Direktori Aktif masih menjadi cara sebagian besar organisasi mengelola identitas pengguna, sehingga sering menjadi fokus selama serangan. Yang berubah bukanlah targetnya, tapi seberapa cepat dan efektif serangan ini.
AI Generatif telah membuat serangan kata sandi menjadi lebih murah dan efisien, mengubah apa yang tadinya memerlukan keterampilan khusus dan daya komputasi yang signifikan menjadi sesuatu yang hampir dapat dilakukan oleh semua orang.
Serangan kata sandi yang didukung AI sudah digunakan
Alat seperti PassGAN mewakili generasi baru pemecah kata sandi yang tidak bergantung pada daftar kata statis atau keacakan brute force. Melalui pelatihan permusuhan, sistem mempelajari pola bagaimana orang benar-benar membuat kata sandi dan meningkatkan kemampuan dalam memprediksi kata sandi pada setiap iterasi.
Hasilnya sungguh menyedihkan. Penelitian terbaru menemukan hal itu PassGAN mampu memecahkan 51% kata sandi umum dalam waktu kurang dari satu menit dan 81% dalam sebulan. Yang lebih memprihatinkan adalah seberapa cepat model-model ini berkembang.
Ketika dilatih tentang data pelanggaran spesifik organisasi, konten media sosial, atau situs web perusahaan yang tersedia untuk umum, mereka dapat menghasilkan kandidat kata sandi yang sangat bertarget dan mencerminkan perilaku karyawan sebenarnya.
Bagaimana AI generatif mengubah teknik serangan kata sandi
Serangan kata sandi tradisional menyusul pola yang dapat diprediksi. Penyerang menggunakan daftar kata kamus, kemudian menerapkan mutasi berbasis aturan (misalnya, menukar “a” dengan “@”, menambahkan “123” di akhir), dan mengharapkan kecocokan. Ini adalah proses yang memakan banyak sumber daya dan relatif lambat.
Namun, serangan yang didukung AI berbeda:
- Pengenalan pola dalam skala besar: Model pembelajaran mesin mengidentifikasi pola halus dalam cara orang membuat kata sandi, termasuk penggantian umum, pola papan ketikdan bagaimana mereka mengintegrasikan informasi pribadi, menghasilkan tebakan yang mencerminkan perilaku tersebut. Alih-alih menguji jutaan kombinasi acak, AI berfokus pada kekuatan komputasi peretas pada kandidat yang paling mungkin.
- Mutasi kredensial cerdas: Ketika penyerang mendapatkan kredensial yang dilanggar dari layanan pihak ketigaAI generatif dapat dengan cepat menguji variasi khusus untuk lingkungan Anda. Misalnya, jika “Musim Panas 2024!” bekerja pada akun pribadi, model tersebut dapat dengan cerdas menguji “Musim Dingin2025!”, “Musim Semi2025!”, dan kemungkinan variasi lainnya daripada permutasi acak.
- Pengintaian otomatis: Model bahasa besar dapat menganalisis informasi yang tersedia secara publik tentang organisasi Anda, misalnya siaran pers, profil LinkedIn, dan nama produk, dan menggabungkan konteks tersebut ke dalam kampanye phishing yang ditargetkan dan serangan semprotan kata sandi. Apa yang biasanya memakan waktu berjam-jam bagi analis manusia kini dapat terjadi jauh lebih cepat.
- Hambatan masuk yang lebih rendah: Model terlatih dan infrastruktur komputasi awan berarti penyerang tidak lagi memerlukan keahlian teknis yang mendalam atau perangkat keras yang mahal.
Peningkatan akses ke perangkat keras cracking berkinerja tinggi
Booming AI telah menciptakan konsekuensi yang tidak diinginkan: ketersediaan perangkat keras konsumen yang lebih kuat dan cocok untuk memecahkan kata sandi. Organisasi yang melatih model pembelajaran mesin sering kali menyewa cluster GPU selama waktu henti.
Sekarang, dengan biaya sekitar $5 per jam, seorang penyerang dapat menyewa delapan GPU RTX 5090 yang memecahkan hash bcrypt sekitar 65% lebih cepat dibandingkan kartu generasi sebelumnya.
Bahkan dengan algoritma hashing yang kuat dan faktor biaya tinggi, kekuatan komputasi yang tersedia memungkinkan penyerang untuk menguji lebih banyak kandidat kata sandi dibandingkan dua tahun lalu.
Jika digabungkan dengan model AI yang menghasilkan tebakan lebih efektif, waktu yang dibutuhkan untuk memecahkan kata sandi lemah hingga sedang menjadi lebih singkat.
