Naudojate DI slaptažodžiams kurti? Ekspertai perspėja – galite tapti lengvu sukčių taikiniu

Vasario 18 d. kibernetinio saugumo tyrėjai iš Izraelio paskelbė analizę, kurioje įvertino populiarių dirbtinio intelekto (DI) modelių sugeneruotų slaptažodžių saugumą ir nustatė, kad dalis jų yra lengvai nuspėjami ir pasikartojantys. Ekspertai įspėja, kad vartotojai, pasikliaujantys DI kuriant prisijungimo duomenis, gali padidinti riziką tapti kibernetinių sukčių taikiniu.

Nustatė DI slaptažodžių rizikas

DI saugumo laboratorijos „Irregular“ atlikto tyrimo analizėje išskiriama, kad pažangūs DI modeliai, kaip „ChatGPT“, „Gemini“ ar „Claude“ iš pirmo žvilgsnio gali sugeneruoti stiprų slaptažodį, tačiau iš tiesų jie yra lengvai pažeidžiami ir nuspėjami.

Skirtingi modeliai ir jų versijos generavo 6 simbolių slaptažodžius, kurie būtų sudaryti iš specialiųjų simbolių, skaičių ir raidžių. Rezultatai atskleidžia, kad, pavyzdžiui, „Claude Opus 4.6“ sukūrė 50 prisijungimo kodų iš kurių 20 buvo dublikatai.

Ekspertai pastebi, kad svarbiu rizikos veiksniu išlieka nuspėjamumas. Tiek „Claude“, tiek „ChatGPT“ generavo nuoseklias prisijungimo kodų struktūras, pavyzdžiui, matyti, kad slaptažodžiai prasideda ta pačia raide ar po jos visur kartojasi konkretus skaitmuo.

Tyrėjai taip pat atkreipia dėmesį, kad rizika kyla ne tik pavieniams vartotojams. DI pagrindu veikiantys programavimo agentai gali automatiškai generuoti prisijungimo duomenis programų konfigūracijose ar testavimo aplinkose, o tai reiškia, kad silpnos kombinacijos gali patekti į realias sistemas.

TAIP PAT SKAITYKITE: Šokiruojanti Luvro sauga: vaizdo stebėjimo sistemos slaptažodis buvo „Louvre“

Esmė slypi DI veikime

„Irregular“ ekspertai teigia, kad problema kyla iš to, kaip veikia didieji kalbos modeliai. Jie sukurti ne generuoti tikrai atsitiktines simbolių sekas, o prognozuoti labiausiai tikėtiną simbolį ar žodį pagal statistinius dėsningumus. Todėl rezultatai remiasi ne atsitiktinumu, o tikimybe.

Slaptažodžio stiprumas tradiciškai vertinamas pagal jo nuspėjamumą ir matuojamas vadinamaisiais „entropijos bitais“. Šis rodiklis parodo, kiek bandymų teoriškai reikėtų atlikti siekiant atspėti prisijungimo kombinaciją.

Pavyzdžiui, kombinacijai su 20 bitų entropija gali pakakti maždaug milijono spėjimų, kuriuos šiuolaikinės sistemos gali atlikti per kelias sekundes. Tuo tarpu 100 bitų entropijos kodui prireiktų ir kelių trilijonų bandymų, kurie jau yra sudėtingai įgyvendinami.

Kadangi DI linkęs kurti struktūriškai panašius ar statistiškai tikėtinus derinius, jie gali būti lengviau perprantami automatizuotų kibernetinių atakų metu.

Ką turėtų žinoti kiekvienas vartotojas

Ekspertai rekomenduoja slaptažodžius generuoti naudojant specializuotas slaptažodžių tvarkykles, kurios naudoja kriptografiškai saugius atsitiktinių skaičių generatorius. Taip pat patariama kiekvienai paskyrai naudoti unikalią kombinaciją ir įjungti dviejų veiksnių autentifikavimą.

Jei kada nors naudojote DI sugeneruotą slaptažodį realioje paskyroje, specialistai siūlo jį pakeisti saugesniu sprendimu – tai paprastas žingsnis, galintis sumažinti riziką tapti kibernetinių sukčių taikiniu.

TechNaujienos.lt anksčiau analizavo ir dažniausius lietuvių naudojamus slaptažodžius.

Plačiau skaitykite straipsnyje: Atskleisti dažniausiai Lietuvoje naudojami slaptažodžiai, populiariausias – „admin“ (TOP 20)