGan, che inventa le proprie regole, può creare password all’infinito. “Mentre parliamo, sta generando milioni di password”, dice. Ateniese inoltre dice che PassGAN migliorerà con il crescere dei livelli nelle reti neurali e addestrandosi su molte più password trapelate.

Egli paragona PassGAN ad AlphaGo, il programma Google DeepMind che ha recentemente battuto un campione umano al gioco da tavolo Go utilizzando algoritmi di deep learning. “AlphaGo stava ideando nuove strategie che gli esperti non avevano mai visto prima”, dice Ateniese. “Personalmente credo che dandogli dati sufficienti, PassGAN sarà in grado di trovare regole che gli esseri umani non possono pensare”.

E se siete preoccupati per la vostra sicurezza, gli esperti suggeriscono modi per creare password forti, ad esempio rendendole lunghe (ma ancora facili da ricordare) e utilizzando l’autenticazione a due fasi.


Tradotto in Italiano. Articolo originale: Science


VISIONARI è un network di imprenditori, scienziati, artisti, scrittori e changemakers che pensano e agiscono al di fuori degli schemi.
Puoi fare domanda per entrare qui: https://bit.ly/visionari-entra

Seguici sulla nostra pagina Facebook per scoprire nuovi progetti innovativi:
Visionari

Clicca per commentare

You must be logged in to post a comment Login

Leave a Reply

News

Nasce ATLANTICO, un quotidiano on-line e rivista di matrice Liberale

Pubblicato

il

Un quotidiano online e insieme una rivista cartacea trimestrale. Focus su politica interna, politica economica e politica internazionale: con un rigoroso approccio occidentale e pro-mercato.

Dal 26 parte l’edizione online: fruibile attraverso il sito Internet, come newsletter (a diffusione vastissima!), e naturalmente sui social media.

Il giorno dopo, sabato 27 alle 18, si presenta il primo numero della rivista cartacea a Milano, presso la Libreria Cultora. In questo numero d’esordio, abbiamo chiesto a trenta personalità le loro attese per il 2018, per l’attività delle nuove Camere e del nuovo Governo, tra speranza e disincanto…

Hanno scritto per noi per il primo numero: Gianmarco Pondrano Altavilla, Marco Bassini, Andrea Bernaudo, Luca Bertoletti, Anna Bono, Emanuele Canegrati, Gabriele Carrer, Federico Cartelli, Alfonso Celotto, Luigi Di Gregorio, Lucio Dicorato, Marco Faraci, Luigi Gabriele, Mirko Giordani, Francesco Giubilei, Michele Guerriero, Massimiliano Longo, Stefano Magni, Lorenzo Montanari, Pietro Paganini, Bepi Pezzulli, Enrico Salvatori, Paolo Savona, Jan Sawicki, Adriano Angelini Sut, Giacomo Tamborini, Rocco Todero, Francesco Vatalaro, Marco Zannini, Simone Zuccarelli, Giampiero Zurlo.

 

Mi permetto di ringraziarli ad uno ad uno. E di invitare tanti altri amici a prepararsi a scrivere per il quotidiano online a partire dal primo numero, il 26 prossimo!

Speriamo di costruire un luogo utile per tanti, non solo per chi già segue le attività culturali di New Direction Italia o di altri think-tank o centri-studi. E’ uno spazio aperto, a disposizione di chi vorrà farne tesoro.

L’editore è Francesco Giubilei. La direzione editoriale, insieme con me, è di Federico Punzi e Daniele Dell’Orco. 

Seguite Atlantico, partecipate, e chi vuole si proponga per scrivere. Questa stessa newsletter, come anticipato due settimane fa, confluirà nella nuova iniziativa editoriale dal 26 gennaio.

 

Qui il link alla pagina Facebook:

https://www.facebook.com/atlanticoquotidiano/

Daniele Capezzone

Continua a leggere

News

Rc Auto storico incontro tra IVASS, Antitrust e Consumatori. Stop alla clausole che limitano i risarcimenti

Pubblicato

il

Adusbef, Assoutenti, Casa del Consumatore, Codici, Federconsumatori, Movimento Consumatori, Lega Consumatori, Movimento Difesa del Cittadino

Importante incontro tenutosi il 15 gennaio a Roma tra le Associazioni dei Consumatori, l’Ivass e l’Antitrust

Come ad esempio proposto all’Ivass da Luigi Gabriele di Codici, che propone la tecnologia blockchain nel settore assicurativo, al fine di introdurre un sistema informativo integrato del settore che permetta di certificare l’intera filiera e di azzerare truffe a raggiri.

