Egyre többen fordulnak mesterséges intelligenciához, ha gyors és erős jelszóra van szükségük. A ChatGPT, a Claude vagy a Gemini által generált karaktersorok első ránézésre valóban erősnek tűnnek: hosszúak, vegyesen tartalmaznak betűket, számokat és speciális jeleket. Egy friss kiberbiztonsági kutatás azonban arra figyelmeztet, hogy a látszat csalhat.

Az Irregular nevű kiberbiztonsági vállalat vizsgálata szerint az MI-modellek nem valódi véletlenszerűséggel alkotnak jelszavakat. A rendszerek a betanításuk során látott minták alapján generálnak kombinációkat, így bizonyos szerkezetek ismétlődnek. A cég társalapítója, Dan Lahav szerint a felhasználóknak nem lenne szabad mesterséges intelligenciára bízniuk jelszavaik létrehozását, és akik már megtették, jobban teszik, ha mihamarabb megváltoztatják azokat.

A kutatás során például 50, Claude által generált jelszót elemeztek: ezek közül mindössze 23 volt egyedi, sőt egy konkrét jelszó tízszer is megismétlődött. A ChatGPT és a Gemini esetében is kimutatható volt a mintázatok ismétlődése, még ha kisebb arányban is. A szakértők szerint ez azt jelenti, hogy a jelszavak bizonyos elemei előre jelezhetők, így a feltörésük is gyorsabb lehet, mint gondolnánk.

Külön érdekesség, hogy az online jelszóerősség-ellenőrzők gyakran kiválónak minősítik ezeket a kombinációkat. A probléma azonban nem a hosszúsággal vagy a karakterek típusával van, hanem a mintázattal. Egy gyakorlott támadó – akár régebbi számítógépes eszközökkel is – képes lehet viszonylag rövid idő alatt kitalálni az ismétlődő struktúrákat.

Nem csak a felhasználók érintettek

A Sky News beszámolója szerint a jelenség nem csupán az átlagos internethasználókat érinti. Fejlesztők is alkalmaznak mesterséges intelligenciát kódíráshoz, és előfordul, hogy a generált jelszavak vagy hitelesítési kulcsok mintázatai alkalmazásokban, programokban vagy weboldalak forráskódjában is visszaköszönnek. A GitHubon végzett keresések alapján az ilyen ismétlődő elemek nyomai több helyen is felfedezhetők.

Dan Lahav arra hívta fel a figyelmet, hogy az MI-fejlesztőknek érdemes lenne valódi, kriptográfiailag biztonságos véletlenszám-generátorra épülő eszközöket beépíteniük a rendszerekbe. A szakértők addig is azt javasolják: jelszókezelő programot vagy megbízható, dedikált jelszógenerátort használjunk, és minden fontos fiókhoz egyedi, hosszú jelszót állítsunk be. A digitális biztonság ugyanis nem a látványos karakterkombinációkon, hanem a valódi kiszámíthatatlanságon múlik.