Использование искусственного интеллекта (ИИ) для генерации паролей — плохая идея. Вероятно, что этот пароль попадет в руки преступника, который сможет использовать его в словарной атаке — это когда злоумышленник проходит по заранее подготовленному списку вероятных паролей (слов, фраз, шаблонов) с помощью автоматизированных инструментов, пока один из них не сработает, вместо того, чтобы пробовать все возможные комбинации.
Компания Irregular, занимающаяся кибербезопасностью с использованием искусственного интеллекта, протестировала ChatGPT, Claude и Gemini и обнаружила, что генерируемые ими пароли «очень предсказуемы» и не являются действительно случайными. При тестировании Claude 50 запросов дали всего 23 уникальных пароля. Одна строка повторялась 10 раз, а многие другие имели одинаковую структуру.
Это может оказаться проблемой.
Традиционно злоумышленники создают или загружают списки слов, состоящие из распространенных паролей, утечек из реального мира и шаблонных вариантов (слова плюс цифры и символы) для использования в словарных атаках. Добавление тысячи или около того паролей, которые обычно предоставляют чат-боты с искусственным интеллектом, не требует практически никаких усилий.
Чат-боты с искусственным интеллектом обучены давать ответы на основе того, чему они научились. Они хорошо умеют предсказывать, что будет дальше, на основе того, что у них уже есть, но не умеют придумывать что-то совершенно новое.
Как выразились исследователи:
«LLM работают, предсказывая наиболее вероятный следующий токен, что является полной противоположностью того, что требуется для безопасного генерации паролей: однородная, непредсказуемая случайность».
Ранее мы объясняли, почему компьютеры изначально не очень хорошо справляются с генерацией случайных чисел. Менеджеры паролей обходят эту проблему, используя специальные криптографические генераторы случайных чисел, которые смешивают реальную энтропию, а не генерацию текста на основе шаблонов, как в случае с LLM.
Другими словами, хороший менеджер паролей не «придумывает» ваш пароль так, как это делает искусственный интеллект. Он запрашивает у операционной системы криптографические случайные биты и преобразует их непосредственно в символы, поэтому у злоумышленников нет возможности выявить скрытый паттерн.
Веб-сайт или платформа, на которых вы вводите такие пароли, могут утверждать, что они надежны, но в этом случае действует тот же принцип, по которому не следует повторно использовать пароли. Какая польза от надежного пароля, если он уже известен киберпреступникам?
Как всегда, мы предпочитаем ключи доступа паролям, но понимаем, что это не всегда возможно. Если вам приходится использовать пароль, не позволяйте искусственному интеллекту придумывать его за вас. Это просто небезопасно. А если вы уже это сделали, подумайте о его смене и добавьте многофакторную аутентификацию (2FA), чтобы сделать учетную запись более безопасной.
Мы не просто сообщаем о конфиденциальности - мы предлагаем вам воспользоваться ею.
Риски Privacy не должны выходить за рамки заголовка. Сохраняйте конфиденциальность в Интернете с помощью Malwarebytes Privacy VPN.
