Czy AI zhakuje Twoje hasło? Jak zabezpieczyć swoje konto przed atakami hakerów?

Bezpieczeństwo w sieci to często poruszany temat. Hakerzy znajdują coraz lepsze sposoby na to, żeby przechytrzyć użytkownika. Coraz częściej słyszymy o utracie środków, wrażliwych danych osobowych, czy włamaniu na skrzynkę e-mailową.

Hakerzy mają wiele sposobów na to, by w skuteczny i mało podejrzany sposób osiągnąć swój cel. Do tej pory działali na własną rękę, korzystając np. z fałszywych powiadomień e-mailowych, czy wykorzystując napisane przez siebie boty. A co jeśli powstała ogólnodostępna technologia, która jest dużo potężniejsza niż hakerzy? Czy Twoje hasła mają szanse przetrwać z nią starcie?

Czym jest AI i jakie ma zastosowanie w łamaniu haseł?

AI to skrót od angielskich słów artificial intelligence oznaczających sztuczną inteligencję. To technologia, która nadaje maszynom ludzkie cechy i pozwala im się zbliżać do zachowań inteligentnych. Definiuje się ją jako technologię, która potrafi interpretować i reagować na określone dane. Sztuczna inteligencja powinna również samodzielnie uczyć się na podstawie zdobytej wiedzy, by móc ją wykorzystywać do określonych zadań.

Czy w takim razie sztuczna inteligencja jest na takim poziomie, by móc łamać hasła? Okazuje się, że tak i to w dość szerokim zakresie. W badaniu: “PassGAN: A Deep Learning Approach for Password Guessing” naukowcy dowodzą, że użycie narzędzia PassGAN spowodowało bardzo dobre wyniki dotyczące odgadnięcia haseł. W połączeniu z narzędziem HashCat nastąpił wzrost odgadniętych haseł o 51–73%. To bardzo dobry wynik, gdy popatrzymy na to z perspektywy hakera. Dzięki połączeniu PassGAN i HashCat haker może złamać o 1,5 raza więcej haseł.

Narzędzia do łamania haseł

Czym jest Hash Cat? To oprogramowanie o otwartym kodzie źródłowym (tzw. open source) do przywracania haseł. Posiada ponad 300 wysoko zoptymalizowanych algorytmów haszujących (kodujących) hasło. Dzięki wykorzystaniu wielu procesorów jednocześnie, odkrycie hasła za pomocą HashCat’a było do tej pory najszybszą metodą.

Rzeczywistość zmienia PassGAN w połączeniu z HashCat’em. PassGAN to narzędzie oparte o nauczanie maszynowe (z ang. machine learning). GAN to skrót od angielskich słów Generative Adversarial Networks, czyli Generatywnych Sieci Przestawnych. To model sieci, dzięki któremu narzędzie samodzielnie uczy się “podawania” prawdziwych haseł na podstawie dostarczonych baz. Najczęściej są to bazy, które wyciekły w wyniku rzeczywistych działań hakerów. Badanie “PassGAN: A Deep Learning Approach for Password Guessing” dowodzi, że nauczanie maszynowe będzie obiecujące w rozwoju takich technologii.

Jak działa proces łamania haseł przez AI?

Rozwój nowych technologii to również coraz większe szanse na zhakowanie. Twoje hasło do konta w banku, mediach społecznościowych czy do skrzynek e-mail są zagrożone. Wiemy jak uczy się AI, by móc złamać hasło. A jakie są metody łamania haseł?

• Atak słownikowy (z ang. Straight Attack) to metoda, która polega na odgadywaniu haseł i kluczy kryptograficznych za pomocą dopasowywania i testowania po kolei haseł z posiadanej bazy popularnych haseł. To jedna z najszybszych metod łamania hasła.
• Brute-Force Attack po polsku często nazywany atakiem siłowym. To technika łamania haseł polegająca na sprawdzeniu wszystkich możliwych kombinacji. Ze względu na konieczność wypróbowania wielu kombinacji cyfr i liter, przy skomplikowanych hasłach ta metoda wymaga sporej mocy obliczeniowej oraz dużej ilości czasu.
• Atak kombinatoryczny (z ang. combinatory attack) to rodzaj ataku słownikowego, ale bardziej skutecznego w przypadku dłuższych haseł – polega na łączeniu różnych haseł ze słownika.
• Atak hybrydowy (z ang. Hybrid Attack) to rodzaj ataku łączonego, np. Brute-Force z atakiem słownikowym. W takiej sytuacji narzędzia wykorzystują np. dostępne bazy danych (haseł i loginów), by uzupełnić pola logowania, aż do pozytywnej próby. W takich atakach również wykorzystywana jest możliwość wypróbowania różnych kombinacji.
• Rainbow Tabel Attack to zaawansowany atak słownikowy. Żeby do takiego ataku w ogóle doszło, hakerzy muszą mieć dostęp do słabo zabezpieczonych baz danych zawierających hasła, opartych o tabele. Aplikacje zazwyczaj nie przechowują haseł zapisanych tekstem, a ich zahaszowane (zaszyfrowane) skróty. Przy każdym logowaniu aplikacje porównują skróty i jeśli te się zgadzają, następuje logowanie. Hakerzy, uzyskując dostęp do bazy i tabel, w łatwy sposób są w stanie odszyfrować zapisane hasła.

