Ha valaha is megkért egy mesterségesintelligencia-alapú chatbotot, hogy generáljon egy erős jelszót, akkor itt az ideje, hogy azonnal megváltoztassa azt. Egy kiberbiztonsági cég kutatása ugyanis megdöbbentő eredményre jutott: a három legismertebb nyelvi modell – a ChatGPT, a Claude és a Gemini – mind kiszámítható mintákat követ a jelszógenerálásnál, amelyeket a kiberbűnözők eszközei aránylag könnyen feltörhetnek − írja a Sky News.
Az Irregular nevű kiberbiztonsági vállalat kutatása rávilágított a probléma lényegére: a nyelvi modellek nem véletlenszerűen állítják elő a jelszavakat, hanem az adatbázisukban felismert mintákra támaszkodnak. Ebből következik, hogy amit generálnak, az nem igazán erős jelszó – csupán annak látszik.
A kutatók az Anthropic Claude modelljével ötven jelszót generáltattak, amelyek közül mindössze huszonhárom bizonyult egyedinek. Az egyik jelszó – K9#mPx$vL2nQ8wR – tízszer szerepelt a mintában. Amikor a Sky News is letesztelte a Claude-ot, az első generált jelszó K9#mPx@4vLp2Qn8R lett, amely szinte teljesen azonos a kutatásban szereplővel. A ChatGPT és a Gemini valamivel változatosabb eredményeket produkált, de a visszatérő elemek és a kiszámítható szerkezetek náluk is jól megfigyelhetők voltak.
Ugyanakkor ironikus, hogy az online jelszóellenőrző eszközök rendre kiválónak minősítik ezeket a jelszavakat. Az egyik ilyen ellenőrző eszköz szerint egy Claude által generált jelszót még 129 trillió év alatt sem tudna feltörni egy számítógép. Ez az eredmény azonban félrevezető: az ellenőrzők nem ismerik a mintát, és éppen ezért nem képesek megítélni, valóban biztonságos-e.
Dan Lahav, az Irregular társalapítója ezért azt javasolta, hogy aki teheti, azonnal változtassa meg a jelszavát. Úgy véli, ha valaki mesterséges intelligenciával generáltatja jelszavait, ezeket még egy régi számítógép is viszonylag rövid idő alatt feltörheti − hiába állítják ennek ellenkezőjét az online ellenőrző eszközök.
Könnyebben megoldható a probléma, mint gondolnánk
A probléma nem korlátozódik a felhasználókra, egyre több fejlesztő is mesterséges intelligenciával íratja jelszavait, és ezek már megtalálhatók különböző alkalmazásokban, programokban és weboldalakon. A GitHub kódtárban végzett keresés szemléletes eredménnyel járt: a Claude által gyakran használt K9#mP jelszóra 113 találat jött elő, a Gemini által előszeretettel alkalmazott k9#vL részletre pedig 14.
A legtöbb eset ártalmatlan, de az Irregular kiberbiztonsági cég tényleges szervereken és éles kódban is talált AI-generált jelszavakra utaló jeleket. „Vannak, akik úgy válnak érintetté, hogy nem is tudnak róla” – fogalmazott Dan Lahav.
A szakértők szerint egyszerűen áthidalható ez a probléma, Graeme Stewart, a Check Point kiberbiztonsági cég részlegvezetője azt mondta, nem arról van szó, hogy mindenki rögtön hekkertámadás áldozatává válhat. Robert Hann, az Entrust alelnöke viszont rámutatott, hogy maguk a jelszavak jelentik az igazi problémát, és helyettük az arc- és ujjlenyomat-felismerő alkalmazások használatát javasolta, ahol erre lehetőség van.
Ha viszont ez nem megoldható, akkor egy hosszú, de könnyen megjegyezhető mondatot válasszunk jelszónak, amelyet ne mesterséges intelligencia generáljon. A Google szóvivője is hangsúlyozta, hogy a nyelvi modellek nem jelszógenerálásra készültek, és inkább a jelszókezelők, illetve a jelszó nélküli hitelesítési megoldások, az úgynevezett passkey-ek használatát ajánlják.
(Borítókép: Képünk illusztráció! Fotó: alexsl / Getty Images)
Mi lenne, ha a jövő nem csak történne veled, hanem te alakítanád? Ez a könyv segít felkészülni, sosem tapasztalt módon. Tedd meg az első lépést most.
Kövesse az Indexet Facebookon is!
Követem!