В качестве исходных данных платформа использует содержащий 15 млн записей словарь Rockyou, но благодаря тому, что модель "автономно изучает распределение реальных паролей в реальных утечках", у ИИ уходит менее минуты на взлом 51% паролей, менее часа на 65%, менее суток на 71% и менее месяца на 81%.
"Все дело в том, что когда мы придумываем пароль, мы часто следуем определенным шаблонам: меняем буквы на цифры (passw0rd), добавляем в конец пароля цифры или вопросительный знак", - говорит Владислав Тушканов, ведущий исследователь данных в "Лаборатории Касперского". По словам эксперта, такой подход позволяет справиться с необходимостью запоминать сложные пароли.
"Авторы PassGAN (вышедшей еще в 2017 году) использовали большое количество утечек паролей, произошедших за годы, чтобы с помощью машинного обучения извлечь из данных такие шаблоны и научиться создавать вариации паролей, которые мог бы придумать человек. Стоит отметить, что в рамках лабораторного эксперимента речь шла о так называемых потенциальных словарных атаках (если использовалось какое-то слово или популярный пароль типа qwerty или iloveyou как основа пароля), то есть по-настоящему случайные пароли (состоящие из случайных символов) менее стойкими не становятся. Кроме того, речь шла не о взломе любого аккаунта, а о "расшифровке" паролей для тех аккаунтов, которые попали в утечки данных", - рассказывает он.
Эксперты выделяют несколько правил, соблюдение которых позволит защититься от взлома. "Во-первых, используйте двухфакторную аутентификацию (вторым фактором может быть SMS-код или код, приходящий на адрес электронной почты) везде, где возможно. Во-вторых, используйте на разных сайтах и приложениях разные пароли, причем сложные и сгенерированные случайно. В этом поможет менеджер паролей - специальная программа, которая создает устойчивые к взлому пароли, безопасно их хранит и подставляет на сайты, когда нужно на них зайти", - поясняет Тушканов.