Wykorzystywanie sztucznej inteligencji (AI) do generowania haseł jest złym pomysłem. Istnieje prawdopodobieństwo, że hasło to trafi w ręce przestępcy, który wykorzysta je do ataku słownikowego — polegającego na tym, że atakujący przechodzi przez przygotowaną listę prawdopodobnych haseł (słów, fraz, wzorców) za pomocą zautomatyzowanych narzędzi, aż jedno z nich zadziała, zamiast próbować wszystkich możliwych kombinacji.
Firma Irregular zajmująca się cyberbezpieczeństwem opartym na sztucznej inteligencji przetestowała ChatGPT, Claude i Gemini i stwierdziła, że generowane przez nie hasła są „bardzo przewidywalne” i nie są prawdziwie losowe. Podczas testowania Claude'a 50 poleceń wygenerowało tylko 23 unikalne hasła. Jeden ciąg znaków pojawił się 10 razy, a wiele innych miało tę samą strukturę.
To może okazać się problemem.
Tradycyjnie atakujący tworzą lub pobierają listy słów zawierające popularne hasła, rzeczywiste wycieki danych oraz wzorcowe warianty (słowa z dodatkiem cyfr i symboli) do wykorzystania w atakach słownikowych. Dodanie około tysiąca haseł powszechnie udostępnianych przez chatboty AI nie wymaga prawie żadnego wysiłku.
Chatboty AI są szkolone, aby udzielać odpowiedzi w oparciu o to, czego się nauczyły. Są dobre w przewidywaniu tego, co nastąpi dalej, na podstawie tego, co już mają, a nie w wymyślaniu czegoś zupełnie nowego.
Jak stwierdzili naukowcy:
„Modele LLM działają na zasadzie przewidywania najbardziej prawdopodobnego następnego tokenu, co jest dokładnym przeciwieństwem tego, czego wymaga bezpieczne generowanie haseł: jednolitej, nieprzewidywalnej losowości”.
W przeszłości wyjaśnialiśmy, dlaczego komputery nie radzą sobie zbyt dobrze z generowaniem losowości. Menedżery haseł omijają ten problem, wykorzystując dedykowane kryptograficzne generatory liczb losowych, które mieszają rzeczywistą entropię, zamiast generować tekst oparty na wzorcach, jak ma to miejsce w przypadku modeli LLM.
Innymi słowy, dobry menedżer haseł nie „wymyśla” hasła w taki sposób, jak robi to sztuczna inteligencja. Prosi system operacyjny o losowe bity kryptograficzne i zamienia je bezpośrednio na znaki, dzięki czemu nie ma ukrytego wzorca, który mogliby poznać atakujący.
Witryna internetowa lub platforma, na której podajesz takie hasła, może informować Cię, że są one silne, ale obowiązują te same podstawowe zasady dotyczące tego, dlaczego nie należy ponownie używać haseł. Jaki sens ma silne hasło, jeśli cyberprzestępcy już je znają?
Jak zawsze, wolimy klucze dostępu od haseł, ale zdajemy sobie sprawę, że nie zawsze jest to możliwe. Jeśli musisz używać hasła, nie pozwól, aby sztuczna inteligencja je dla Ciebie wymyśliła. To po prostu nie jest bezpieczne. A jeśli już to zrobiłeś, rozważ zmianę hasła i dodaj uwierzytelnianie wieloskładnikowe (2FA), aby zwiększyć bezpieczeństwo konta.
Nie tylko informujemy o prywatności - oferujemy możliwość korzystania z niej.
Zagrożenia dla Privacy nigdy nie powinny wykraczać poza nagłówek. Zachowaj swoją prywatność online, korzystając z Malwarebytes Privacy VPN.
