Sztuczna inteligencja coraz częściej pomaga w pisaniu tekstów, analizie danych czy tworzeniu kodu. Okazuje się jednak, że nie w każdym zadaniu sprawdza się równie dobrze. Najnowsze badanie firmy zajmującej się bezpieczeństwem wykazało, iż generowanie „silnych” haseł to dla modeli językowych poważny problem.
Firma Irregular przeanalizowała hasła tworzone przez popularne narzędzia oparte na dużych modelach językowych, takie jak ChatGPT, Claude oraz Gemini. Modele były proszone o wygenerowanie krótkich, sześciuznakowych haseł zawierających litery, cyfry oraz znaki specjalne.
Na pierwszy rzut oka wyniki wyglądały poprawnie. Hasła zawierały różne typy znaków i sprawiały wrażenie skomplikowanych. Problem pojawił się przy bliższej analizie.
Powtarzalne schematy i duplikaty
W jednej z serii testów model Claude wygenerował 50 haseł, z czego tylko 30 było unikalnych. Aż 20 pozycji się powtarzało, w tym 18 razy dokładnie ten sam ciąg znaków. To pokazuje, że nawet przy wielu próbach system nie tworzył w pełni nowych kombinacji.
Sztuczna inteligencja coraz częściej pomaga w pisaniu tekstów, analizie danych czy tworzeniu kodu. Okazuje się jednak, że nie w każdym zadaniu sprawdza się równie dobrze.
Badacze zauważyli też wyraźne schematy. W przypadku Claude każde hasło zaczynało się od litery, najczęściej dużego „G”. Drugim znakiem niemal zawsze była cyfra „7”. Wygenerowane hasła regularnie zawierały te same znaki, a wiele liter alfabetu nie pojawiało się wcale.
Podobne tendencje zauważono w innych modelach. ChatGPT często rozpoczynał hasła od litery „v”, a Gemini od małego lub dużego „k”. Drugi znak również powtarzał się w charakterystyczny sposób. Co ciekawe, w analizowanej próbce nie było haseł z powtarzającymi się znakami, co może brzmieć jak zaleta, ale w praktyce wskazuje na przewidywalność, a nie losowość.
Źródłem kłopotu jest sposób działania dużych modeli językowych. Takie systemy nie generują prawdziwie losowych ciągów znaków. Ich zadaniem jest tworzenie najbardziej prawdopodobnych i „pasujących” odpowiedzi na podstawie danych, na których były trenowane.
W przypadku haseł oznacza to, że model stara się tworzyć ciągi, które wyglądają wiarygodnie i spełniają podane warunki, ale jednocześnie opierają się na statystycznie typowych wzorcach. To sprawia, że choć hasło może zawierać wielkie i małe litery, cyfry oraz symbole, nadal jest przewidywalne.
W bezpieczeństwie najważniejsza jest entropia, czyli poziom losowości. Im bardziej nieprzewidywalny ciąg znaków, tym trudniej go odgadnąć. Jeśli jednak w hasłach pojawiają się stałe schematy, ich siła realnie spada.
Wniosek dla użytkowników
Autorzy badania podkreślają, że nie należy polegać na modelach językowych przy generowaniu haseł. Problem nie wynika z jednego błędu czy niewłaściwego polecenia. To efekt samej konstrukcji takich systemów, które zostały zaprojektowane do tworzenia sensownych i prawdopodobnych odpowiedzi, a nie do zapewniania pełnej losowości.
Menedżery haseł lepszym rozwiązaniem
W praktyce oznacza to, że do tworzenia bezpiecznych haseł lepiej używać sprawdzonych menedżerów haseł i narzędzi opartych na generatorach kryptograficznych.
Spodobało Ci się? Podziel się ze znajomymi!
Pokaż / Dodaj komentarze do:
AI nie radzi sobie z tworzeniem bezpiecznych haseł