Mengapa kontrol kata sandi Direktori Aktif tradisional tidak cukup
Direktori Paling Aktif kebijakan kata sandi dirancang untuk lanskap ancaman pra-AI. Persyaratan kompleksitas standar (atas, bawah, angka, simbol) menghasilkan pola yang dapat diprediksi Model AI lebih cenderung dieksploitasi.
“Kata Sandi123!” memenuhi aturan kompleksitas tetapi mengikuti pola yang dapat langsung dikenali oleh model generatif.
Rotasi kata sandi wajib selama 90 hari, yang pernah dianggap sebagai praktik terbaik, kini tidak lagi memberikan perlindungan seperti dulu. Pengguna terpaksa mengubah kata sandi sering kali default pada pola yang dapat diprediksi: penambahan angka, referensi musiman, atau variasi kecil dari kata sandi sebelumnya.
Model AI yang dilatih mengenai data pelanggaran mengenali pola-pola ini dan mengujinya selama serangan pengisian kredensial.
Dasar autentikasi multi-faktor (MFA) membantu tetapi tidak mengatasi risiko mendasar dari kata sandi yang disusupi. Jika penyerang mendapatkan akses ke kata sandi yang telah disusupi dan dapat melewati MFA melalui rekayasa sosial, pembajakan sesi, atau serangan kelelahan MFA, Direktori Aktif mungkin masih terekspos.
Mengatasi serangan kata sandi yang dibantu AI di Direktori Aktif
Untuk bertahan dari serangan yang diperkuat AI, organisasi harus beralih dari sekadar kepatuhan ke kebijakan yang mengatasi bagaimana kata sandi sebenarnya disusupi. Dalam praktiknya, panjang lebih penting daripada kompleksitas.
Model AI berjuang dengan keacakan dan panjang sebenarnya, yang berarti frasa sandi 18 karakter yang dibuat dari kata-kata acak menghadirkan hambatan yang lebih besar daripada string 8 karakter dengan karakter khusus.
Namun yang lebih penting lagi, Anda memerlukan visibilitas apakah karyawan menggunakan kata sandi yang telah disusupi dalam pelanggaran eksternal. Kecanggihan hashing tidak akan melindungi Anda jika kata sandi teks biasa sudah ada dalam kumpulan data pelatihan penyerang.
Ketika kredensial yang disusupi muncul dalam kumpulan data pelanggaran, penyerang tidak perlu lagi memecahkan kata sandi. Pada titik ini, penyerang hanya menggunakan kata sandi yang diketahui.
Dengan Kebijakan Kata Sandi Specops Dan Perlindungan Kata Sandi yang DilanggarAnda dapat terus melindungi organisasi Anda dari lebih dari 4 miliar kata sandi unik yang diketahui telah disusupi, termasuk kata sandi yang mungkin memenuhi persyaratan kompleksitas, namun telah dicuri oleh malware.
Layanan ini diperbarui setiap hari berdasarkan pemantauan serangan di dunia nyata, memastikan perlindungan terhadap kredensial terbaru yang disusupi yang muncul dalam kumpulan data pelanggaran.
Kamus khusus yang memblokir istilah khusus organisasi (nama perusahaan, nama produk, dan jargon internal umum) membantu mencegah serangan bertarget yang dimungkinkan oleh pengintaian AI.
Jika dikombinasikan dengan dukungan frasa sandi dan persyaratan panjang yang menciptakan keacakan nyata, kontrol ini mempersulit model AI untuk menebak kata sandi.
Menilai paparan kata sandi di Direktori Aktif
Sebelum menerapkan kontrol baru, Anda perlu memahami eksposur Anda saat ini. Auditor Kata Sandi Specops menawarkan pemindaian AD gratis dan hanya-baca yang mengidentifikasi kata sandi yang lemah, kredensial yang disusupi, dan kesenjangan kebijakan, tanpa memerlukan perubahan apa pun pada lingkungan Anda.
Ini adalah titik awal untuk menilai di mana serangan yang didukung AI kemungkinan besar akan berhasil.
Terkait kata sandi, AI generatif telah mengubah keseimbangan upaya dalam serangan kata sandi, sehingga memberikan keuntungan yang terukur bagi penyerang.
Pertanyaannya bukanlah apakah Anda harus memperkuat pertahanan Anda; tergantung apakah Anda akan melakukannya sebelum kredensial Anda muncul pada pelanggaran berikutnya.
Bicaralah dengan pakar Specops tentang cara menghadapi tantangan unik Anda.
Disponsori dan ditulis oleh Perangkat Lunak Specops.
