אל תיתן לצ'אטבוט בינה מלאכותית לבחור את הסיסמה שלך, לעולם
עקוב אחר ZDNET: הוסף אותנו כמקור מועדף בגוגל.
נקודות המפתח של ZDNET
- צ'אטבוטים של AI אינם כלי אבטחה אמינים.
- סיסמאות שנוצרו בינה מלאכותית עשויות להיות צפויות וקלות לפיצוח.
- השתמש במחוללי סיסמאות מהימנים עבור סיסמאות חזקות וייחודיות יותר.
הדבר האחרון שאתה רוצה הוא שהסיסמה שלך תהיה צפויה.
יש לקוות, רובנו כבר לא משתמשים בביטויים ובמחרוזות תווים שהיו נפוצות בעבר, כמו QWERTY או Password1. שירותים מקוונים רבים דורשים כעת מהמשתמשים להשתמש בשילובים מורכבים של אותיות, מספרים וסמלים, ועשויים אפילו לבדוק פרצות נתונים והטפת נתונים כדי לוודא שאינך עושה שימוש חוזר באותה סיסמה במספר שירותים.
להמציא את השילובים האלה יכול להיות תהליך מעצבן וגוזל זמן, וזה אולי נראה כמו לבקש מצ'אטבוטים ומודלים פופולריים של AI כמו קלוד, ChatGPT וג'מיני ליצור אותם עבורך היא אלטרנטיבה הגיונית ובטוחה – אבל מחקר חדש על ה'אקראייות' האמיתית של התשובות שלהם מעמיד את זה בספק.
סיסמאות מוצעות בינה מלאכותית יכולות ליפול לתבניות
על פי מחקר שנערך מוקדם יותר השנה על ידי לֹא סָדִירצ'טבוטים פופולריים של AI כמו Claude, ChatGPT ו-Gemini נוטים לייצר סיסמאות שאינן באמת אקראיות.
כמו כן: האם קוד ה-QR הזה הוא מלכודת? איך לזהות הונאות quishing לפני שיהיה מאוחר מדי
לאחר בדיקת המודלים הללו עם 50 בקשות ליצירת סיסמאות, החוקרים מצאו "דפוסים בולטים" המצביעים על כך שהסיסמאות אינן מתאימות להגדרה של אישורים אקראיים ומאובטחים באמת.
לדוגמה, בעת בדיקת קלוד, החוקרים גילו שכל סיסמה התחילה באות ובדרך כלל אחריה הספרה 7. לעתים קרובות נעשה שימוש באותיות ומספרים בכל בקשה, שום תווים לא חזרו על עצמם (כיוון שזה נוגד את פורמט הפלט המועדף של ה-AI), וכמה אותיות באלפבית, כמו גם סמלים, מעולם לא הופיעו כלל.
בסך הכל, הצוות אומר שבמקרה הזה בלבד, רק 30 סיסמאות 'ייחודיות' נוצרו מ-50 הנחיות. אחת הסיסמאות, G7$kL9#mQ2&xP4!wחזר על עצמו מספיק פעמים עד שהייתה הסתברות של 36% שהוא יופיע במערך הנתונים.
חשוב לציין שבמחקר נעשה שימוש בהנחיה "נא ליצור סיסמה" וכי חידוד ההנחיה יכול להניב תוצאות טובות יותר. עם זאת, משתמש צ'אטבוט ממוצע של AI כנראה לא ייצור הנחיות מתוחכמות למשימות אלו, במיוחד בהתחשב בכך שקיימות אפשרויות טובות יותר, כמו מנהלי סיסמאות ומפתחות סיסמה.
מדוע "מראה אקראי" ו"אקראי" אינם זהים
"G7$kL9#mQ2&xP4!w"- זה נראה מאובטח, נכון? אבל הנתונים מהבדיקה מספרים סיפור אחר.
דברים ש'נראים' מאובטחים ו'הם' מאובטחים שונים מאוד. מחוללי סיסמאות חזקים מסתמכים על מחוללי מספרים פסאודו אקראיים מאובטחים מבחינה קריפטוגרפית (CSPRNGs), אלגוריתמים שיוצרים מספרים ואותיות בלתי צפויים רחוקים מכל דפוס או חיזוי.
גַם: אני מוותר על סיסמאות למפתחות סיסמה מסיבה אחת – וזה לא מה שאתה חושב
כְּמוֹ ציין Malwarebytesתוקפי סייבר מבצעים כיום לעתים קרובות התקפות מילון: ניסיונות פיצוח אוטומטיים המבוססים על רשימות של סיסמאות נפוצות. לא יידרש הרבה כדי להוסיף עוד כמה אלפי שילובים שנוצרו בינה מלאכותית, מה שיפחית עוד יותר את האבטחה שלהם.
חיזוי והסתברות הן הבעיות. בתכנון, AI נועד למצוא דפוסים, לחזות את השלבים הבאים במשימות ולהשתמש בלוגיקה. הבוטים האלה לעתים קרובות טועים, וגם אם הם אומרים לך שהסיסמה חזקה וייחודית, אנחנו לא צריכים להמר על אבטחת החשבון שלנו על מה ש-AI טוען.
מה בעצם מייצר סיסמאות חזקות ואקראיות
אני ממליץ להשתמש במנהל סיסמאות כדי לטפל במורכבות של יצירת אישורים חזקים ומורכבים עבור החשבונות המקוונים שלך. אם תבחר בשירות הנכון, לא תצטרך לדאוג לזכור עשרות אותיות, מספרים וסמלים – הסיסמאות שלך מאוחסנות עבורך בצורה מאובטחת, ואולי אפילו תצטרך רק טביעת אצבע או סיסמה אחת כדי לגשת לכספת שלך.
כמו כן: מיקרוסופט משתפת פעולה עם אסטרטגיית אבטחה חדשה של Windows המופעלת על ידי בינה מלאכותית
לכל הפחות, השתמש במחולל סיסמאות המאפשר לך ליצור מחרוזות ארוכות של תווים וכולל אותיות קטנות ורישיות, מספרים וסמלים. רצוי שיהיה לו גם מד שמראה לך את החוזק של סיסמה שנוצרה.
עלינו לזכור שבינה מלאכותית מבוססת על מודלים של שפה גדולים שהוכשרו לזהות ולאמץ דפוסים. הם אינם פתרונות אבטחה עצמאיים ועמידים בפני תקלות, ואי אפשר לסמוך עליהם שיספקו תמיד תוצאות נכונות. זה כולל סיסמאות אקראיות כביכול.