To tylko kilka przykładów dotyczących łamania haseł. AI zwinnie przeprowadza analizy haseł i najbardziej przydaje się przy atakach słownikowych. Przetwarzanie ogromnej ilości danych pozwala AI dużo szybciej dopasować hasła, a tym samym je łamać.

Twórz długie i skomplikowane hasła!

Niejednokrotnie mówimy o tym, że tworzone hasła powinny być długie i skomplikowane. Powinny zawierać duże i małe litery, cyfry oraz znaki specjalne. Dlaczego? Okazuje się, że hasła składające się z 12 losowo wybranych cyfr, sztuczna inteligencja łamie w ciągu 25 sekund! Porównując, hasło o 12 znakach, składające się różnorodnych znaków, jak właśnie małe i duże litery, cyfry oraz znaki specjalne, zajmie AI 30 tysięcy lat.

Sytuację związaną z łamaniem haseł doskonale przedstawia infografika, jaką przygotował serwis Home Security Heroes. Obecnie 8-znakowe hasła, niezależnie od poziomu skomplikowania to maksymalnie 7 godzin, a i tak większość może być złamana natychmiast. Zmiana haseł na długie i skomplikowane to jedna z metod zapobiegających ich złamaniom.

Co robić, gdy podejrzewasz naruszenie bezpieczeństwa Twojego konta?

Przede wszystkim: nie panikuj. Pośpiech i nieprzemyślane decyzja, a także brak spokojnej i opanowanej analizy sytuacji to tylko krok do popełnienia kolejnych błędów. A na to hakerzy liczą najbardziej. Podejrzewasz, że ktoś złamał Twoje hasło? Skorzystaj z tych kroków:

1. Zmień swoje hasło. To zazwyczaj pierwszy krok, który powinieneś podjąć. Upewnij się, że twoje nowe hasło jest silne i unikalne, czyli długie i zawiera zestaw różnorodnych znaków.
2. Przejrzyj aktywność na swoim koncie. Większość usług pozwala na przeglądanie historii logowań lub aktywności na koncie. Sprawdź, czy nie ma tam niczego podejrzanego. Może wysłanej e-maile lub dyspozycje, których samodzielnie byś nie zlecił?
3. Sprawdź ustawienia bezpieczeństwa. Upewnij się, że nie zmieniły się ustawienia dotyczące zabezpieczeń, takie jak pytania bezpieczeństwa, adresy e-mail do odzyskiwania konta czy numery telefonów. Warto spojrzeć, czy dwuetapowe uwierzytelnianie dostępu nadal jest aktywne i przypisane do Twojego urządzenia.
4. Uruchom skanowanie antywirusowe. Możliwe, że Twoje urządzenie zostało zainfekowane złośliwym oprogramowaniem (malware), które mogło naruszyć bezpieczeństwo Twojego konta. Przykładem takiego oprogramowania jest Malwarebytes.
5. Zgłoś problem usługodawcy. Warto zgłosić podejrzenie naruszenia bezpieczeństwa. Wiele firm ma procedury, które pomogą Ci zabezpieczyć swoje konto. 
6. Włącz uwierzytelnianie dwuetapowe, jeżeli jest dostępne. To dodatkowa warstwa ochrony, która wymaga wprowadzenia kodu z telefonu komórkowego lub innego urządzenia wraz z hasłem.
7. Powiadom najbliższych. Jeżeli ktoś uzyskał dostęp do Twojego konta, może próbować oszukać Twoich znajomych i rodzinę, wysyłając im wiadomości w Twoim imieniu.
8. Monitoruj swoje konto. Po tym, jak podejmiesz powyższe kroki, nadal monitoruj swoje konto, aby upewnić się, że nie widzisz na nim żadnej nieznanej aktywności.

Pamiętaj, że konkretne kroki mogą się różnić w zależności od typu konta i usługodawcy. Ważne jest, aby zawsze być świadomym swojego bezpieczeństwa online i podjąć środki ostrożności, aby chronić swoje informacje. Jak dbamy o bezpieczeństwo w Mserwis.pl? Sprawdź, czytając poniższy artykuł.

Jeśli złamanie hasła nastąpiło do bankowości elektronicznej lub usług rządowych, takich jak np. ePuap, warto rozważyć zgłoszenie do odpowiednich organów, które zajmują się takimi sprawami.

