Ma c’è una buona notizia: l’algoritmo può essere utilizzato per ingannare i malintenzionati.

La settimana scorsa, l’agenzia di reporting del credito Equifax ha annunciato che hacker malintenzionati avevano trafugato le informazioni personali di 143 milioni di persone nel loro sistema. Questo è motivo di preoccupazione, naturalmente, ma se un hacker volesse accedere ai tuoi dati online semplicemente indovinando la tua password, probabilmente saresti fregato in meno di un’ora. Ma c’è una notizia ancora peggiore: gli scienziati hanno sfruttato il potere dell’intelligenza artificiale (AI) per creare un programma che, combinato con gli strumenti esistenti, ha ricavato più di un quarto delle password da un set di oltre 43 milioni di profili LinkedIn. Tuttavia, i ricercatori suggeriscono che la tecnologia può essere utilizzata anche per battere i cattivi nel loro gioco.

Il lavoro potrebbe aiutare gli utenti medi e le aziende a misurare la forza delle password, dice Thomas Ristenpart, un informatico che studia la sicurezza informatica alla Cornell Tech di New York City ma che non ha partecipato allo studio. “La nuova tecnica potrebbe anche essere potenzialmente utilizzata per generare password ingannevoli per individuare le violazioni”.

I più efficaci programmi per il riconoscimento delle password, John The Ripper e hashCat, utilizzano diverse tecniche. Uno è semplice forza bruta, in cui provano casualmente un sacco di combinazioni di caratteri fino a ottenere quella giusta. Ma altri approcci comportano l’estrapolazione da password precedentemente trapelate e metodi di probabilità per indovinare ogni carattere in una password basandosi su quella precedente. In alcuni siti, questi programmi hanno indovinato più del 90% delle password. Ma ci sono voluti molti anni di codifica manuale per costruire dei piani di attacco.

La nuova ricerca mirava ad accelerare questo processo applicando il cosiddetto deep learning, un approccio di ispirazione cerebrale all’avanguardia dell’IA. I ricercatori dello Stevens Institute of Technology di Hoboken, New Jersey, hanno iniziato con una cosiddetta rete generativa di conflittualità, o GAN, che comprende due reti neurali. Un “generatore” tenta di produrre risultati artificiali (come le immagini) che assomigliano ad esempi reali (foto reali), mentre un “discriminatore” cerca di capire quali siano reali e quali create artificialmente. Si affinano fino a quando il generatore diventa un esperto contraffattore.

Giuseppe Ateniese, informatico di Stevens e co-autore del documento, paragona il generatore e il discriminatore rispettivamente a un bozzettista della polizia e a un testimone oculare; il disegnatore cerca di produrre qualcosa che possa sembrare un ritratto accurato del criminale. Le GAN sono state utilizzate per creare immagini realistiche, ma non sono state molto utilizzate per creare testi.

Il team dello Stevens ha creato un GAN chiamato PassGAN e lo ha confrontato con due versioni di hashCat e una versione di John The Ripper. Gli scienziati hanno somministrato ad ogni algoritmo decine di milioni di password trapelate da un sito di gioco chiamato RockYou, e hanno chiesto loro di generare centinaia di milioni di nuove password autonomamente. Hanno poi contato quante di queste nuove password corrispondevano a una serie di password trapelate di LinkedIn, per misurare la percentuale di successo.

PassGAN da sola ha generato il 12% delle password del set LinkedIn, mentre i suoi tre concorrenti hanno generato tra il 6% e il 23%. Ma le migliori prestazioni sono arrivate dalla combinazione di PassGAN e hashCat. Insieme, sono stati in grado di decifrare il 27% delle password nel set LinkedIn, come riportato dai ricercatori questo mese in una bozza di documento pubblicato su arXiv. Anche le password errate di PassGAN sembravano abbastanza realistiche, come ad esempio saddraculasantazonecoolarse18.

Usare le GAN per indovinare le password è una “novità”, dice Martin Arjovsky, un informatico che studia la tecnologia alla New York University di New York City. Il documento “conferma che ci sono problemi chiari e importanti in cui l’applicazione di semplici soluzioni di apprendimento automatico può portare un vantaggio cruciale”, afferma.

Ristenpart dice ancora: “Non mi è chiaro se per ottenere questi risultati è necessario l’artiglieria pesante e utilizzare il GAN”. Forse alcune tecniche di machine learning ancora più semplici avrebbero potuto aiutare hashCat allo stesso modo, dice (Arjovsky è d’ accordo.) Infatti, una rete neurale efficiente prodotta dalla Carnegie Mellon University di Pittsburgh, Pennsylavania, ha recentemente mostrato promesse, e Ateniese prevede di confrontarla direttamente con PassGAN prima di presentare il suo documento per la revisione.

Ateniese dice che anche se in questa dimostrazione pilota PassGAN ha aiutato hashCat, è “certo” che le future iterazioni potrebbero superare hashCat. Ciò è dovuto in parte al fatto che hashCat utilizza regole fisse e non è stato in grado di produrre da solo più di 650 milioni di password. PassGan, che inventa le proprie regole, può creare password all’infinito. “Mentre parliamo, sta generando milioni di password”, dice. Ateniese inoltre dice che PassGAN migliorerà con il crescere dei livelli nelle reti neurali e addestrandosi su molte più password trapelate.

Egli paragona PassGAN ad AlphaGo, il programma Google DeepMind che ha recentemente battuto un campione umano al gioco da tavolo Go utilizzando algoritmi di deep learning. “AlphaGo stava ideando nuove strategie che gli esperti non avevano mai visto prima”, dice Ateniese. “Personalmente credo che dandogli dati sufficienti, PassGAN sarà in grado di trovare regole che gli esseri umani non possono pensare”.

E se siete preoccupati per la vostra sicurezza, gli esperti suggeriscono modi per creare password forti, ad esempio rendendole lunghe (ma ancora facili da ricordare) e utilizzando l’autenticazione a due fasi.


Tradotto in Italiano. Articolo originale: Science


VISIONARI è un network di imprenditori, scienziati, artisti, scrittori e changemakers che pensano e agiscono al di fuori degli schemi.
Puoi fare domanda per entrare qui: https://bit.ly/visionari-entra

Seguici sulla nostra pagina Facebook per scoprire nuovi progetti innovativi:
Visionari