Como proteger as suas palavras-passe da IA

Blog

As ferramentas de decifração e adivinhação de palavras-passe com IA representam uma séria ameaça à sua segurança online. Eis como pode proteger as suas palavras-passe da IA:

por Ahona Rudra

Tempo de leitura: 6 min
Como proteger as suas palavras-passe da IA
Índice-

A IA generativa, que inclui tecnologias como as redes adversariais generativas (GAN) e modelos linguísticos como o GPT-3, tem potencial para introduzir vários riscos de cibersegurança e desafios. Estes riscos decorrem das capacidades da IA generativa para criar conteúdos altamente realistas e convincentes, bem como da sua capacidade para automatizar e otimizar várias actividades maliciosas.

Um risco notável é o seu potencial para melhorar as técnicas de quebra de palavras-passe, uma vez que os algoritmos de IA podem obter rapidamente informações a partir de bases de dados de palavras-passe e gerar combinações de palavras-passe prováveis - o que representa uma ameaça substancial, em especial para as palavras-passe que são fracas ou habitualmente utilizadas.

Takeaways de chaves

  1. A IA generativa apresenta riscos de cibersegurança ao criar conteúdos convincentes e ao reforçar actividades maliciosas.
  2. Os adivinhadores de palavras-passe baseados em IA podem analisar grandes conjuntos de dados para identificar padrões de palavras-passe comuns, tornando as palavras-passe fracas especialmente vulneráveis.
  3. Os gestores de palavras-passe desempenham um papel crucial na criação e armazenamento de palavras-passe únicas, melhorando a segurança geral das palavras-passe.
  4. A autenticação de dois factores acrescenta uma camada adicional de segurança, tornando o acesso não autorizado significativamente mais difícil.
  5. A vigilância permanente e as actualizações contínuas das medidas de segurança são essenciais para se manter à frente da evolução das ameaças impulsionadas pela IA.


Ferramentas de quebra de senhas com IA

As ferramentas de quebra de senhas com IA utilizam inteligência artificial e algoritmos de aprendizagem automática para adivinhar ou quebrar senhas de forma eficiente. Estas ferramentas podem aprender com os dados de palavras-passe existentes, reconhecer padrões e automatizar várias técnicas para comprometer as contas dos utilizadores, o que as torna uma ameaça significativa à cibersegurança. Algumas das ferramentas mais utilizadas incluem:

Proteja as suas palavras-passe com o PowerDMARC!

Teste grátis 15 diasMarcar demo


PassGAN

O PassGAN é uma ferramenta de IA bem conhecida que utiliza uma rede adversária generativa (GAN) para gerar e adivinhar palavras-passe. Pode aprender com bases de dados de palavras-passe existentes e gerar combinações de palavras-passe prováveis.

HashCat

O HashCat é uma ferramenta popular de quebra de senhas que utiliza IA e sistemas baseados em regras para otimizar e acelerar o processo de adivinhação de senhas. As regras podem ser criadas com base em padrões e estruturas de palavras-passe comuns.

RockYou2021

Este é um exemplo de uma base de dados de palavras-passe que vazou e que contém milhões de palavras-passe do mundo real. As ferramentas de IA podem analisar estes conjuntos de dados para aprender padrões de palavras-passe comuns e aumentar as suas taxas de sucesso na decifração de palavras-passe.

Cracking de senhas com aprendizagem profunda

Os investigadores de IA têm experimentado técnicas de aprendizagem profunda, incluindo redes neuronais recorrentes (RNN) e redes neuronais convolucionais (CNN), para melhorar as capacidades de quebra de palavras-passe. Estes modelos podem aprender padrões e estruturas complexas nas palavras-passe.

Ferramentas de reconhecimento de padrões

A IA pode ser utilizada para reconhecer padrões nas palavras-passe, tais como substituições comuns (por exemplo, "P@ssw0rd" para "Password") ou padrões de teclado (por exemplo, "123456" ou "qwerty").

Potenciais perigos colocados pelos adivinhadores de palavras-passe baseados em IA

Os adivinhadores de palavras-passe baseados em IA expandem significativamente o cenário de ameaças. Contribuem para violações maciças de dados ao comprometerem inúmeras contas. Quando associadas a grandes conjuntos de dados de credenciais violadas, estas ferramentas tornam-se ainda mais potentes, expondo informações sensíveis dos utilizadores e podendo causar danos financeiros e de reputação significativos.

