Revolución IA

La Inteligencia Artificial está llamada a protagonizar la próxima Revolución tecnológica

Inicio Sobre Revolucionia Temas Para saber más Contacto

Inteligencia Artificial para deducir contraseñas

Fernando P.    19/09/2017

Temas:  Actualidad    Aplicaciones    Divulgación    Inteligencia Artificial y Sociedad

Las técnicas de Inteligencia Artificial han encontrado acomodo en una variedad enorme de aplicaciones como herramienta para resolver ciertos problemas. Pero como sucede con cualqier herramienta, hay algunos usos mejores que otros.

Recientemente, un equipo de investigadores del New York Institute of Technology ha anunciado el desarrollo de un sistema basado en técnicas de Inteligencia Artificial que mejora a los sistemas al uso a la hora de averiguar las contraseñas de usuarios de servicios en la red.

Usuarios de servicios en la red
Hoy en día existen infinidad de servicios en la red que cuentan con miles de millones de usuarios en total. La forma habitual de proporcionar acceso a cada usuario consiste en que este elija una contraseña que le permitirá acceder al servicio. El proveedor del servicio mantiene una base de datos con los usuarios y con alguna forma de protección de las contraseñas.

Naturalmente, existe toda una industria dedicada al robo de cuentas de usuario para servicios en la red. En teoría, las contraseñas introducidas por los usuarios protegen las cuentas, pero en la práctica esto no es así.

En los últimos tiempos se ha producido el robo de inmensas bases de datos de contraseñas de algunos servicios en la red. Muchas de estas bases de datos han terminado publicándose y están al alcance de cualquiera.

Si una cosa que ha quedado clara con la publicación de estas bases de datos es que los usuarios de los servicios en la red tienen tendencia a elegir malas contraseñas. Contraseñas del tipo 123456 o maria1980 son tremendamente comunes.

Averiguando contraseñas
Normalmente, los servicios en la red almacenan las contraseñas de los usuarios con algún tipo de protección que no permite conocer explícitamente la contraseña en caso de robo de la base de datos.

Pero esas protecciones se limitan a un mecanismo que, dada una posible contraseña, responde si es válida o no para la cuenta de usuario de la que estamos intentando apoderarnos. Evaluar el mecanismo de protección es algo muy rápido, se puede repetir millones de veces por segundo.
Deduciendo contraseñas
Existen multitud de herramientas que utilizan diccionarios de términos que pueden aparecer en una contraseña junto con algunas reglas deducidas por investigadores para generar listas inmensas, pero manejables, de posibles contraseñas que son probadas contra las contraseñas protegidas, hasta que se producen respuestas positivas y se van conociendo todas las contraseñas de los usuarios de un servicio en la red.

Estas herramientas se nutren de los patrones más comunes que suelen aparecer en las contraseñas que eligen los usuarios. Si las contraseñas elegidas por los usuarios fueran prácticamente aleatorias, sin ningún patrón discernible, estas herramientas serían inútiles porque la cantidad de posibilidades a probar sería inabordable.

Inteligencia Artificial averiguando contraseñas
En la investigación que se menciona al comienzo del artículo, se describe un sistema de clasificación basado en redes neuronales artificiales que se entrenan usando aprendizaje supervisado y que tiene dos componentes:

Por ejemplo, imaginemos que hemos visto que dos usuarios han elegido las contraseñas Juan1970 y juan1965, respectivamente. Si quisiéramos generar probables contraseñas de otros usuarios probaríamos cosas como Juan1965, juan1980, o pepe1234.

La primera red neuronal reconocería como probables estas posibles contraseñas y la segunda red neuronal se entrena para que genere cosas de este tipo a partir de patrones de entrada en forma de ruido que constituye la fuente de variabilidad necesaria.

El sistema construido de esta forma se denomina PassGAN, debido a que las dos redes neuronales que lo componen están en una configuración que se suele denominar Generative Adversarial Networks.

Sin más información que cantidades enormes (del orden de millones) de contraseñas reales usadas para entrenar las redes, PassGAN es capaz de generar contraseñas que sí existen en otras bases de datos (no usadas para el entrenamiento) en un porcentaje significativo del orden del 12%, batiendo a algunas buenas herramientas para la deducción de contraseñas basadas en reglas explícitas.

Los ladrones de bases de datos de contraseñas ya saben que en el próximo robo van a poder hacerse con el 12% de las cuentas de usuario sin más que usar algo como PassGAN para generar una lista inmensa de posibles contraseñas y probarlas contra las contraseñas protegidas de la base de datos.


Básicamente, lo que tenemos aquí es la construcción de un clasificador usando redes neuronales artificiales capaz de generalizar, a base de detectar los patrones usuales de construcción de contraseñas, de forma que puede generar listas enormes, pero manejables, de posibles contraseñas con las que poder probar.


Para saber más:

Artículo en medio especializado que analiza la investigación llevada a cabo para construir el sistema de generación de contraseñas PassGEN.

Artículo original en el que se describe la investigación llevada a cabo para construir el sistema de generación de contraseñas PassGEN.

Página de la Wikipedia que trata sobre las contraseñas en general y sobre los medios de proteccioón de las mismas a la hora de almacenarlas en bases de datos.

Página de la Wikipedia que trata sobre los ataques conocidos como de diccionario que se usan para explotar la existencia de patrones en las contraseñas elegidas por los usuarios de servicios en la red.



 

Inicio Powered by NetBSD
 
HTML5
 
En general, todo el contenido de este sitio web es original, salvo referencias o enlaces a otros sitios web y citas o reproducciones expresamente presentadas como tales.

No está permitida la reproducción ni la copia del contenido de este sitio web sin el permiso expreso de la propiedad del mismo.

Este sitio web no utiliza cookies ni ningún otro mecanismo para almacenar información en los navegadores de los visitantes ni para realizar seguimiento de los mismos.

2017,2018 Revolucionia.net
Sobre Revolucionia
Temas
Para saber más
Contacto