Dobre hasło to podstawa bezpieczeństwa w internecie. Nowe badania jednak potwierdzają, iż nie każde skomplikowane hasło zapewnia odpowiedni poziom ochrony naszego konta.
Firma zajmująca się cyberbezpieczeństwem postanowiła wykonać interesujący test sprawdzający możliwości sztucznej inteligencji w zakresie tworzenia haseł. Zweryfikowano kilka najpopularniejszych czatbotów, takich jak ChatGPT, Gemini czy Claude. Proszenie AI o wygenerowanie silnego hasła to jak dobrowalne wejście na minę.
Sztuczna inteligencja nie radzi sobie z hasłami. Wypluwa przewidywalne wyniki
Ogólna zasada tworzenia hasła jest taka, iż im dłuższe, tym lepsze. Microsoft sugeruje, aby składało się z co najmniej 12 znaków obejmujących kombinację wielkich i małych liter, cyfr oraz symboli. Dla zachowania największego poziomu bezpieczeństwa zaleca się nie korzystać z tego samego hasła na wielu kontach i witrynach oraz regularnie je zmieniać.
Lepiej jednak zastanowić się dwa razy, zanim poprosi się czatbota o wygenerowanie silnego hasła. W raporcie Irregular przeanalizowane dane wyjściowe popularnych modeli, które zostały poproszone o wygenerowanie bezpiecznego hasła składającego się z sześciu znaków: liter, cyfr i znaków specjalnych.
Bezpieczne hasło składające się z sześciu znaków samo w sobie jest zaprzeczeniem, ale kolejny problem stanowiły wyniki wypluwane przez sztuczną inteligencją. Czatboty generowały powtarzające się wzorce, a czasami choćby wypluwały identyczne wyniki.
W przypadku Claude Opus 4.6 po wygenerowaniu 50 haseł tylko 30 z nich było w pełni unikalnych. Pozostałe wyników 20 to duplikaty, z czego 18 obejmowały dokładnie ten sam ciąg znaków. Duży problem stanowi również ogromna przewidywalność haseł generowanych przez sztuczną inteligencję.
Claude często zaczynał od wielkiej litery G. W większości wyników drugim znakiem prawie zawsze była cyfra 7. Każde z wygenerowanych hasło obejmowało też znaki takie jak: L, 9, m, 2, $ oraz #. W większości przypadków brakowało pozostałych znaków z alfabetu.
ChatGPT ma natomiast tendencję do generowania hasła zaczynającego się od litery v, a w prawie połowie wyników drugim znakiem było Q. Gemini również zaczynał od małej lub wielkiej litery k i zawierał #, P lub 9 w drugim znaku.
Problem stanowi zasada działania modeli sztucznej inteligencji
To, iż czatboty generują proste i przewidywalne kombinacje haseł, wynika z zasady działania dużych modeli językowych. Sztuczna inteligencja działa na zasadzie prawdopodobieństwa statystycznego, a nie rzeczywistej losowości. Modele nie widzą znaków takich jak litery czy cyfry, a zamiast tego wykorzystują tokeny. Problemem jest też wykorzystanie określonej puli kombinacji danych treningowych.
Dlatego w celu generowania haseł lepiej wykorzystać dedykowane algorytmy. Menedżery haseł dobrze sobie radzą z tworzeniem indywidualnych i silnych haseł.
