Koliko lozinki imate? Verovatno više nego što mislite. Većina onlajn servisa i aplikacija zahteva od korisnika da kreira lozinku. Velike su i šanse da se mnoge od tih lozinki ne koriste svakodnevno. I baš zbog tog prevelikog broja vrlo je verovatno da se mnoge lozinke koriste više puta. Loše upravljanje lozinkama pogoršava se oslanjanjem na uobičajene kombinacije imena, reči i brojeva. Takve lozinke je relativno lako dešifrovati. Dodatno, ako sajber kriminalac dođe do lozinke na jednom sajtu, to može dovesti do pristupa mnoštvu drugih. Razmišljate da prepustite kreiranje lozinki AI alatima – nastavite da čitate!
Ljudima se savetuje da kreiraju jedinstvene, nasumične lozinke kako bi predupredili ranjivosti koje nastaju korišćenjem iste lozinke više puta. Ipak, kreiranje i upravljanje lozinkama može biti mukotrpan zadatak. Kako bismo se nosili sa teretom kreiranja i upravljanja lozinkama, možemo doći u iskušenje da koristimo velike jezičke modele (LLM) kao što su ChatGPT, Llama ili DeepSeek za generisanje lozinki.
Jasno je zašto to privlači ljude. Umesto da smišljaju jaku lozinku, mogu jednostavno da zamole veštačku inteligenciju da je generiše i odmah dobiju rezultat. Veštačka inteligencija generiše nizove koji deluju nasumično, što pomaže da se izbegne sklonost ka pravljenju predvidivih lozinki zasnovanih na rečima. Međutim, izgled može da prevari i lozinke koje generiše veštačka inteligencija možda nisu tako bezbedne kao što deluju.
Eksperiment sa AI generatorima lozinki
Aleksej Antonov, rukovodilac Kaspersky tima za nauku o podacima, sproveo je test. Generisao je 1.000 lozinki koristeći ChatGPT (OpenAI), Llama (Meta) i DeepSeek. „Svi modeli znaju da dobra lozinka sadrži najmanje 12 karaktera, uključujući velika i mala slova, brojeve i simbole. To i sami navode prilikom generisanja lozinki“, kaže Antonov.
DeepSeek i Llama su generisali lozinke koje se sastoje od reči u kojima su umesto slova korišćeni brojevi sličnog oblika. Recimo, S@d0w12, M@n@go3, B@n@n@7 (DeepSeek), K5yB0a8dS8, S1mP1eL1on (Llama). Oba modela vole da generišu lozinku password. P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama).
Nepotrebno je reći da takve lozinke nisu sigurne. Trik sa zamenom slova je poznat i nije teško primeniti brutalnu silu. ChatGPT ne pati od ovog problema i generiše lozinke koje izgledaju nasumično. Na primer:
- qLUx@^9Wp#YZ
- LU#@^9WpYqxZ
- YLU@x#Wp9q^Z
- YLp^9W#qX@zv
- P@zq^XWLY#v9
- v#@LqYXW^9pz
- X@9pYWq^#Lzv
Međutim, ako pažljivo pogledate, možete primetiti obrasce. Na primer, broj 9 se često pojavljuje. Ispod je prikazan histogram svih simbola u 1.000 generisanih lozinki pomoću ChatGPT sistema. Jasno je da gotovo sve lozinke sadrže simbole x, p, l, L i tako dalje.
Kada je u pitanju Llama, situacija je malo bolja: Llama voli simbol # i slova p, l, L.
DeepSeek ima slične tendencije.
Idealan nasumični generator ne bi trebalo da preferira bilo koje slovo. Svi simboli bi trebalo da se pojavljuju otprilike isti broj puta. Takođe, algoritmi su često zanemarivali da unesu specijalni karakter ili cifre u lozinku. Ovo se odnosi na 26% lozinki koje je kreirao ChatGPT, 32% za Llama i 29% za DeepSeek. Takođe, DeepSeek i Llama su ponekad generisali lozinke kraće od 12 karaktera.
Znajući sve ovo, sajber kriminalci mogu značajno ubrzati proces primene sile u napadima na lozinke. Umesto da pokušavaju u redosledu “aaa”, “aab”, “aac”, .. “aba”, “abb”, “abc”, … mogli početi kombinacijama koje se često pojavljuju.
Kolaps lozinki generisanih AI alatima
U 2024. godini, Antonov je razvio algoritam mašinskog učenja za testiranje snage lozinki. Otkrio je da skoro 60% lozinki može biti provaljeno za manje od jednog sata koristeći GPU ili Cloud alate. Kada je ovaj test primenjen na lozinke generisane veštačkom inteligencijom, rezultati su bili alarmantni. Takve lozinke bile su daleko manje sigurne nego što je to delovalo. Čak 88% lozinki generisanih pomoću DeepSeek i 87% Llama nisu bile dovoljno jake da izdrže napad sofisticiranih sajber kriminalaca. ChatGPT bio malo bolji sa 33% lozinki koje nisu bile dovoljno jake da prođu Kaspersky test.
„Problem je što veliki jezički modeli ne stvaraju istinsku nasumičnost. Umesto toga, oni oponašaju obrasce iz postojećih podataka. To njihove rezultate čini predvidljivim napadačima koji razumeju kako ovi modeli funkcionišu“, napominje Antonov.
Primenite i sigurnije upravljanje lozinkama
Umesto da se oslanjaju na veštačku inteligenciju, korisnici bi trebalo da primene specijalizovani softver za upravljanje lozinkama. Mogu da koriste Kaspersky Password Manager. Ovakav alat nudi nekoliko značajnih prednosti.
Prvo, ovaj tip softvera koristi kriptografski sigurne generatore za kreiranje lozinki bez prepoznatljivih obrazaca, čime se osigurava istinska nasumičnost. Drugo, svi podaci o korisničkim nalozima se čuvaju u sigurnom trezoru, zaštićenom jednom glavnom lozinkom. Ovo eliminiše potrebu za pamćenjem stotina lozinki, dok ih istovremeno štiti od napada.
Dodatno, menadžeri lozinki nude automatsko popunjavanje i sinhronizaciju na uređajima, pojednostavljujući prijavljivanje bez ugrožavanja sigurnosti. Mnogi takođe uključuju praćenje napada i obaveštavaju korisnike, ako njihovi akreditivi procure.
Kreiranje lozinki AI alatima – razmislite!
Iako veštačka inteligencija može pomoći u mnogim zadacima, kreiranje lozinki AI alatima nije jedan od njih. Obrasci i predvidljivost lozinki kreiranih pomoću velikih jezičkih modela čine ih podložnim dešifrovanju. Umesto da tražite prečice, uložite u pouzdan menadžer lozinki, koji je vaša prva linija odbrane od sajber pretnji. U eri kada su provale učestale, jaka i jedinstvena lozinka za svaki nalog je nešto sa čime ne sme biti kompromisa.