Os utilizadores com palavras-passe fracas ou facilmente adivinháveis são particularmente vulneráveis. Os adivinhadores de IA podem identificar e explorar rapidamente estas vulnerabilidades, colocando em risco indivíduos e organizações.

Além disso, os adivinhos orientados por IA podem adaptar-se às circunstâncias em mudança e melhorar as suas técnicas ao longo do tempo. Isto exige uma vigilância permanente e a melhoria contínua das medidas de segurança para se manter à frente das ameaças em evolução.

Métodos comuns utilizados pela IA na quebra de senhas

As técnicas modernas de ciberameaça são geralmente formas evoluídas ou combinações de métodos tradicionais. Eis algumas técnicas infames que os hackers têm vindo a utilizar para explorar o poder ininterrupto da tecnologia. 

Reconhecimento de padrões

Os algoritmos de IA podem reconhecer padrões e tendências nas palavras-passe, como a utilização de frases comuns, padrões de teclado (por exemplo, "123456" ou "qwerty") ou substituições previsíveis (por exemplo, "P@ssw0rd" para "Password"). Os sistemas baseados em IA podem identificar e explorar eficazmente estes padrões na adivinhação de palavras-passe.

Extração de dados

A IA pode extrair e analisar grandes conjuntos de dados, incluindo bases de dados de palavras-passe violadas, para identificar escolhas e padrões de palavras-passe comuns. Ao aprender com estes conjuntos de dados, a IA pode prever e adivinhar melhor as palavras-passe utilizadas por indivíduos em diferentes plataformas e serviços.

Ataques de dicionário

Os ataques de dicionário utilizam uma lista predefinida de palavras, frases ou palavras-passe normalmente utilizadas (um "dicionário") para adivinhar a palavra-passe de um alvo. A IA pode melhorar os ataques de dicionário combinando palavras, aplicando substituições comuns (por exemplo, substituindo "o" por "0") e manipulando a lista de dicionário para gerar mais variações.

Recheio de Credenciais

O credential stuffing é o processo automatizado de utilização de pares de nome de utilizador e palavra-passe roubados de um site para obter acesso não autorizado a outras contas em que os utilizadores tenham reutilizado as mesmas credenciais. Mais de 50% dos utilizadores têm a mesma palavra-passe para várias contas, o que torna o trabalho do atacante muito mais fácil.

Os bots orientados para a IA são excelentes na automatização de ataques de falsificação de credenciais e no teste rápido de credenciais roubadas em vários serviços online.

Ataques de força bruta

Ataques de força bruta envolvem a tentativa sistemática de todas as combinações possíveis de caracteres até ser encontrada a palavra-passe correcta. A IA pode acelerar este processo prevendo quais as combinações mais prováveis com base em padrões e estruturas de palavras-passe comuns.

Ataques baseados no som do teclado 

A estudo recente realizado pela Universidade de Cornell, nos Estados Unidos, revelou que um modelo de IA, quando ativado num smartphone próximo, demonstrou a capacidade de replicar uma palavra-passe digitada num computador portátil com uma impressionante taxa de precisão de 95%. Este modelo de IA, desenvolvido por uma equipa de cientistas informáticos sediada no Reino Unido, foi especificamente treinado para identificar os toques nas teclas, uma capacidade que suscitou preocupações quanto a uma potencial utilização indevida por parte dos piratas informáticos.

O estudo concluiu que a ferramenta de IA demonstrou uma precisão notável na decifração das teclas premidas, mesmo quando utilizou o microfone de um computador portátil durante uma videoconferência Zoom. O estudo sublinhou que a disponibilidade generalizada de sinais acústicos do teclado não só os torna um método facilmente acessível para ciberataques, como também leva as pessoas a subestimar os riscos potenciais associados a esses ataques, desencorajando-as assim a tomar precauções para ocultar as suas introduções. Para aumentar a sensibilização para estas ameaças emergentes, os especialistas em cibersegurança debatem frequentemente estes riscos numa reunião em linha através de um webinar, ajudando os indivíduos e as organizações a tomar as precauções necessárias.

Proteger as suas palavras-passe contra os adivinhadores de palavras-passe de IA

As pessoas sensatas nunca ultrapassam a crença de que é melhor prevenir do que remediar! Por isso, eis o que pode fazer para impedir que os hackers descodifiquem as suas palavras-passe utilizando a IA:

Palavras-passe fortes e únicas

As palavras-passe fortes são uma defesa essencial contra os adivinhadores de palavras-passe baseados em IA. Elas tornam significativamente mais difícil para essas ferramentas invadirem suas contas. Para criar palavras-passe únicas, experimente:

  • Utilizar uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais.
  • Evitar informações facilmente adivinháveis, como datas de aniversário, nomes ou frases comuns.
  • Utilizar palavras-passe baseadas em frases-chave, combinar palavras aleatórias ou inventar uma frase memorável.
  • Assegurar que as suas palavras-passe são longas (pelo menos 12-16 caracteres) e não estão relacionadas com informações pessoais.
  • Utilizar palavras-passe diferentes para cada conta em linha para evitar que uma violação numa conta comprometa outras.

