- Пароли, сгенерированные ИИ, следуют шаблонам, которые могут изучить хакеры
- Поверхностная сложность скрывает под собой статистическую предсказуемость.
- Разрыв в энтропии паролей ИИ обнажает структурные недостатки в логинах ИИ
Большие языковые модели (LLM) могут генерировать сложные на вид пароли, однако недавнее тестирование показывает, что эти строки далеко не случайны.
Исследование, проведенное Irregular, изучало вывод паролей из систем искусственного интеллекта, таких как Cloud, ChatGPT и Gemini, и просило каждую из них генерировать 16-значные пароли с символами, цифрами и буквами в разных регистрах.
На первый взгляд, результаты казались надежными и прошли обычные онлайн-тесты на надежность, причем некоторые проверяющие считали, что на их взлом потребуются столетия, но более пристальный взгляд на эти пароли показал другую историю.
Пароли LLM демонстрируют повторяющиеся и предсказуемые статистические закономерности.
Когда исследователи проанализировали 50 паролей, сгенерированных в разных сеансах, многие из них оказались дубликатами, а многие имели почти идентичную структурную структуру.
Большинство из них начинались и заканчивались одинаковыми типами символов, и ни один из них не содержал повторяющихся букв.
Отсутствие повторяемости может показаться обнадеживающим, но на самом деле оно указывает на то, что результат следует усвоенным соглашениям, а не истинной случайности.
Используя расчеты энтропии на основе статистики символов и смоделированных вероятностей журналов, исследователи подсчитали, что эти пароли, сгенерированные ИИ, содержат примерно 20–27 бит энтропии.
По-настоящему случайный 16-значный пароль обычно имеет длину от 98 до 120 бит, используя те же методы.
Разница существенная – и на практике это может означать, что такие пароли уязвимы для атак методом перебора в течение нескольких часов, даже на старом оборудовании.
Онлайн-измерители надежности пароля оценивают поверхностную сложность, а не статистические закономерности, скрытые за строкой, и, поскольку они не принимают во внимание то, как инструменты искусственного интеллекта генерируют текст, они могут классифицировать прогнозируемый результат как безопасный.
Злоумышленники, которые понимают эти закономерности, могут усовершенствовать свои стратегии угадывания, значительно сокращая пространство поиска.
Исследование также показало, что подобные последовательности появляются в общедоступных репозиториях кода и документации, что позволяет предположить, что пароли, сгенерированные ИИ, возможно, уже широко распространены.
Если разработчики полагаются на эти выходные данные во время тестирования или развертывания, риск со временем возрастает — более того, даже системы ИИ, генерирующие эти пароли, не полностью им доверяют и могут выдавать предупреждения при нажатии.
Например, Gemini 3 Pro предлагает варианты паролей, а также предупреждает о том, что учетные данные, сгенерированные в чате, не следует использовать для конфиденциальных учетных записей.
Вместо этого он рекомендовал использовать парольные фразы и советовал пользователям полагаться на специальный менеджер паролей.
Генераторы паролей, встроенные в такие инструменты, полагаются на криптографическую случайность, а не на языковое предсказание.
Проще говоря, LLM обучены создавать правдоподобные и повторяемые тексты, а не непредсказуемые последовательности, следовательно, более широкая проблема носит структурный характер.
Принципы разработки паролей, генерируемых LLM, противоречат требованиям безопасной аутентификации, поэтому они обеспечивают безопасность с недостатком.
«Люди и агенты по кодированию не должны полагаться на LLM для генерации паролей», — сказал Иррегулар.
«Пароли, генерируемые посредством прямого вывода LLM, принципиально слабы, и это невозможно исправить с помощью регулировки сигнала или температуры: LLM оптимизированы для генерации предсказуемых и надежных выходных данных, что несовместимо с созданием безопасных паролей».
через зарегистрироваться
Следите за TechRadar в Новостях Google. И Добавьте нас в избранный источник Чтобы получать наши экспертные новости, обзоры и мнения в своей ленте. Обязательно нажмите кнопку «Подписаться»!
И да, ты тоже можешь Следите за TechRadar в TikTok За новостями, обзорами, распаковками в виде видео и регулярными обновлениями получайте от нас WhatsApp Очень.
