Οι γεννήτριες κωδικών πρόσβασης τεχνητής νοημοσύνης είναι εκπληκτικά αδύναμες

Οι κορυφαίοι ειδικοί ασφαλείας προειδοποιούν το κοινό για έναν νέο κίνδυνο: Οι κωδικοί πρόσβασης που δημιουργούνται από δημοφιλή μοντέλα όπως το ChatGPT, το Claude και το Gemini φαίνονται ισχυροί, αλλά είναι πολύ εύκολο να παραβιαστούν.

Καθώς οι χρήστες στρέφονται ολοένα και περισσότερο στα chatbots για την καθημερινή τους οργάνωση, η κυβερνοασφάλεια τίθεται σε σοβαρό κίνδυνο.

Τα παραγωγικά εργαλεία τεχνητής νοημοσύνης αποδεικνύονται εντελώς ακατάλληλα για τη δημιουργία πραγματικά ασφαλών κωδικών πρόσβασης.

Η γνωστή εταιρεία ασφαλείας Irregular ανέλυσε σε βάθος το Claude, το ChatGPT και το Gemini.

Οι ερευνητές διαπίστωσαν ότι και τα τρία chatbot παρήγαγαν κωδικούς πρόσβασης που εκ πρώτης όψεως έδειχναν αδιαπέραστοι, αλλά στην πραγματικότητα ήταν εύκολο να μαντευτούν.

Όταν δόθηκε η εντολή να δημιουργήσουν κωδικούς 16 χαρακτήρων που να περιλαμβάνουν ειδικά σύμβολα, αριθμούς και γράμματα, τα έξυπνα εργαλεία παρήγαγαν φαινομενικά πολύπλοκες αλφαριθμητικές ακολουθίες.

Οι ερευνητές ασφαλείας δοκίμασαν μάλιστα αυτές τις λέξεις-κλειδιά σε διαδικτυακούς ελεγκτές κωδικών, οι οποίοι αρχικά δεν κατάφεραν να εντοπίσουν τα κρυφά κοινά μοτίβα μεταξύ των κωδικών.

Τα κοινά μοτίβα κάνουν τους κωδικούς της τεχνητής νοημοσύνης ευάλωτους

Ωστόσο, η ενδελεχής έρευνα της Irregular ανακάλυψε ότι και τα τρία συστήματα τεχνητής νοημοσύνης δημιουργούσαν κωδικούς που μοιράζονταν επαναλαμβανόμενα μοτίβα.

Εάν οι κακόβουλοι χάκερ κατανοήσουν αυτά ακριβώς τα μοτίβα, μπορούν πολύ εύκολα να χρησιμοποιήσουν αυτή τη γνώση για να προσαρμόσουν τις επιθέσεις brute-force και να παραβιάσουν συστήματα.

Οι αναλυτές ασφαλείας δοκίμασαν το μοντέλο Claude Opus ζητώντας του 50 συνεχόμενες φορές να δημιουργήσει έναν ισχυρό κωδικό πρόσβασης. Για να διασφαλιστεί η αξιοπιστία του τεστ, ξεκίνησαν μια εντελώς νέα συνεδρία κάθε φορά.

Από τους 50 κωδικούς που παρήχθησαν, μόνο οι 30 ήταν πραγματικά μοναδικοί, ενώ οι υπόλοιποι 20 ήταν ακριβή διπλότυπα.

Το πιο ανησυχητικό είναι ότι από αυτά τα διπλότυπα, τα 18 εμφάνιζαν ακριβώς την ίδια αλφαριθμητική ακολουθία.

Η συντριπτική πλειοψηφία των παραγόμενων κωδικών ξεκινούσε και κατέληγε χρησιμοποιώντας τους ίδιους ακριβώς χαρακτήρες, διευκολύνοντας απίστευτα το έργο του εκάστοτε επιτιθέμενου.

Αντίστοιχες δοκιμές που πραγματοποιήθηκαν με το υπερσύγχρονο GPT της OpenAI αλλά και με το Gemini της Google, έδειξαν επίσης τεράστιες συνέπειες στα δεδομένα.

Τα ίδια επαναλαμβανόμενα μοτίβα εντοπίστηκαν σε όλους τους κωδικούς, με την έλλειψη πραγματικής τυχαιότητας να εντοπίζεται κυρίως στην αρχή των ακολουθιών των χαρακτήρων.

Σημαντικά μειωμένη ψηφιακή ασφάλεια

Η ερευνητική ομάδα χρησιμοποίησε δύο διαφορετικές μεθόδους για την εκτίμηση της εντροπίας: τα στατιστικά στοιχεία χαρακτήρων και τις λογαριθμικές πιθανότητες.

