Het gebruik van kunstmatige intelligentie (AI) om uw wachtwoorden te genereren is een slecht idee. Het is waarschijnlijk dat dit wachtwoord in handen komt van een crimineel die het vervolgens kan gebruiken in een woordenboekaanval. Dit is wanneer een aanvaller met geautomatiseerde tools een vooraf opgestelde lijst met mogelijke wachtwoorden (woorden, zinnen, patronen) doorloopt totdat een ervan werkt, in plaats van elke mogelijke combinatie te proberen.
AI-cyberbeveiligingsbedrijf Irregular heeft ChatGPT, Claude en Gemini getest en ontdekte dat de wachtwoorden die ze genereren "zeer voorspelbaar" zijn en niet echt willekeurig. Toen ze Claude testten, leverden 50 prompts slechts 23 unieke wachtwoorden op. Eén reeks kwam 10 keer voor, terwijl veel andere dezelfde structuur hadden.
Dit zou een probleem kunnen worden.
Traditioneel stellen aanvallers woordenlijsten samen of downloaden ze woordenlijsten met veelgebruikte wachtwoorden, echte lekken en patroonvarianten (woorden plus cijfers en symbolen) om te gebruiken bij woordenboekaanvallen. Het kost bijna geen moeite om daar een duizendtal wachtwoorden aan toe te voegen die vaak door AI-chatbots worden verstrekt.
AI-chatbots zijn getraind om antwoorden te geven op basis van wat ze hebben geleerd. Ze zijn goed in het voorspellen van wat er gaat komen op basis van wat ze al hebben, maar niet in het bedenken van iets compleet nieuws.
Zoals de onderzoekers het formuleren:
"LLM's werken door het meest waarschijnlijke volgende token te voorspellen, wat precies het tegenovergestelde is van wat nodig is voor het genereren van veilige wachtwoorden: uniforme, onvoorspelbare willekeurigheid."
In het verleden hebben we uitgelegd waarom computers in de eerste plaats niet erg goed zijn in willekeurigheid. Wachtwoordbeheerders omzeilen dit feit door gebruik te maken van speciale cryptografische random number generators die echte entropie gebruiken, in plaats van de op patronen gebaseerde tekstgeneratie die je bij LLM's ziet.
Met andere woorden, een goede wachtwoordbeheerder 'verzint' uw wachtwoord niet zoals een AI dat doet. Hij vraagt het besturingssysteem om cryptografische willekeurige bits en zet die direct om in tekens, zodat er geen verborgen patroon is dat aanvallers kunnen ontdekken.
Een website of platform waar u dergelijke wachtwoorden invoert, kan u vertellen dat ze sterk zijn, maar dezelfde basisreden waarom u wachtwoorden niet opnieuw moet gebruiken, geldt ook hier. Wat heeft een sterk wachtwoord voor zin als cybercriminelen het al hebben?
Zoals altijd geven we de voorkeur aan passkeys boven wachtwoorden, maar we beseffen dat dit niet altijd een optie is. Als u een wachtwoord moet gebruiken, laat dan geen AI er een voor u bedenken. Dat is gewoon niet veilig. En als u dat al gedaan heeft, overweeg dan om het te wijzigen en multi-factor authenticatie (2FA) toe te voegen om het account veiliger te maken.
We rapporteren niet alleen over privacy - we bieden u optie om er gebruik van te maken.
Privacy 's mogen nooit verder reiken dan een krantenkop. Houd uw online privacy uw door gebruik te maken van Malwarebytes Privacy VPN.
