Si vous pensez avoir un mot de passe fort, il est temps de réfléchir à nouveau. Une nouvelle étude de Home Security Heroes (s’ouvre dans un nouvel onglet), une entreprise de cybersécurité, montre à quelle vitesse et avec quelle facilité l’intelligence artificielle (IA) peut déchiffrer votre mot de passe. Les statistiques montrent que 51% des mots de passe courants peuvent être déchiffrés en moins d’une minute.
Les chercheurs en sécurité ont utilisé PassGAN, un générateur de mots de passe basé sur un réseau antagoniste génératif (GAN). PassGAN et les autres générateurs de mots de passe diffèrent car ils ne dépendent pas de l’analyse manuelle des mots de passe. En revanche, le mode PassGAN, comme son nom l’indique, tire parti du GAN pour apprendre des fuites de mots de passe réels et générer des mots de passe réalistes que vous pouvez utiliser. Un GAN est un modèle d’apprentissage automatique (ML) qui oppose deux réseaux de neurones (générateur et discriminateur) pour améliorer la précision des prédictions.
En bref, le générateur produit de fausses données pour tromper le discriminateur. Pendant ce temps, le travail du discriminateur est d’identifier les vraies données des fausses données créées par le générateur. Cela devient un jeu du chat et de la souris où les deux réseaux profitent de la dispute constante. Le générateur s’améliore continuellement pour construire de meilleures fausses données, et le discriminateur s’améliore pour différencier les vraies données des fausses.
Home Security Heroes a alimenté PassGAN avec 15 680 000 mots de passe communs de l’ensemble de données RockYou pour former le modèle. Pour ceux qui n’ont jamais entendu parler de RockYou, c’était un développeur de widgets pour les plateformes de médias sociaux populaires comme MySpace ou Facebook. Les pirates ont piraté RockYou en 2009, volant plus de 32 millions de données d’utilisateurs parce que l’entreprise stockait des données dans une base de données non cryptée. L’ensemble de données RockYou est finalement devenu une option populaire pour la formation de modèles de craquage de mots de passe ML.
De nombreuses violations de données se sont produites au fil des ans avec des victimes, notamment Facebook et Yahoo. Ainsi, de nombreux ensembles de données personnelles sont disponibles pour former des générateurs de mots de passe comme PassGAN. Plus de données équivaut à plus de fourrage pour cultiver l’IA.
| # de caractères | Chiffres uniquement | Minuscules | Lettres majuscules et minuscules | Lettres majuscules, minuscules, chiffres | Lettres majuscules, minuscules, chiffres, symboles |
|---|---|---|---|---|---|
| 4 | Immédiatement | Immédiatement | Immédiatement | Immédiatement | Immédiatement |
| 5 | Immédiatement | Immédiatement | Immédiatement | Immédiatement | Immédiatement |
| 6 | Immédiatement | Immédiatement | Immédiatement | Immédiatement | 4 secondes |
| 7 | Immédiatement | Immédiatement | 22 secondes | 42 secondes | 6minutes |
| 8 | Immédiatement | 3 secondes | 19 minutes | 48 Minutes | 7 heures |
| 9 | Immédiatement | 1 minutes | 11 heures | 2 jours | 2 semaines |
| dix | Immédiatement | 1 heure | 4 semaines | 6 mois | 5 années |
| 11 | Immédiatement | 23 heures | 4 années | 38 ans | 356 ans |
| 12 | 25 secondes | 3 semaines | 289 ans | 2K ans | 30 000 ans |
| 13 | 3 minutes | 11 mois | 16 000 ans | 91 000 ans | 2 millions d’années |
| 14 | 36 Minutes | 49 ans | 827 000 ans | 9 millions d’années | 187 millions d’années |
| 15 | 5 heures | 890 ans | 47 millions d’années | 613 millions d’années | 14 milliards d’années |
| 16 | 2 jours | 23 000 ans | 2 milliards d’années | 26 milliards d’années | 1Tn d’années |
| 17 | 3 semaines | 812 000 ans | 539,72 millions d’années | 2000 ans | 95Tn d’années |
| 18 | 10 mois | 22 millions d’années | 7,23 milliards d’années | 96Tn d’années | 6Qn années |
Les conclusions de Home Security Heroes ont révélé que PassGAN a déchiffré 51 % des mots de passe courants en moins d’une minute. Cependant, l’IA a pris un peu plus de temps avec les mots de passe les plus difficiles. Par exemple, PassGAN a craqué 65 % en moins d’une heure, 71 % en moins d’une journée et jusqu’à 81 % en moins d’un mois.
Selon Statista (s’ouvre dans un nouvel onglet), six Américains sur dix ont un mot de passe d’une longueur comprise entre huit et 11 caractères. Cependant, moins d’un tiers de la population utilise un mot de passe de plus de 12 caractères. C’est compréhensible car les mots de passe courts et simples sont plus faciles à retenir mais plus sensibles aux attaques.
Il a fallu moins de six minutes à PassGAN pour déchiffrer un mot de passe à sept caractères, même s’il comprend des chiffres, des lettres majuscules et minuscules et des symboles. Par exemple, PassGAN peut démêler un mot de passe à dix caractères avec uniquement des chiffres et des lettres minuscules en une heure. Cependant, l’ajout de lettres majuscules, de chiffres et de symboles au mélange augmente le temps de décryptage jusqu’à cinq ans. Par conséquent, il ne s’agit pas seulement d’avoir un mot de passe long, mais un mot de passe avec un modèle difficile, de sorte que l’IA ne peut pas le résoudre rapidement.
Home Security Heroes a fourni quelques directives pour protéger l’intégrité de vos mots de passe. Pour commencer, la société de cybersécurité recommande de créer un mot de passe d’au moins 15 caractères avec un motif fort, combinant au minimum deux lettres majuscules et minuscules avec des chiffres et des symboles.
PassGAN peut trouver un mot de passe avec huit ou neuf caractères en environ sept heures et deux semaines, respectivement, même si vous suivez les meilleures pratiques. Les mots de passe de 10 ou 11 caractères prendraient environ cinq et 365 ans à l’IA pour déchiffrer. Un mot de passe de 15 caractères, cependant, prend 14 milliards d’années à décoder. Donc, changer votre mot de passe périodiquement, entre trois et six mois, est également essentiel. Et pour faire bonne mesure, évitez d’utiliser le même mot de passe pour différents comptes.
L’IA est là pour rester, et le matériel qui l’alimente s’améliorera avec le temps. Il est indéniable que l’IA apporte de nombreux avantages dans notre vie quotidienne, mais rien n’empêche des parties malveillantes de l’exploiter à des fins malveillantes, telles que craquer des mots de passe pour voler vos données.