Слабые пароли
Исследование Irregular показало, что технологии с искусственный интеллект (ИИ) генерирует ненадежные пароли, пишет The Register. Оказалось, что пароли с 16 символами можно взломать, зная определенные шаблоны.
Специалисты компании Irregular, специализирующаяся на безопасности с использованием ИИ, решили в 2026 г. проверить, как ИИ справляется с задачей по созданию надежных паролей. Были проанализированы три ИИ-модели: Claude, ChatGPT и Gemini — все они сгенерировали пароли, которые на первый взгляд казались довольно надежными, но на практике все не так.
Согласно результатам эксперимента, каждой из протестированных ИИ-моделей была поставлена задача сгенерировать пароль размером 16 знаков, включающий латинские буквы в верхнем и нижнем регистрах, цифры и специальные символы. Сформированные комбинации внешне выглядели достаточно сложными и получили высокие оценки в ряде общедоступных онлайн-сервисов проверки надежности паролей. Некоторые из этих онлайн-сервисов указывали, что для подбора такого пароля методом полного перебора на стандартном оборудовании потребуются столетия или даже миллиарды лет.
Шаблонный метод
По мнению экспертов Irregular, такие пароли демонстрируют повторяющиеся структуры (особенно в начале и конце строки), отсутствие настоящей уникальности и предсказуемость для специализированных атакующих ИТ-инструментов. Необходимое время для взлома таких паролей значительно меньше, а онлайн-сервисы проверки выставили высокие оценки из-за незнания распространенных шаблонов. Именно этими шаблонами и пользовались ИИ-модели для решения вышеуказанной задачи. Поэтому у хакеров, обладающих определенным набором знаний, не составило бы труда взломать пароль, созданный ИИ. Эксперты подчеркивают, что прямое использование выходных данных Claude, ChatGPT и Gemini для генерации паролей фундаментально небезопасно и не может быть исправлено путем уточнения промптов или изменения параметров.
По данным Irregular, из 50 полученных паролей только 30 были уникальными (20 дубликатов, 18 из которых представляли собой одну и ту же строку), и подавляющее большинство начиналось и заканчивалось одними и теми же символами. Компания Irregular также заявила, что ни в одном из 50 паролей не было повторяющихся символов, что указывает на то, что они не были по-настоящему случайными.
Команда исследователей использовала два метода оценки энтропии: статистику символов и логарифмические вероятности. Они обнаружили, что энтропия паролей, сгенерированных с помощью ИИ, составляет около 27 и 20 бит соответственно. Для действительно случайного пароля метод, основанный на статистике символов, ожидает энтропию в 98 бит, в то время как метод, использующий логарифмические вероятности самой ИИ, ожидает энтропию в 120 бит. Это означает лишь одно, что сгенерированные ИИ пароли вполне могут быть взломаны методом перебора за несколько часов, даже на персональном компьютере (ПК), которому уже несколько десятилетий, утверждают эксперты по кибербезопасности Irregular.
Используйте безопасные ИТ-сервисы
В связи с этим исследователи рекомендуют отказаться от применения генеративных ИИ-моделей для создания паролей от учетных данных и использовать вместо них проверенные криптографические генераторы случайных чисел. К примеру, встроенные в менеджеры паролей типа Bitwarden, 1Password, KeePassXC.
Новая эра брутфорс-атак
Исследователи показали, что поиск распространенных последовательностей символов в GitHub и в интернете в целом возвращает тестовый код, инструкции по настройке, техническую документацию и многое другое. Это открытие может положить начало новой эре подбора паролей методом перебора, заявили в Irregular.
Брутфорс-атаки — это попытка злоумышленников путем проб и ошибок угадать логины и пароли, ключи шифрования или найти скрытую веб-страницу.
Эксперты Irregular также сослались на предыдущие высказывания генерального директора Anthropic Дарио Амодей (Dario Amodea), который в 2025 г. отмечал, что ИИ, вероятно, будет писать большую часть всего кода, и если это правда, то генерируемые им пароли не будут такими безопасными, как ожидалось. Ведь ИИ-модели оптимизированы для получения предсказуемых и правдоподобных результатов, что несовместимо с информационной безопасной (ИБ) в генерации паролей, говорил глава Anthropic.
Поделиться
