Zahtevi se brzo gomilaju: kombinacija velikih i malih slova, minimalan broj karaktera, brojevi, specijalni simbol… i naravno, lozinka mora da bude potpuno jedinstvena. Uz desetine naloga za bankarstvo, kupovinu, striming servise i društvene mreže, kao i stalna upozorenja stručnjaka da iste lozinke ne smeju da se ponavljaju, osmišljavanje nove, složene kombinacije svaki put može da deluje gotovo nemoguće.
Zato ne čudi što neki korisnici ovaj zadatak prepuštaju veštačkoj inteligenciji.
Međutim, nova istraživanja pokazuju da se ljudi obraćaju AI četbotovima, uključujući OpenAI-jev ChatGPT, Anthropic-ov Claude i Google-ov Gemini, kako bi im generisali „jake“ lozinke.
AI sistemi trenirani su na ogromnim skupovima podataka sastavljenim od javno dostupnih informacija, pa na osnovu toga kreiraju ono što izgleda kao složen niz karaktera za lozinku. Ipak, stručnjaci za bezbednost upozoravaju da je ovakav pristup pogrešan i da može da ugrozi vaše lične podatke.
Istraživanje kompanije Irregular, specijalizovane za AI sajber bezbednost, koje je potvrdio Sky News, pokazalo je da su sva tri velika modela, ChatGPT, Claude i Gemini – generisala „veoma predvidive lozinke“.
Zašto ne bi trebalo da koristite AI za generisanje lozinki
„To definitivno ne bi trebalo da radite“, rekao je suosnivač Irregulara Dan Lahav za Sky News.
„Ako ste to već uradili, odmah promenite lozinku. Smatramo da ljudi nisu dovoljno svesni da je ovo problem.“
Jedan od razloga za upozorenje jeste to što predvidivi obrasci predstavljaju ozbiljnu pretnju sajber bezbednosti, jer omogućavaju hakerima da koriste automatizovane alate za pogađanje lozinki. Pošto veliki jezički modeli (LLM) generišu rezultate na osnovu obrazaca iz podataka na kojima su trenirani, a ne nasumično, oni zapravo ne stvaraju zaista jake lozinke. Lozinka može delovati složeno, ali je u suštini potencijalno vrlo predvidiva.
Iako AI može da generiše lozinke koje izgledaju komplikovano, ne bi trebalo da se koristi kao menadžer lozinki.
Rizik lozinki koje je generisala veštačka inteligencija
Zabrinjavajuće je što su mnoge AI-generisane lozinke lako uočljive i bez posebne analize, dok je za neke potrebno matematičko ispitivanje da bi se otkrilo koliko su zapravo nesigurne.
Kada je Irregular koristio Claude AI da generiše uzorak od 50 lozinki, dobili su samo 23 jedinstvene kombinacije.
Jedna lozinka – K9#mPx$vL2nQ8wR – ponovljena je čak 10 puta.
Među ostalima su bile: K9#mP2$vL5nQ8@xR, K9$mP2vL#nX5qR@j i K9$mPx2vL#nQ8wFs.
Kada je Sky proverio istraživanje koristeći Claude, prva lozinka koju je dobio bila je K9#mPx@4vLp2Qn8R. ChatGPT i Gemini su bili „nešto manje ujednačeni“, ali su i dalje davali ponavljajuće lozinke.
Zanimljivo je da su ove lozinke prolazile testove na internet alatima za proveru jačine lozinki, koji su ih ocenjivali kao „izuzetno jake“.
„Naša najbolja procena je da, ako trenutno koristite LLM-ove za generisanje lozinki, čak i stariji računari mogu da ih probiju za relativno kratko vreme“, upozorio je Lahav.
Stručnjaci savetuju da izaberete dugu frazu koju ćete lako da zapamtite i da izbegavate korišćenje veštačke inteligencije za njeno osmišljavanje.
Portparol Google-a izjavio je za Sky: „LLM-ovi nisu napravljeni sa ciljem generisanja novih lozinki, za razliku od alata kao što je Google Password Manager, koji bezbedno kreira i čuva lozinke.“
„Takođe nastavljamo da podstičemo korisnike da se udalje od lozinki i usvoje passkey rešenja, koja su jednostavnija i bezbednija za korišćenje.“