Czy warto korzystać z menedżerów haseł w celu ochrony swoich danych?

Dane z marca 2023 roku pokazują, że jedna osoba ma średnio do zapamiętania 100 haseł! Wyobrażasz to sobie, by podawać po kolei 100 długich ciągów znaków wraz z loginami? Z pomocą przychodzą właśnie takie narzędzia jak menadżer haseł. Na rynku jest ich do wyboru mnóstwo, a te przetestowane przez Mserwis to KeePass oraz Password Safe. Pozwalają one nie tylko dodać nowy zestaw danych, by móc swobodnie je kopiować i bezpiecznie przechowywać, ale generują również nowe, bezpieczne hasła.

Jak najbardziej warto zainwestować kilka minut swojego czasu na to, by pozmieniać hasła, a następnie przenieść je do menedżera haseł. Dzięki temu masz pewność, że hasła są bezpiecznie przechowywane, a jedyną osobą, która ma do nich dostęp, jesteś Ty!

Jak zadbać o bezpieczeństwo w dobie rozwijającej się sztucznej inteligencji?

Jak widzisz, sztuczna inteligencja wspomaga szybsze łamanie haseł i niewykluczone, że takich incydentów będzie coraz więcej. Co możesz zrobić, żeby czuć się bezpieczniej?

• Zmień proste hasła. I bez sztucznej inteligencji były one narażone na złamanie. Teraz to tylko kwestia czasu, gdy ktoś zwyczajnie złamie Twoje proste hasło.
• Stosuj różne hasła do różnych kont. Dzięki temu, gdy jedno hasło wycieknie, pozostałe hasła wciąż są chronione.
• Zainwestuj czas w skonfigurowanie menedżera haseł. To tylko kilka minut, które sprawią, że będziesz bezpieczniejszy.
• Włącz uwierzytelnianie dwuetapowe. Uwierzytelnianie dwuetapowe (2FA) dodaje dodatkową warstwę ochrony poprzez wymaganie drugiego kroku weryfikacji po wpisaniu hasła, na przykład poprzez kod SMS wysłany na Twój telefon. Jak to zrobić w Mserwis? Pełną instrukcję znajdziesz tutaj.
• Edukuj siebie i znajomych. Podeślij im ten artykuł i uświadom, jakie niebezpieczeństwo na nich czeka. To ważne, aby zrozumieć, jak AI jest stosowane w technologiach, z których korzystasz, oraz jakie dane są zbierane i przetwarzane. Wiedza na ten temat pozwoli Ci lepiej zarządzać swoim bezpieczeństwem.
• Zwracaj uwagę na wiadomości phishingowe. Hakerzy często korzystają z taktyk phishingowych, wysyłając fałszywe wiadomości e-mail lub wiadomości tekstowe, które wyglądają jak pochodzące od zaufanych źródeł, aby skłonić Cię do podania swojego hasła. Koniecznie przeczytaj nasz artykuł: Nie daj się zhackować. Jak rozpoznać phishing?.
• Regularnie aktualizuj swoje hasła: Chociaż częste zmienianie haseł może być uciążliwe, jest to dobry sposób na zapewnienie, że nawet jeśli hasło zostanie skradzione, nie będzie ono użyteczne dla hakerów na długi okres czasu.

Po wdrożeniu tych praktyk zwiększysz swoje bezpieczeństwo w sieci. Znając mechanizmy łamania haseł i wykorzystanie AI w tym celu, Twoja świadomość i bezpieczeństwo znacznie wzrosną.

Czy AI zhakuje Twoje hasło?

Pamiętaj, że korzystanie z AI do łamania haseł, jak i samo łamanie haseł, jest nielegalne. Dodatkowo istnieją różne techniki zabezpieczające, które mogą skutecznie utrudniać takie ataki. W Mserwis.pl stosujemy takie techniki jak:

• Domyślne ograniczanie liczby prób logowania – gdy w krótkich odstępach czasu Ty lub ktoś do tego nieuprawniony będzie próbował się zalogować, automatycznie zablokujemy możliwość logowania się do poczty.
• Wykorzystywanie dodatkowych metod uwierzytelniania, takich jak uwierzytelnianie dwuetapowe. Ten typ logowania w Mserwis.pl aktywujesz w 5 minut! Sprawdź instrukcję!
• Stosowanie silnych haseł, które są trudne do odgadnięcia nawet dla AI. Na wielu etapach proponujemy generatory haseł, które pomogą Ci w wygenerowaniu silnych haseł.

AI może być narzędziem, które zhakuje Twoje hasło. Mamy nadzieję, że będziesz o krok przed hakerami działającymi ze sztuczną inteligencją i zabezpieczysz swoje hasła jak najprędzej.