Vis daugiau vartotojų Lietuvoje slaptažodžius kuria pasitelkdami dirbtinį intelektą. Paprašai sugeneruoti „stiprų 16 simbolių slaptažodį su raidėmis, skaičiais ir specialiais simboliais“ – ir gauni sudėtingą eilutę, kuri atrodo visiškai atsitiktinė. Raidžių mišinys, skaičiai, simboliai. Vizualiai – nepralaužiama tvirtovė.
Tačiau naujausi saugumo testai rodo, kad ši išvaizda gali būti apgaulinga. Kibernetinio saugumo specialistai įspėja: dirbtinio intelekto sugeneruoti slaptažodžiai dažnai neatitinka tikrojo atsitiktinumo standartų, kurie būtini realiai apsaugai.
Kodėl DI generuoti slaptažodžiai gali būti pavojingi?
Saugumo tyrimuose buvo analizuojami populiarių kalbos modelių – tokių kaip „ChatGPT“, „Claude“ ir „Gemini“ – sugeneruoti slaptažodžiai. Modeliams buvo pateikta užduotis sukurti stiprius, 16 simbolių slaptažodžius su mažosiomis, didžiosiomis raidėmis, skaičiais ir specialiaisiais simboliais.
Rezultatai nustebino. Kai kuriuose bandymuose dalis slaptažodžių kartojosi, o nemaža dalis turėjo panašias struktūras – pavyzdžiui, identišką pradžią ar pabaigą. Tai reiškia, kad slaptažodžiai nebuvo visiškai atsitiktiniai.
Problema slypi pačiame veikimo principe. Kalbos modeliai nėra tikri atsitiktinių skaičių generatoriai. Jie prognozuoja labiausiai tikėtiną simbolių seką pagal mokymo metu išmoktus statistinius modelius. Kitaip tariant, jie „spėja“, kas atrodo atsitiktina – bet tai nėra tikras atsitiktinumas.
Entropija – tikrasis saugumo matas
Slaptažodžio saugumas matuojamas entropija – tai nenuspėjamumo rodiklis. Kuo didesnė entropija, tuo daugiau galimų kombinacijų ir tuo sunkiau slaptažodį nulaužti brutalia jėga (angl. brute force).
Tyrimai parodė, kad DI sugeneruotų 16 simbolių slaptažodžių entropija gali siekti tik apie 20–27 bitus. Tuo tarpu tikrai atsitiktinai sugeneruotas tokio pat ilgio slaptažodis gali pasiekti 98–120 bitų entropiją.
Skirtumas – milžiniškas. Mažesnė entropija reiškia mažesnį galimų kombinacijų skaičių, o tai ženkliai sutrumpina laiką, per kurį slaptažodis gali būti nulaužtas. Praktikoje tai gali reikšti, kad įsilaužėliams pakanka kelių valandų, net ir be itin galingos įrangos.
Kodėl tai aktualu Lietuvoje?
Lietuvoje vis daugiau paslaugų perkeliama į skaitmeninę erdvę – nuo internetinės bankininkystės iki „Sodros“, VMI ar e. sveikatos sistemų. Daugelis gyventojų naudoja tuos pačius slaptažodžius kelioms paskyroms.
Jeigu vienas DI sugeneruotas, bet silpnesnės entropijos slaptažodis nuteka, rizika išauga eksponentiškai. Įsilaužėliai dažnai taiko vadinamąsias „credential stuffing“ atakas – pavogtus prisijungimus išbando kitose sistemose.
Jeigu slaptažodžiai turi pasikartojančių šablonų, užpuolikams dar lengviau optimizuoti ataką.
Kodėl DI daro šią klaidą?
Kalbos modeliai kuriami tam, kad prognozuotų labiausiai tikėtiną simbolių seką, o ne tam, kad generuotų kriptografiškai saugius atsitiktinius skaičius. Tai esminis skirtumas.
Kriptografiškai saugus atsitiktinių skaičių generatorius (CSPRNG) veikia pagal visiškai kitus principus – jis sukurtas taip, kad net teoriškai būtų neįmanoma atspėti sekos.
Tuo tarpu DI modelis „mąsto“ statistiškai. Net jei jis atrodo kūrybingas, jis vis tiek remiasi tikimybėmis. O tikimybė nėra tas pats, kas tikras atsitiktinumas.
Kaip iš tikrųjų sukurti stiprų slaptažodį?
Ekspertai rekomenduoja naudoti specialias slaptažodžių tvarkykles, kurios generuoja slaptažodžius naudodamos kriptografiškai saugius atsitiktinių skaičių generatorius. Tokios programos ne tik kuria stiprius slaptažodžius, bet ir saugo juos užšifruotus.
Jeigu jau naudojate DI sugeneruotą slaptažodį svarbiose paskyrose, verta jį pakeisti į sugeneruotą profesionalia slaptažodžių tvarkykle.
Skaitmeniniame pasaulyje saugumas dažnai prasideda nuo mažų sprendimų. Ir nors dirbtinis intelektas gali būti puikus pagalbininkas tekstams ar idėjoms kurti, slaptažodžių srityje jis kol kas nėra patikimiausias pasirinkimas. Iliuzija apie „stiprumą“ kartais yra pavojingesnė nei akivaizdžiai silpnas slaptažodis.
