Непотребно генерисање лозинки помоћу вештачке интелигенције

Колико лозинки имате?

Вероватно више него што мислите. Већина онлајн сервиса и апликација захтева од корисника да креира лозинку. Велике су шансе да се многе од ових лозинки не користе сваки дан, а веома је вероватно да се многе лозинке користе више пута.
Лоше управљање лозинкама погоршава ослањање на уобичајене комбинације имена, речи и бројева. Не само да је такве лозинке релативно лако дешифровати, већ ако сајбер криминалац добије лозинку на једном сајту, то може довести до приступа многим другим сајтовима.
Људима се саветује да креирају јединствене, насумичне лозинке како би спречили рањивости настале коришћењем исте лозинке више пута. Међутим, креирање и управљање лозинкама може бити напоран задатак. Да бисмо се носили са теретом креирања и управљања лозинкама, могли бисмо бити у искушењу да користимо моделе великих размера (LLM) као што су ChatGPT, Llama или DeepSeek за генерисање лозинки.

Идеалан генератор случајних бројева не би требало да преферира ниједно слово. Сви симболи треба да се појаве приближно исти број пута.
Такође, алгоритми су често занемарили укључивање посебног карактера или цифре у лозинку: 26% лозинки креираних помоћу ChatGPT-а, 32% за Llama и 29% за DeepSeek. Такође, DeepSeek и Llama су понекад генерисали лозинке краће од 12 карактера.
Знајући све ово, сајбер криминалци могу значајно убрзати процес примене „грубе силе“ у нападима на лозинке: тј. уместо да покушавају редом „aaa“, „aab“, „aac“, .. „aba“, „abb“, „abc“, ... „zzz“, могли би почети са комбинацијама које се често јављају.
Антонов је 2024. године развио алгоритам машинског учења за тестирање јачине лозинки и открио да се скоро 60% лозинки може провалити за мање од сат времена коришћењем модерних графичких процесора или алата за проваљивање у облаку. Када је овај тест примењен на лозинке генерисане вештачком интелигенцијом, резултати су били алармантни, јер су биле далеко мање безбедне него што су изгледале: 88% лозинки генерисаних помоћу DeepSeek-а и 87% оних генерисаних помоћу Llama модела нису биле довољно јаке да издрже напад софистицираних сајбер криминалаца. ChatGPT је био нешто бољи, са 33% лозинки које нису биле довољно јаке да прођу Kaspersky тест.
„Проблем је у томе што модели великих језика не генеришу праву случајност. Уместо тога, они имитирају обрасце из постојећих података, чинећи њихове резултате предвидљивим за нападаче који разумеју како ови модели функционишу“, напомиње Антонов.
Имплементирајте безбедније управљање лозинкама
Уместо ослањања на вештачку интелигенцију, корисници би требало да користе специјализовани софтвер за управљање лозинкама, као што је Kaspersky Password Manager. Ови алати нуде неколико кључних предности. Прво, ова врста софтвера користи криптографски безбедне генераторе за креирање лозинки без препознатљивих образаца, чиме се обезбеђује истинска случајност. Друго, сви подаци корисничких налога чувају се у безбедном трезору, заштићеном једном главном лозинком. Ово елиминише потребу за памћењем стотина лозинки, а истовремено их штити од напада.
Поред тога, менаџери лозинки нуде аутоматско попуњавање и синхронизацију на различитим уређајима, поједностављујући пријављивање без угрожавања безбедности. Многи такође укључују праћење напада и обавештавају кориснике ако су њихови акредитиви процурели.
Иако вештачка интелигенција може помоћи у многим задацима, генерисање лозинки није један од њих. Обрасци и предвидљивост лозинки креираних помоћу великих језичких модела чине их подложним дешифровању. Уместо тражења пречица, инвестирајте у поузданог менаџера лозинки, који је ваша прва линија одбране од сајбер претњи. У ери када су провале уобичајене, јака и јединствена лозинка за сваки налог је нешто што се не може угрозити.
Јасно је зашто то привлачи људе. Уместо да се муче са смислом јаке лозинке, корисници могу једноставно да затраже од вештачке интелигенције да генерише јаку лозинку и одмах добију резултат. Вештачка интелигенција генерише низове који делују насумично, што помаже у избегавању тенденције креирања предвидљивих лозинки заснованих на речима. Међутим, изглед може да завара и лозинке које генерише вештачка интелигенција можда нису толико безбедне колико изгледају.
Алексеј Антонов, шеф тима за науку о подацима у компанији Касперски, тестирао је ово генерисањем 1.000 лозинки користећи неке од познатијих и поузданијих модела великих језика, укључујући ChatGPT (OpenAI), Llama (Meta Group) и DeepSeek (новајлија из Кине). „Сви модели знају да добра лозинка садржи најмање 12 карактера, укључујући велика и мала слова, бројеве и симболе. Они то сами наводе приликом генерисања лозинки.“

(Извор: IKT BILTEN 568)