Использование искусственного интеллекта для генерации паролей создает ложное чувство безопасности, поскольку такие комбинации гораздо проще поддаются автоматическому подбору. Новое исследование компании Irregular подтверждает, что популярные языковые модели, такие как ChatGPT, Gemini и Claude, создают пароли, которые выглядят надежными, но являются уязвимыми из-за недостатка настоящей случайности. Об этом сообщает Latvia Today.
Проблема заключается в том, что ИИ ориентирован на выдачу логичных и вероятных результатов, что противоречит основным принципам создания защищенных паролей.
Почему пароли от ИИ не надежны
В ходе эксперимента исследователи попросили чат-ботов сгенерировать 50 вариантов 16-значных паролей. Результаты показали тенденцию: все варианты от модели Claude имели схожую структуру — с одинаковыми стартовыми символами и повторяющимся набором знаков.
Большинство паролей от Claude начинались с большой буквы G и цифры 7, ChatGPT предпочитал символы v и Q в начале, а Gemini — букву K. Такая шаблонность значительно облегчает задачу злоумышленникам, позволяя им сузить круг поиска и снизить эффективность защиты.
Интересно, что ИИ пытается имитировать случайность, избегая повторения одинаковых знаков. Тем не менее, именно эта «идеальность» и свидетельствует о его происхождении, ведь в подлинно случайных последовательностях символы должны повторяться согласно законам вероятности.
Даже если пароли кажутся сложными, они применяют ограниченный набор букв и знаков, что игнорирует значительную часть алфавита. Это делает их легкой целью для методов автоматического подбора.
Причина слабости ИИ-паролей
Надежность пароля определяется его энтропией – количеством попыток, необходимых для его подбора. Действительно безопасный 16-значный пароль содержит около 98 бит энтропии, что делает его взлом практически невозможным даже при больших усилиях. В то же время пароли от ИИ обладают лишь около 27 битами, что упрощает задачу хакерам.
Это означает, что вместо триллионов возможных комбинаций злоумышленникам нужно проверить гораздо меньшее количество вариантов, что позволяет им быстро взломать защиту с использованием современных видеокарт.
При этом модель Gemini уже содержит предупреждение, что созданные ею пароли не рекомендуется использовать для защиты сенситивных аккаунтов.
Уровень угрозы утечек
Ситуация усугубляется тем, что разработчики все чаще прибегают к ИИ для написания кода. Исследователи фиксируют наличие характерных ИИ-паролей в технических документах на сервисах, подобных GitHub, что создает угрозу для целых цифровых платформ.
Эксперты подчеркивают, что эту проблему невозможно решить простым обновлением или изменением запросов к чат-боту, поскольку предсказуемость заложена в природу работы нейросетей.
Специалисты рекомендуют избегать использования языковых моделей для создания паролей и прибегать к инструментам, которые генерируют действительные случайные комбинации.
