Parole generate de AI: mai ușor de spart decât par

Într-o perioadă în care inteligența artificială este folosită pentru aproape orice, de la redactarea e-mailurilor la scrierea de cod, tentația de a lăsa un model AI să genereze și parole pare firească. Totuși, un nou studiu realizat de compania de securitate cibernetică Irregular arată că această practică poate fi riscantă.

Concluzia cercetătorilor este clară: parolele generate direct de modele lingvistice mari (LLM) pot părea solide, dar sunt, în realitate, „fundamental nesigure” și surprinzător de ușor de ghicit.

Modele populare, tipare previzibile

Pentru a testa cât de potrivite sunt modelele AI în rolul de „generator de parole”, cercetătorii au cerut unor sisteme cunoscute – precum Anthropic (Claude), OpenAI (ChatGPT) și Google (Gemini) – să creeze parole sigure de 16 caractere, care să includă litere, cifre și simboluri speciale.

La prima vedere, rezultatele păreau convingătoare. Parolele arătau asemănător cu cele generate de managerii dedicați și chiar treceau testele unor verificatoare precum KeePass.

Problema a apărut însă la analiză: modelele au produs tipare repetitive și previzibile. De exemplu, Claude începea majoritatea parolelor cu litera „G” și aproape întotdeauna cu cifra „7” pe poziția a doua. ChatGPT pornea frecvent cu „v”, iar Gemini prefera litera „K”. În plus, anumite caractere apăreau constant, în timp ce mare parte din alfabet era ignorată.

Pe scurt, ceea ce părea diversitate era, în realitate, o variație limitată.

Iluzia aleatorului

Un detaliu interesant observat de cercetători a fost lipsa caracterelor repetate în parolele generate. La prima vedere, acest lucru poate părea un semn de complexitate. În realitate, absența totală a repetițiilor este improbabilă într-o secvență cu adevărat aleatorie.

Această „curățenie” excesivă sugerează tocmai lipsa hazardului real. Iar în securitate, aleatoriul autentic este esențial.

Ce înseamnă, de fapt, parole puternice

Puterea unei parole este măsurată, de regulă, în biți de entropie – un indicator al numărului de combinații posibile și, implicit, al efortului necesar pentru a o sparge prin forță brută.

O parolă cu aproximativ 100 de biți de entropie ar putea necesita trilioane de ani pentru a fi spartă cu tehnologia actuală. În schimb, parolele generate de LLM-uri analizate în studiu au atins doar aproximativ 27 de biți de entropie, mult sub pragul considerat sigur pentru standardele moderne.

Mai exact, dacă o parolă sigură ar trebui să ofere în jur de 6 biți de entropie per caracter, cele generate de AI s-au situat la aproximativ 2 biți per caracter. Diferența este semnificativă și poate transforma o parolă aparent solidă într-una vulnerabilă.

De ce nu este o problemă ușor de rezolvat

Conform specialiștilor de la Irregular, problema nu poate fi corectată simplu prin ajustarea instrucțiunilor (prompturilor) sau a parametrilor interni ai modelului.

Motivul este structural: modelele lingvistice sunt concepute pentru a produce rezultate plauzibile și coerente, nu pentru a genera aleatoriu autentic. Ele sunt antrenate să identifice tipare și să le reproducă, nu să evite orice regularitate.

În plus, cercetătorii au identificat deja exemple de parole generate de AI în proiecte publice de pe GitHub și în documentații tehnice, ceea ce sugerează că această practică este deja folosită în aplicații reale.

Recomandarea specialiștilor

Pentru utilizatorii individuali, soluția este simplă: nu folosiți un model AI pentru a genera parole pentru conturi sensibile. Chiar și Gemini avertizează explicit că parolele create astfel nu ar trebui utilizate în scopuri critice.

În schimb, este recomandată utilizarea unui manager de parole dedicat, care folosește algoritmi criptografici concepuți special pentru generarea de șiruri cu adevărat aleatorii.

Inteligența artificială poate fi un instrument remarcabil în multe domenii. Însă, când vine vorba de securitate digitală, principiul rămâne același: soluțiile specializate și testate în timp sunt, deocamdată, cea mai sigură alegere.