Σύνοψη
- Σύμφωνα με νέα έρευνα ασφαλείας, η χρήση εργαλείων Παραγωγικής Τεχνητής Νοημοσύνης (όπως το ChatGPT ή το Gemini) για τη δημιουργία κωδικών πρόσβασης είναι επικίνδυνη.
- Τα LLMs τείνουν να παράγουν προβλέψιμα μοτίβα που οι σύγχρονοι αλγόριθμοι των hackers μπορούν να εντοπίσουν και να σπάσουν σε ελάχιστο χρόνο.
- Οι ειδικοί συστήνουν τη χρήση αποκλειστικών Password Managers που χρησιμοποιούν κρυπτογραφικά ασφαλείς γεννήτριες τυχαίων αριθμών.
Γιατί η Τεχνητή Νοημοσύνη αποτυγχάνει στη δημιουργία ασφαλών passwords
Η ευκολία που προσφέρουν τα Μεγάλα Γλωσσικά Μοντέλα (LLMs) έχει οδηγήσει πολλούς χρήστες να τα χρησιμοποιούν για καθημερινές εργασίες, συμπεριλαμβανομένης της δημιουργίας κωδικών πρόσβασης. Ωστόσο, πρόσφατη έρευνα της ομάδας κυβερνοασφάλειας Irregular αποδεικνύει ότι τα AI passwords είναι εγγενώς επισφαλή.
Ποιο είναι το βασικό πρόβλημα με τους κωδικούς που δημιουργεί η AI;
Τα LLMs εκπαιδεύονται σε τεράστιους όγκους ανθρώπινου κειμένου, γεγονός που τα καθιστά εξαιρετικά στην πρόβλεψη μοτίβων, αλλά ανίκανα να παράγουν πραγματική τυχαιότητα. Οι κωδικοί που προτείνουν συχνά βασίζονται σε στατιστικά κοινές ακολουθίες χαρακτήρων, κάνοντάς τους ευάλωτους σε στοχευμένες επιθέσεις brute-force και dictionary attacks.
Η ψευδαίσθηση της πολυπλοκότητας
Όταν ένας χρήστης ζητά από ένα chatbot να δημιουργήσει «έναν εξαιρετικά περίπλοκο κωδικό 16 χαρακτήρων», η AI συνήθως αναπαράγει δομές που έχει «δει» κατά την εκπαίδευση του.
- Απουσία Εντροπίας: Οι αλγόριθμοι cracking είναι πλέον εξοπλισμένοι με δικά τους AI μοντέλα που αναγνωρίζουν τον τρόπο με τον οποίο «σκέφτονται» τα chatbots.
- Ταχύτητα Παραβίασης: Κωδικοί που φαινομενικά φαίνονται πολύπλοκοι στους ανθρώπους, περιέχουν σημασιολογικές δομές που τα λογισμικά παραβίασης σπάνε σε κλάσματα του δευτερολέπτου.
- Πρόβλεψη Βάσει Προτροπής (Prompt): Αν χιλιάδες χρήστες δώσουν παρόμοια prompts για passwords, τα AI μοντέλα (λόγω θερμοκρασίας και sampling) συχνά επιστρέφουν ένα μικρό υποσύνολο παρόμοιων κωδικών.
Πώς να προστατευτείτε σωστά
Η τεχνική λύση δεν είναι η αποφυγή της τεχνολογίας, αλλά η χρήση των σωστών εργαλείων. Η παραγωγή ασφαλών κωδικών απαιτεί Κρυπτογραφικά Ασφαλείς Ψευδοτυχαίες Γεννήτριες Αριθμών (CSPRNG), κάτι που δεν διαθέτουν εγγενώς τα γλωσσικά μοντέλα στη ροή κειμένου τους.
- Χρήση Password Managers: Εργαλεία όπως το Bitwarden, το 1Password ή το Proton Pass παραμένουν ο χρυσός κανόνας.
- Γεννήτριες Τυχαιότητας: Οι ενσωματωμένες γεννήτριες των Password Managers δεν βασίζονται σε στατιστική γλώσσας αλλά σε μαθηματική τυχαιότητα.
- Passkeys: Η οριστική μετάβαση σε πρότυπα FIDO2/WebAuthn καταργεί εντελώς την ανάγκη απομνημόνευσης (ή δημιουργίας) κωδικών.
Η άποψη του Techgear
Η τάση να αναθέτουμε τα πάντα στα LLMs έχει ξεπεράσει τα όρια της χρησιμότητας και αγγίζει τα όρια της αφέλειας όσον αφορά το infosec. Στο Techgear έχουμε τονίσει επανειλημμένα την αξία των Password Managers.
Στην Ελλάδα, όπου η ενσωμάτωση σύγχρονων μεθόδων κυβερνοασφάλειας στους απλούς χρήστες αργεί, η εμπιστοσύνη σε ένα chatbot για τα κλειδιά του e-banking ή των εταιρικών λογαριασμών αποτελεί τεράστιο σφάλμα. Η κυβερνοασφάλεια απαιτεί μαθηματικά, όχι στατιστική γλωσσολογία. Η συμβουλή μας είναι απλή: Κρατήστε τα chatbots για δημιουργία κειμένου και τα password managers για την ασφάλειά σας.
