Come L’IA può indovinare le tue password
Negli ultimi anni, l’Intelligenza Artificiale ha sperimentato uno sviluppo eccezionale, ampliando la sua influenza in diverse aree, comprese la medicina preventiva e la produzione artistica. La Cybersecurity è uno degli ambiti in cui strumenti potenziati dall’IA hanno generato notevoli miglioramenti e accelerazioni. Un esempio concreto è l’automatizzazione di processi precedentemente eseguiti manualmente, come nelle indagini legate all’OSINT (Open Source INTelligence).
OSINT è una pratica che si concentra sulla raccolta e l’analisi di informazioni provenienti da fonti di dati pubbliche e accessibili a tutti, come dati online, pubblicazioni e social media. L’obiettivo dell’OSINT è ottenere una comprensione approfondita di soggetti specifici, organizzazioni o eventi attraverso la raccolta di dati disponibili pubblicamente, evitando l’uso di fonti segrete o riservate. L’OSINT trova ampio impiego in settori diversi, inclusi la sicurezza informatica, le indagini digitali, l’intelligence e la valutazione del rischio. Questo fenomeno è stato influenzato dal fatto che nel corso del tempo, le persone hanno sempre più trasferito la loro vita online, dedicando una parte considerevole del loro tempo a interagire con altre persone attraverso diverse piattaforme. Questa crescente attività online ha portato le persone a condividere liberamente una maggiore quantità di informazioni personali, rendendo necessaria una gestione consapevole di tali dati. Per le forze dell’ordine, questa situazione rappresenta una fonte supplementare di prove digitali preziose per le indagini digitali forensi. Attraverso l’impiego dell’OSINT automatizzato tramite intelligenza artificiale, è stato possibile potenziare le tecniche di violazione delle password. Le informazioni ottenute dalla ricerca sui social media consentono di dedurre ipotesi sulle password degli account personali. Solitamente, le persone prestano poca attenzione nella creazione delle password, optando per elementi personali come nomi, date e oggetti significativi per semplificarne la memorizzazione. L’utilizzo di tali informazioni consente di ridurre significativamente il numero di password da testare per compromettere l’accesso a un account.
I modelli di Intelligenza Artificiale non si limitano a estrarre informazioni dai contenuti pubblicati online. Poiché la loro funzione principale in questo contesto è quella di indovinare le password, vengono appositamente addestrati per essere il più efficienti possibile nella generazione di password realistiche. In questa situazione, entrano in scena le GAN (Generative Adversarial Network), che rappresentano architetture neurali composte da due modelli di intelligenza artificiale che operano in competizione reciproca.
Prima di procedere, è utile spiegare in modo conciso come funziona un’intelligenza artificiale: una volta definito il compito da eseguire, si crea un’architettura neurale che sia in grado di rappresentare al meglio il problema da risolvere. A meno che non si stia lavorando in ambito di ricerca, di solito è possibile selezionare l’architettura da modelli già implementati per problemi simili. Dopo l’implementazione, si passa alle fasi di addestramento e test, in cui il nuovo modello viene sottoposto a sessioni di apprendimento utilizzando database composti da dati simili a quelli che si desidera imparare, i quali presentano già una mappatura definita per far comprendere all’intelligenza artificiale lo scopo dell’addestramento. Conclusa la fase di addestramento, si procede con quella di test, durante la quale il modello è alimentato con dati mai visti prima e la sua precisione viene valutata in base ai risultati ottenuti. Attraverso questa fase di test, è possibile apportare modifiche ai parametri o all’architettura stessa al fine di avvicinarsi sempre di più alla situazione ideale.
Tornando alle Generative Adversarial Network (GAN): si tratta di intelligenze artificiali composte da due architetture con compiti distinti. Il discriminatore viene istruito attraverso la fase di addestramento con dati che forniscono una base per comprendere la natura del problema (ad esempio, mostrando immagini di gatti per insegnargli a distinguere cosa sia un gatto e cosa non lo sia). Successivamente, entra in gioco la seconda architettura, il generatore, il cui compito è ingannare il discriminatore facendogli credere che i dati generati siano reali e provenienti da fonti umane (usando ancora l’esempio dei gatti, il generatore crea immagini sempre più dettagliate in risposta al rifiuto del discriminatore, fino a creare gatti artificiali così convincenti da ingannare il discriminatore, facendogli credere che siano autentici). Completata questa procedura, si ottiene un generatore in grado di creare immagini, dati e password simili a quelli generati dagli esseri umani.
Questa tattica è stata adottata da PassGAN, che sfrutta le Generative Adversarial Network (GAN) per apprendere in modo autonomo le distribuzioni di password reali provenienti da fonti legittime, al fine di generare password di alta qualità da testare in situazioni reali. Grazie alla notevole efficienza di questo approccio, è fattibile integrare i risultati ottenuti attraverso il processo di OSINT per potenziare le capacità di PassGAN nel creare password plausibili per attacchi informatici mirati contro l’utente designato. Date le capacità dell’intelligenza artificiale in questo contesto, la pratica più efficace per creare password difficili da indovinare consiste nell’adottare varie precauzioni. Queste includono la combinazione imprevedibile di lettere maiuscole e minuscole, l’inserimento di caratteri speciali e la scelta di evitare parole di senso compiuto. Inoltre, la frequente modifica delle password e l’uso di credenziali diverse per ciascun account contribuiscono notevolmente a rafforzare la sicurezza complessiva dei dati personali.
Per fortuna, siamo ancora a diversi anni di distanza da un’epoca in cui intelligenze artificiali potrebbero hackerare autonomamente qualsiasi account in breve tempo. Pertanto, non c’è motivo di preoccuparsi, ma è comunque consigliabile rimanere vigili nei confronti dei nuovi progressi nella ricerca e nello sviluppo relativi alla sicurezza dei dati. Un metodo sicuro per proteggere i tuoi account da furti l’adozione di un sistema di autenticazione multi-fattoriale (MFA). Questa tecnologia consente l’utilizzo di diversi metodi per accedere al tuo account, rendendo più complesso il compito di un’intelligenza artificiale nel tentativo di indovinare o violare la password. In pratica, anche se una IA dovesse riuscire a superare una barriera di sicurezza, sarebbe comunque impossibilitata ad accedere al tuo account senza interagire con un dispositivo fisico di autenticazione secondario, come ad esempio il tuo cellulare.