Dall’incontro svoltosi ieri tra associazioni dei consumatori e autorità di settore è emersa l’univoca e assoluta contrarietà a clausole vessatorie in RC Auto e nelle garanzie collegate, a fronte del proliferare di clausole che limitano i risarcimenti nell’RC Auto e nelle garanzie accessorie (grandine, vandalici e kasco) in cambio di sconti sulle polizze.

Le associazioni dei consumatori Adusbef, Assoutenti, Casa del Consumatore, Codici, Federconsumatori, Lega Consumatori, Movimento Consumatori e Movimento Difesa del Cittadino chiedono con forza un intervento affinché sia abbandonata la prassi di alcune compagnie di assicurazione di inserire le clausole limitative del diritto al risarcimento integrale o all’indennizzo dovuto e che le autorità vigilanti intervengano in tempi stretti con ogni opportuno strumento sanzionatorio oltre che attraverso pubbliche comunicazioni che abbiano un effetto di moral suasion, nei confronti delle imprese assicurative al fine di rimuovere dalla contrattualistica simili illegittime previsioni.

Si tratta di clausole illegittime perché in contrasto con il Codice del consumo (che all’ art.33 n. 2  lettera T vieta limitazioni al diritto di contrarre con terzi) e con la legge Concorrenza che ha ribadito il diritto del danneggiato ad ottenere l’integrale risarcimento del danno. I consumatori hanno chiesto alle autorità di vigilare e di intervenire affinché venga rispettato il Codice del consumo e hanno proposto interventi per portare maggiore trasparenza nei rapporti tra consumatori e imprese, riequilibrando le asimmetrie informative.

Nel contempo, le associazioni hanno comunicato la conclusione del tavolo tra Ania e Consumatori per la condivisione delle linee guida sulla trasparenza dei contratti assicurativi: un importante lavoro che costituisce un primo passo verso la concreta attuazione dei principi di trasparenza e di chiarezza nei contratti assicurativi.

Le associazioni chiedono inoltre, ai Ministeri per lo Sviluppo economico e delle Infrastrutture e Trasporti che vengano quanto prima emanate le regole necessarie per rendere l’installazione delle scatole nere indipendente dalle assicurazioni, operando affinché i dati siano effettivamente nella disponibilità del consumatore, anche mediante l’introduzione di garanzia di terzietà su tutta la filiera, con l’utilizzo di tecnologie affidabili che possano prevedere anche sistemi di security cam.

In occasione dell’incontro, i Consumatori hanno anche annunciato l’attivazione a breve, con associazioni dei riparatori e l’associazione delle imprese assicuratrici, del tavolo previsto all’art.10 della legge Concorrenza per la condivisione delle linee guida per le riparazioni a regola d’arte dei veicoli.

Continua a leggere

News

Mega multa a Poste italiane per abuso di posizione dominate su recapito postale!

Pubblicato

il

L’Autorità Garante della Concorrenza e del Mercato ha sanzionato per oltre 20 milioni di euro  Poste Italiane per un abuso di posizione dominante nel mercato del recapito degli invii multipli di corrispondenza ordinaria, vale a dire quegli invii che i grandi clienti business come le banche, le assicurazioni e le compagnie telefoniche mandano ai propri clienti (es. estratti conto, avvisi di scadenza, bollette). 

In particolare, la strategia escludente, attuata sin dal 2014 da Poste Italiane a danno dei concorrenti – entrati in questo mercato a seguito della liberalizzazione dei servizi postali – è consistita nell’offrire ai propri clienti finali condizioni economiche e tecniche non replicabili dai concorrenti almeno altrettanto efficienti, i quali  necessariamente devono ricorrere ai servizi di Poste Italiane per il recapito nelle zone rurali e meno densamente abitate del Paese (c.d. aree extra urbane), dove è presente solo Poste Italiane. Inoltre, Poste Italiane ha implementato una strategia di recupero dei volumi di posta affidati alla concorrenza, ricorrendo a sconti e condizioni selettivi e fidelizzanti, tra l’altro, condizionando gli sconti praticati ai clienti finali all’affidamento esclusivo di tutti gli invii o di una parte sostanziale degli stessi. 

L’istruttoria ha altresì accertato che la strategia anticoncorrenziale di Poste Italiane – exmonopolista che ancora oggi detiene una consolidata posizione dominante sul mercato in questione – ha prodotto concreti effetti sulle dinamiche concorrenziali; infatti, Poste Italiane è riuscita a recuperare numerosi clienti e ad aumentare ulteriormente la propria quota di mercato, a danno degli altri operatori postali attivi sul mercato. 

Roma, 15 gennaio 2018

Continua a leggere