Πως η δημιουργία κωδικών ασφαλείας μέσω AI κρύβει αρκετές παγίδες
Οι κωδικοί πρόσβασης είναι ένα σημαντικό πράγμα για τους χρήστες όπου αποτελεί από τους μεγαλύτερους προβληματισμούς στο τι θα φτιάξουν. Παρά τις συνεχείς προειδοποιήσεις, πολλοί εξακολουθούν να χρησιμοποιούν εύκολα προβλέψιμους συνδυασμούς ή να επαναχρησιμοποιούν τους ίδιους κωδικούς σε πολλούς λογαριασμούς ή χρησιμοποιούν την τεχνολογία AI για να τους δημιουργήσουν.
Σε μια προσπάθεια να αντιμετωπίσουν αυτό το πρόβλημα, πολλοί χρήστες στρέφονται πλέον σε μεγάλα γλωσσικά μοντέλα (LLMs,) όπως το ChatGPT, το Llama ή το DeepSeek, για να δημιουργήσουν «ασφαλείς» κωδικούς. Ωστόσο, νέα έρευνα της Kaspersky αποκαλύπτει ότι αυτή η πρακτική ενέχει σοβαρούς κινδύνους.
Σύμφωνα με τον Alexey Antonov, επικεφαλής της ομάδας Data Science της Kaspersky, τα LLMs δεν δημιουργούν πραγματική τυχαιότητα. Αντίθετα, μιμούνται μοτίβα από δεδομένα που έχουν εκπαιδευτεί, κάνοντας τους κωδικούς προβλέψιμους. Σε δοκιμές με 1.000 κωδικούς από κάθε μοντέλο, τα αποτελέσματα ήταν ανησυχητικά, σύμφωνα με την εταιρεία.
Το 88% των κωδικών από το DeepSeek και 87% από το Llama αποδείχθηκαν ευάλωτοι σε επίθεση με σύγχρονα εργαλεία cracking, ενώ το ChatGPT είχε καλύτερες επιδόσεις, αλλά και πάλι το 33% των κωδικών του δεν πληρούσαν τα κριτήρια ασφαλείας.
«Τα μοντέλα γνωρίζουν ότι ένας καλός κωδικός πρέπει να έχει 12+ χαρακτήρες, κεφαλαία, σύμβολα και αριθμούς. Στην πράξη, όμως, παραλείπουν συχνά κρίσιμα στοιχεία», εξηγεί ο Antonov. Για παράδειγμα, το Llama και το DeepSeek παρήγαγαν κωδικούς, όπως S@d0w12 ή B@n@n@7, όπου η αντικατάσταση γραμμάτων με αριθμούς είναι προβλέψιμη. Το ChatGPT, αν και δημιούργησε πιο «τυχαίους» συνδυασμούς (π.χ. qLUx@^9Wp#YZ), έδειξε προτίμηση σε συγκεκριμένα σύμβολα (όπως το 9), μειώνοντας την εντροπία.
Γιατί οι AI κωδικοί δεν αντέχουν τις επιθέσεις
Οι κυβερνοεγκληματίες εκμεταλλεύονται τις αδυναμίες των LLMs για να επιταχύνουν τις επιθέσεις brute force. Αντί να δοκιμάζουν τυχαίους συνδυασμούς, εστιάζουν σε μοτίβα που αναγνωρίζουν στα δεδομένα εκπαίδευσης των μοντέλων.
Έτσι, κωδικοί, που φαίνονται ασφαλείς, μπορεί να σπάσουν σε λιγότερο από μία ώρα με σύγχρονα GPU ή cloud-based εργαλεία. Επιπλέον, η χρήση LLMs για δημιουργία κωδικών δεν καλύπτει όλες τις απαιτήσεις. Για παράδειγμα, στο 26% των κωδικών από το ChatGPT και 32% από το Llama έλειπαν ειδικοί χαρακτήρες ή αριθμοί.
Επίσης, μοντέλα, όπως το DeepSeek, παρήγαγαν κωδικούς μικρότερους από 12 χαρακτήρες, παραβιάζοντας βασικές αρχές ασφαλείας.
Εξειδικευμένοι διαχειριστές κωδικών
Αντί να βασίζονται σε LLMs, οι ειδικοί συστήνουν την υιοθέτηση εξειδικευμένων εργαλείων διαχείρισης κωδικών. Αυτά τα εργαλεία, σύμφωνα με τους ειδικούς, προσφέρουν αυθεντική τυχαιότητα: Χωρίς επαναλαμβανόμενα μοτίβα, με κρυπτογραφημένη δημιουργία κωδικών, ασφαλή αποθήκευση, αφού όλοι οι κωδικοί προστατεύονται με έναν κύριο κωδικό και κρυπτογράφηση, συγχρονισμό συσκευών με ασφαλή πρόσβαση από smartphone, tablet ή υπολογιστή και ειδοποιήσεις παραβιάσεων για έγκαιρη ενημέρωση, αν τα δεδομένα σας διαρρεύσουν.
«Τα LLMs μπορεί να είναι χρήσιμα σε πολλούς τομείς, αλλά η δημιουργία κωδικών δεν είναι ένας από αυτούς», τονίζει ο Antonov. Σε μια εποχή, όπου το 60% των κωδικών σπάει σε λιγότερο από 60 λεπτά, η χρήση ειδικών εργαλείων είναι απαραίτητη για την προστασία των ψηφιακών ταυτοτήτων.
