Sve više ljudi koristi umjetnu inteligenciju za svakodnevne sitnice. Za pisanje mailova, za kodiranje... Za ideje. Neki su otišli i korak dalje pa su AI-u prepustili i izradu lozinki. Zvuči pametno, ali u stvarnosti nije.
Istraživanje koje je za Sky News podijelila tvrtka za AI kibernetičku sigurnost Irregular pokazalo je da veliki modeli poput ChatGPT-a, Claudea i Geminija generiraju predvidljive lozinke. Na prvi pogled djeluju snažno. Dugačke. Pune velikih i malih slova, brojeva, simbola... Ali iza te fasade krije se obrazac. Dan Lahav, suosnivač Irregulara, bio je vrlo jasan. "To definitivno ne biste trebali raditi. A ako ste to već učinili, promijenite lozinku odmah." Kaže i da ljudi uopće nisu svjesni koliko je to problem.
To je važno zbog toga što su obrasci neprijatelj sigurnosti. Dobar napad ne pogađa nasumično. Automatizirani alati traže ponavljanja, strukturu i neku predvidljivost, a upravo to rade jezični modeli. Oni ne bacaju kockicu. Oni rekonstruiraju ono što su vidjeli u podacima na kojima su trenirani. U uzorku od 50 lozinki koje je Irregular generirao pomoću Claudea bilo je samo 23 jedinstvenih. Jedna se ponovila čak deset puta. Mnoge su dijelile isti početak ili istu strukturu znakova. Kada je Sky News sam testirao Claude, prva lozinka koju je dobio bila je gotovo identična prethodnima.
ChatGPT i Gemini bili su nešto raznolikiji. No i dalje su pokazivali ponavljanja i prepoznatljive obrasce. Čak je i Googleov sustav za generiranje slika, kada je dobio zadatak da prikaže lozinku na papiriću, stvarao slične uzorke. Paradoks je u tome što online alati za provjeru snage lozinke takve primjere ocjenjuju kao izuzetno sigurne. Jedan alat je procijenio da bi jednoj takvoj lozinci trebalo 129 milijuna trilijuna godina da bude probijena. No ti alati gledaju samo duljinu i kombinaciju znakova. Ne vide obrazac. A upravo obrazac skraćuje vrijeme napada.
"Naša najbolja procjena je da, ako koristite LLM za generiranje lozinki, čak i stara računala mogu ih probiti u relativno kratkom roku", tvrdi Lahav. Problem ne pogađa samo krajnje korisnike. Programeri sve češće koriste AI za pisanje koda. Pretragom GitHuba pronađeni su dijelovi tipičnih AI lozinki unutar stvarnih projekata. Dio rezultata odnosi se na testne primjere i edukativne materijale. No postoje i slučajevi u kojima se čini da su lozinke završile na pravim serverima i servisima.
Netko delegira komplicirani zadatak AI-u. Ne provjeri detalje. Pretpostavi da je sve u redu. I tako nastane sigurnosna rupa. Graeme Stewart iz tvrtke Check Point kaže da ipak nema razloga za paniku. "Ovo spada u kategoriju problema koji se mogu izbjeći i imaju veliki učinak kada pođu po zlu. Nije riječ o tome da će sutra svi biti hakirani." Drugi stručnjaci podsjećaju da su lozinke same po sebi slaba točka. Robert Hann iz Entrusta preporučuje korištenje passkeya, autentifikacije putem otiska prsta ili prepoznavanja lica gdje god je to moguće.
Ako to nije opcija. Savjet je jednostavan. Odaberite dugu, pamtljivu frazu. Nešto osobno. Nešto što ima smisla vama. I nemojte tražiti umjetnu inteligenciju da to napravi umjesto vas. Google je poručio da njihovi jezični modeli nisu namijenjeni generiranju novih lozinki te da korisnici trebaju koristiti alate poput Google Password Managera. Anthropic nije želio komentirati. OpenAI se nije oglasio.
Otvori KEKS Pay
