Theo công ty an ninh mạng HomeSecurityHeroes, trung bình PassGAN chỉ cần chưa đến sáu phút để bẻ khóa bất kỳ mật khẩu nào có ít hơn 8 ký tự, dù chứa ký tự đặc biệt hay không. Công cụ cũ chỉ mất chưa đầy một phút để bẻ khóa 51% các loại mật khẩu phổ biến, 65% trong chưa đầy một giờ, 71% trong một ngày và 81% trong một tháng.
Công ty đã sử dụng PassGAN để phân tích hơn 15 triệu thông tin xác thực từ bộ dữ liệu mật khẩu bị rò rỉ của Rockyou. Công cụ này sẽ gặp khó khi mất ít nhất 10 tháng để bẻ khóa mật khẩu chỉ có số với nhiều hơn 18 ký tự. Nếu mật khẩu có sự kết hợp giữa ký hiệu, số, chữ viết thường và viết hoa (là cách thường được khuyên dùng), PassGAN mất sáu triệu tỷ năm để bẻ khóa.
Với cách bẻ khóa mật khẩu truyền thống, tin tặc sẽ so sánh danh sách ký tự với kết quả từ cơ sở dữ liệu mật khẩu phổ biến, sau đó cố gắng đoán mật khẩu khả dĩ dựa trên những biến thể. Còn với công cụ bẻ khóa sử dụng AI, quá trình đối chiếu và dự đoán diễn ra nhanh hơn và hoàn toàn tự động.
Trong thời gian ngắn, các công cụ sử dụng thuật toán máy học như PassGAN sẽ tìm hiểu cách mật khẩu hình thành từ các vụ rò rỉ thực. Ví dụ, nếu mật khẩu như "password" xuất hiện trong một vụ rò rỉ, công cụ sẽ thử những biến thể như "Passw0rd" hoặc "p@ssw0rd" làm mật khẩu khả thi để xâm nhập vào tài khoản khác. Do liên tục "học hỏi" trong quá trình phân tích, việc dự đoán, tạo biến thể của công cụ AI nhanh và chính xác hơn.
Theo Slashgear, công cụ như PassGAN đáng lo ngại nhưng không đồng nghĩa mật khẩu của người dùng luôn dễ dàng bị bẻ khóa. Do cơ chế hoạt động, chúng chỉ có thể hoạt động hiệu quả nếu đã có cơ sở dữ liệu từ các vụ rò rỉ mật khẩu trước đây. Nếu sử dụng mật khẩu mới, không dùng chung hoặc không giống mật khẩu từng bị lộ, người dùng giảm được đáng kể nguy cơ bị mất tài khoản.