Un studiu al companiei de securitate Irregular arată că parolele generate de chatbots precum Claude, ChatGPT și Gemini pot părea complexe și trec verificatoarele online de „strength”, însă tendințele de generare le fac mai vulnerabile. Aceste parole urmează anumite tipare și au entropie mai mică decât cele aleatorii, ceea ce le face mai ușor de ghicit în atacurile brute.
Verificatoarele online pot oferi o impresie înșelătoare despre siguranță
Parolele introduse în verificatoarele online sunt evaluate pe baze mecanice: lungime, diversitatea caracterelor și absența cuvintelor din dicționar. Un șir de 16 caractere amestecate pare imposibil de spart pentru un instrument standard, însă acestea nu analizează tiparele de generare specifice modelelor AI. Astfel, o parolă ce pare deosebită poate urma un tipar recurent.
Structurile și tiparele parolelor generate de modele de limbaj
Irregular a observat că parolele din seturile generate de LLM-uri prezintă structuri recurente, precum caractere preferate la început sau sfârșit, combinații repetate și distribuții „prea curate” ale cifrelor și simbolurilor. Aceste tipare reduc entropia, făcând parolele mai previzibile și mai vulnerabile la atacuri de ghicire masivă.
Unele parole generate au fost duplicate în mai multe conversații, ceea ce indică un comportament problematic, mai ales dacă aceste parole sunt folosite pentru conturi importante. Repetițiile și asemănările între parole accentuează riscul de a fi ghicite cu ușurință.
Estimări ale entropiei și implicațiile pentru securitate
Analiza cercetătorilor a măsurat entropia parolelor generate de LLM-uri, constatând că aceasta este mult mai mică decât cea a unor șiruri complet aleatorii. În cazul unui șir de 16 caractere, entropia estimată este redusă, ceea ce înseamnă că atacurile de „ghicire” pot fi eficiente dacă se dublează analiza tiparelor. Aceasta face ca parolele generate de modele AI să fie mai expuse riscului de compromis.
De asemenea, au fost remarcate absența repetărilor și apariția formelor consistente în diverse modele, indicând un stil de generare codificat, mai ușor de recunoscut și exploatat.
Ce măsuri trebuie luate pentru a nu fi păcăliți de parolele „frumoase”
Specialiștii recomandă evitarea utilizării chatboturilor ca generator de parole pentru conturi importante. Parolele rezultate pot părea complexe, dar sunt generate în tipare care pot fi anticipate.
Este mai sigur să se utilizeze un manager de parole, capabil să genereze și să păstreze șiruri cu adevărat aleatorii și complexe. Acest lucru asigură o unicatitate și o securitate reală, eliminând riscul de a folosi parolele repetitive sau ușor de ghicit.
Pentru utilizatorii fără manager, se recomandă crearea de parole lungi, bazate pe fraze de acces unice, care să fie ușor de reținut, dar dificil de ghicit. Cheia este evitarea celor mai simple și evidente variante.
Concluzii privind utilizarea AI în generarea parolelor
Specialiștii subliniază că, deși AI-ul poate fi de ajutor în multe privințe, generarea de parole nu este una dintre acestea, datorită tendinței modelelor de limbaj de a produce tipare și secvențe repetitive. Pentru siguranță maximă, este recomandat să se utilizeze generatoare de parole dedicate și să se activeze autentificarea în doi pași pentru conturile critice.