Gestores de palavras-passe

Os gestores de palavras-passe são ferramentas indispensáveis para salvaguardar as suas palavras-passe de forma eficaz. Podem gerar, armazenar e preencher automaticamente palavras-passe complexas e únicas para cada uma das suas contas, eliminando a necessidade de as criar e memorizar manualmente. Muitos gestores de palavras-passe sincronizam as suas palavras-passe em vários dispositivos, garantindo que tem acesso às suas palavras-passe onde quer que vá. Fornecem frequentemente alertas de violação de segurança, notificando-o se alguma das suas contas tiver sido comprometida.

Autenticação de dois factores (2FA)

A autenticação de dois factores (2FA) é um mecanismo de segurança que exige que os utilizadores forneçam dois factores de autenticação separados para verificar a sua identidade antes de obterem acesso a uma conta ou sistema. Estes factores dividem-se normalmente em três categorias:

Algo que o utilizador sabe: Trata-se normalmente de uma palavra-passe ou PIN que o utilizador conhece.

Algo que possui: Isto pode incluir um dispositivo físico como um smartphone, um cartão inteligente ou um token de segurança.

Algo que você é: Isto está relacionado com a biometria, como a leitura de impressões digitais, o reconhecimento facial ou a leitura da íris.

 

A 2FA acrescenta uma camada extra de segurança para além das palavras-passe. Mesmo que um atacante consiga obter a sua palavra-passe, continuará a precisar do segundo fator para obter acesso. Isto faz com que seja significativamente mais difícil para os utilizadores não autorizados violarem as suas contas.  

Monitorização de violações de dados 

O monitoramento de violações de dados é um aspeto crítico da segurança cibernética, e ferramentas orientadas por IA, como o leitor de XML DMARC do PowerDMARC leitor de XML DMARC do PowerDMARC fornecem informações granulares sobre suas fontes de envio de email. Esta ferramenta foi concebida para atuar como uma sentinela vigilante, protegendo incansavelmente contra ameaças baseadas em correio eletrónico, 24 horas por dia, 7 dias por semana.

O serviço de deteção de ameaças baseado em IA do PowerDMARC emprega algoritmos especializados alimentados por inteligência artificial para realizar uma análise e monitorização aprofundadas do tráfego de correio eletrónico. Uma de suas principais funções é identificar rapidamente as listas negras globais nas quais cada endereço IP está localizado. Isto é crucial porque os IPs nas listas de bloqueio estão frequentemente associados a spam, phishing ou actividades maliciosas. A deteção desses IPs ajuda a evitar que e-mails potencialmente prejudiciais cheguem à sua caixa de entrada.

O motor avalia a reputação de correio eletrónico do envio de nomes de anfitrião. Esta análise de reputação ajuda a identificar se o domínio de um remetente é conhecido por enviar e-mails legítimos ou se tem um historial de envio de spam ou conteúdo malicioso.

Resumo

Em 2023, a IA continuou seu impacto transformador na segurança cibernética, permitindo que as organizações se adaptassem ao cenário de ameaças em evolução e reforçassem suas defesas contra ataques cibernéticos. Com ferramentas como deteção avançada de ameaças, análise comportamental, autenticação aprimorada por IA, deteção de ameaças com tecnologia de IA e muito mais, a IA provou seu potencial no cenário de segurança cibernética. Para além da cibersegurança, muitos estão também a explorar actividades paralelas impulsionadas pela IA para aproveitar esta tecnologia para oportunidades de negócio inovadoras.

No entanto, é importante manter-se atualizado sobre os últimos desenvolvimentos e as melhores práticas em matéria de cibersegurança da IA para proteger eficazmente contra ameaças emergentes. Para saber mais, contacte-nos hoje mesmo!

Últimos posts de Ahona Rudra (ver todos)
O que são ataques baseados na identidade e como os impedir?O que são ataques baseados na identidade e como os travar_Como verificar se as suas fontes de correio eletrónico são fiáveisComo verificar se as suas fontes de correio eletrónico são fiáveis?