Многие пользователи обращаются к чат-ботам, чтобы придумать уникальные пароли для входа на разные сервисы. Однако исследование компании Irregular ранее показало, что популярные ИИ вроде Claude, ChatGPTили Gemini склонны генерировать пароли, которые не являются случайными. В связи с этим пользователям дали ряд советов по безопасности.
В Irregular протестировали эти модели с помощью 50 запросов на генерацию паролей и обнаружили «заметные закономерности», указывающие на то, что полученные пароли не соответствуют определению по-настоящему случайных и надёжных.
Например, при тестировании Claude выяснилось, что каждый пароль начинался с буквы, за которой обычно следовала цифра 7. В разных запросах часто использовались одни и те же буквы и цифры, символы не повторялись (поскольку это противоречит предпочтительному формату вывода данных ИИ), а некоторые буквы алфавита и спецсимволы не встречались вовсе.
В общей сложности, в данном эксперименте на 50 запросов было сгенерировано всего 30 «уникальных» паролей. Один из них — G7$kL9#mQ2&xP4!w — повторялся настолько часто, что вероятность его появления в итоговом наборе данных составила 36%.
Важно отметить, что в ходе исследования использовался простой запрос «пожалуйста, сгенерируй пароль» (please generate a password), а более точная формулировка запроса могла бы дать лучшие результаты. Однако обычный пользователь вряд ли будет составлять сложные запросы для подобных задач, тем более что существуют альтернативы, такие как менеджеры паролей и ключи доступа (passkeys). При этом сервисы создания надёжных паролей опираются на криптографически стойкие генераторы псевдослучайных чисел (CSPRNG) — алгоритмы, создающие непредсказуемые последовательности символов, лишенные каких-либо закономерностей.
Как отмечают специалисты Malwarebytes, сегодня киберпреступники часто прибегают к атакам по словарю — автоматизированным попыткам взлома с использованием списков распространённых паролей. Добавить к ним ещё несколько тысяч комбинаций, созданных искусственным интеллектом, не составит труда.
Проблема кроется в предсказуемости и вероятности. ИИ по своей сути предназначен для поиска закономерностей, прогнозирования дальнейших действий и использования логики.
Пользователям рекомендуют использовать менеджер паролей и выбирать сервис, который позволит не запоминать длинные комбинации букв, цифр и символов. При этом для доступа к хранилищу может потребоваться отпечаток пальца или один мастер-пароль.
Как минимум, юзерам советуют применять генератор паролей, позволяющий создавать длинные последовательности символов со строчными и заглавными буквами, цифрами и спецсимволами. Желательно также наличие индикатора, показывающего уровень надёжности сгенерированного пароля.
ссылка на оригинал статьи https://habr.com/ru/articles/1059676/