Een experiment van Home Security Heroes laat zien hoe een AI-gedreven tool meer dan de helft van de ingevoerde wachtwoorden binnen een minuut wist te kraken. Binnen een uur achterhaalde de tool 65 procent van de wachtwoorden.
Voor het experiment maakte het cybersecuritybedrijf gebruik van PassGAN, een nieuw soort wachtwoordkraker. Waar dergelijke tools normaal leunen op datasets, wordt PassGAN aangestuurd door twee neurale netwerken. Het ene leert om wachtwoorden te genereren en het andere leert om onderscheid te maken tussen de gegenereerde wachtwoorden en de wachtwoorden die afkomstig zijn van echte datalekken.
Naarmate het neurale netwerk meer wordt getraind, leert het om meer geavanceerde wachtwoordvoorspellingen te doen, waardoor het gebruikt kan worden om sneller wachtwoorden te kraken.
Voor het experiment voerde Home Security Heroes meer dan 15 miljoen wachtwoorden van de RockYou-inbreuk in 2009 aan de tool. Deze dataset wordt vaker gebruikt om tools voor het kraken van wachtwoorden te trainen.
Binnen een minuut was de tool in staat om 51 procent van de veelvoorkomende wachtwoorden te kraken. Na een uur had de tool 65 procent van de wachtwoorden achterhaald. Na een dag kende de tool 71 procent van de wachtwoorden en na een maand 81 procent.
15 tekens, kleine letters, hoofdletters, cijfers en leestekens
Gebaseerd op hun ontdekkingen, geeft Home Security Heroes advies om je wachtwoorden beter te beschermen tegen dergelijke tools. Zo adviseert het bedrijf om geen wachtwoorden te hergebruiken. Ook raadt het bedrijf aan om je wachtwoorden regelmatig te veranderen.
Volgens Home Security Heroes is een goed wachtwoord minimaal 15 tekens lang en bevat het kleine letters, hoofdletters, cijfers en leestekens. Hoe willekeuriger een wachtwoord is, hoe langer het duurt om het te kraken, concludeert het bedrijf uit zijn onderzoek.
In een blog schrijft Home Security Heroes dat een willekeurig gekozen wachtwoord met 18 tekens, dat bestaat uit kleine letters, hoofdletters, cijfers en leestekens op dit moment 6 triljoen jaar (een miljard keer een miljard jaar) kost om te kraken.
Dat laatste geldt voor de technologie die vandaag de dag beschikbaar is. Met de enorme sprongen die de ontwikkeling van AI-technologie op dit moment maakt kunnen we erop rekenen dat zelfs deze lange, willekeurige wachtwoorden in de toekomst niet zijn opgewassen tegen AI-gedreven wachtwoordkrakers. Met dat idee in het achterhoofd, ontstaan er steeds meer initiatieven om wachtwoorden volledig te laten verdwijnen.