O Active Directory continua sendo a principal ferramenta para a gestão de identidades em muitas organizações, o que o torna um alvo frequente de ataques.
O que mudou não é o alvo propriamente dito, mas a velocidade e a eficiência desses ataques, que aumentaram drasticamente.
A inteligência artificial generativa tornou as investidas contra senhas mais baratas e eficazes, transformando um processo que antes demandava habilidades especializadas e grande poder computacional em algo acessível a praticamente qualquer pessoa.
Ferramentas como o PassGAN representam uma nova geração de password crackers que não dependem de listas estáticas nem de ataques de força bruta aleatórios.
Por meio de treinamento adversarial, esses sistemas aprendem os padrões reais de criação de senhas e aprimoram suas previsões a cada ciclo. Os resultados são preocupantes. Pesquisas recentes indicam que o PassGAN consegue quebrar 51% das senhas comuns em menos de um minuto e 81% em até um mês.
Além disso, esses modelos evoluem em alta velocidade. Quando treinados com dados de vazamentos específicos de uma organização, além de conteúdos de redes sociais ou sites públicos da empresa, esses modelos geram candidatos a senhas altamente direcionados, refletindo o comportamento real dos colaboradores.
Os ataques tradicionais a senhas seguiam padrões previsíveis. Os invasores utilizavam listas de palavras, aplicavam mutações baseadas em regras (como trocar "a" por "@", adicionar "123" ao final) e esperavam encontrar alguma correspondência. Tratava-se de um processo lento e intensivo em recursos.
Já os ataques baseados em IA funcionam de outra forma:
- Reconhecimento de padrões em larga escala: modelos de machine learning identificam nuances na forma como as pessoas criam senhas — incluindo substituições comuns, padrões de teclado e informações pessoais incorporadas — gerando palpites que refletem esses comportamentos. Em vez de testar milhões de combinações aleatórias, o foco é nos candidatos com maior probabilidade de sucesso.
- Mutação inteligente de credenciais: ao obter credenciais vazadas de terceiros, a IA gera variações adaptadas ao ambiente-alvo. Por exemplo, se “Summer2024!” funcionou em uma conta pessoal, o modelo pode testar “Winter2025!”, “Spring2025!” e outras variações prováveis, evitando combinações aleatórias.
- Reconhecimento automatizado: grandes modelos de linguagem analisam informações públicas da organização — como comunicados, perfis no LinkedIn e nomes de produtos — e usam esse contexto para criar campanhas de phishing e ataques de spray de senha altamente direcionados. Tarefas que antes consumiam horas humanas agora são feitas rapidamente.
- Barreiras de entrada reduzidas: graças a modelos pré-treinados e infraestrutura em nuvem, os atacantes não precisam mais de profundo conhecimento técnico ou hardware caro. O avanço da IA teve uma consequência inesperada: o maior acesso a hardwares potentes, ideais para ataques de cracking.
Empresas que treinam modelos de machine learning alugam clusters de GPUs nos períodos de menor uso. Atualmente, por cerca de R$ 25,00 por hora, um invasor pode alugar oito GPUs RTX 5090, que quebram hashes bcrypt até 65% mais rápido que a geração anterior. Mesmo com algoritmos robustos e fatores de custo elevados, o poder computacional disponível permite testar muito mais combinações do que há dois anos.
Quando somamos a isso os modelos de IA que criam palpites mais inteligentes, o tempo para quebrar senhas fracas ou moderadas diminui consideravelmente.
As políticas de senha do Active Directory foram pensadas para um cenário anterior à era da IA.
Regras de complexidade (letras maiúsculas, minúsculas, números e símbolos) geram padrões que os modelos de IA reconhecem facilmente.
Por exemplo, “Password123!” atende a essas regras, mas segue um padrão que esses sistemas identificam instantaneamente. A obrigação de trocar a senha a cada 90 dias, antes vista como boa prática, já não oferece a mesma proteção.
Usuários tendem a criar variações previsíveis: números sequenciais, referências sazonais ou alterações mínimas da senha anterior. Modelos de IA treinados com dados de vazamentos identificam esses padrões e os exploram em ataques de credential stuffing.
O uso básico de autenticação multifator (MFA) ajuda, mas não elimina o risco fundamental do comprometimento das senhas. Se o invasor consegue acessar a senha e contornar o MFA por técnicas como engenharia social, sequestro de sessão ou ataques de fadiga, o Active Directory permanece vulnerável.
Para enfrentar ataques potencializados por IA, as organizações devem ir além da conformidade e criar políticas baseadas na forma real como as senhas são comprometidas.
Na prática, o comprimento da senha importa mais do que a complexidade.
Modelos de IA têm mais dificuldade com senhas verdadeiramente aleatórias e longas. Uma frase com 18 caracteres formada por palavras aleatórias é muito mais resistente do que uma senha de oito caracteres com símbolos. Além disso, é fundamental identificar se os funcionários estão usando senhas já comprometidas em vazamentos externos. Nenhuma técnica de hashing é suficiente se a senha em texto claro já faz parte do dataset usado pelos atacantes.
Quando uma credencial comprometida aparece em bases de dados de vazamentos, o invasor não precisa mais quebrá-la. A senha conhecida passa a ser utilizada diretamente.
Este é um ponto de partida para avaliar onde os ataques potencializados por IA têm maior chance de sucesso. No cenário atual, a inteligência artificial generativa mudou o equilíbrio dos ataques a senhas, dando aos invasores uma vantagem clara. A questão não é se você deve reforçar sua defesa, mas se fará isso antes que suas credenciais apareçam no próximo vazamento.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...