Ανακάλυψαν με έκπληξη ότι η εντροπία ενός κωδικού 16 χαρακτήρων που παράγεται από LLM κυμαινόταν επικίνδυνα χαμηλά, μεταξύ 20 και 27 bits.

Για να θεωρηθεί ένας πραγματικά τυχαίος κωδικός πρόσβασης απολύτως ασφαλής, η μέθοδος στατιστικής χαρακτήρων απαιτεί μια εντροπία της τάξης των 98 bits.

Παράλληλα, η μέθοδος λογαριθμικών πιθανοτήτων υπολογίζει την ιδανική τιμή εντροπίας στα 120 bits, δημιουργώντας μια τεράστια απόκλιση ασφαλείας.

Στην καθημερινή πρακτική, αυτά τα χαμηλά νούμερα εντροπίας σημαίνουν ότι οι υποτιθέμενα ισχυροί κωδικοί πρόσβασης που παράγονται από την τεχνητή νοημοσύνη θα μπορούσαν να παραβιαστούν μέσα σε λίγες μόνο ώρες, ανέφερε χαρακτηριστικά στα συμπεράσματά της η ειδική ομάδα της Irregular.

Γιατί η μηχανική μάθηση αποτυγχάνει στην τυχαιότητα

Το θεμελιώδες πρόβλημα με τα γλωσσικά μοντέλα μεγάλης κλίμακας (LLMs) είναι ότι δεν έχουν σχεδιαστεί για να λειτουργούν ως γεννήτριες τυχαίων αριθμών (RNG).

Αυτά τα συστήματα αποτελούν ουσιαστικά μηχανές πρόβλεψης λέξεων, οι οποίες παράγουν κείμενο επιλέγοντας τον στατιστικά πιθανότερο επόμενο χαρακτήρα βάσει των δεδομένων εκπαίδευσής τους.

Επειδή εκπαιδεύονται σε ανθρώπινα κείμενα, τείνουν να αναπαράγουν τις ίδιες γνωστικές προκαταλήψεις που έχουν οι άνθρωποι όταν δημιουργούν λέξεις-κλειδιά.

Αυτή η στατιστική προβλεψιμότητα είναι ακριβώς ο λόγος που ένας αλγόριθμος διάρρηξης κωδικών μπορεί να μειώσει τον χρόνο σπασίματος από χιλιάδες χρόνια σε μερικά λεπτά της ώρας.

Όταν ζητάτε από το ChatGPT να συμπεριλάβει ένα σύμβολο και έναν αριθμό, τείνει στατιστικά να βάζει το πρώτο γράμμα κεφαλαίο και να τοποθετεί τον αριθμό ή το σύμβολο στο τέλος.

Οι έμπειροι κυβερνοεγκληματίες γνωρίζουν ακριβώς αυτή τη συμπεριφορά και ρυθμίζουν τα αυτοματοποιημένα εργαλεία τους ώστε να δοκιμάζουν πρώτα αυτές τις συγκεκριμένες δομές χαρακτήρων.

Πρακτικές λύσεις για πραγματικά ασφαλή δεδομένα

Για να εξασφαλίσετε την απόλυτη προστασία των λογαριασμών σας, πρέπει να εγκαταλείψετε την ιδέα της μνήμης ή της τεχνητής νοημοσύνης και να στραφείτε σε κρυπτογραφημένες λύσεις.

Η πιο αποτελεσματική μέθοδος παραμένει η χρήση ενός αποκλειστικού διαχειριστή κωδικών (Password Manager), ο οποίος χρησιμοποιεί πραγματικούς αλγορίθμους τυχαιότητας.

Οι διαχειριστές κωδικών όπως το Bitwarden ή το 1Password παράγουν συμβολοσειρές που δεν υπακούουν σε κανέναν γλωσσικό κανόνα, ανεβάζοντας την κρυπτογραφική εντροπία σε επίπεδα που οι σύγχρονοι υπολογιστές αδυνατούν να υπολογίσουν.

Έτσι, το μοναδικό πράγμα που χρειάζεται να θυμάστε είναι ένας ισχυρός κύριος κωδικός (Master Password).

Σύγκριση μεθόδων δημιουργίας κωδικών

Στον παρακάτω πίνακα μπορείτε να δείτε ξεκάθαρα πώς συγκρίνονται οι διαφορετικές μέθοδοι δημιουργίας όσον αφορά την ασφάλεια των δεδομένων και τον χρόνο παραβίασης από έμπειρους χάκερ.

Τέλος, ακόμα και με τον ισχυρότερο κωδικό πρόσβασης στον κόσμο, κανένας ψηφιακός λογαριασμός δεν είναι πλήρως ασφαλής χωρίς την προσθήκη ελέγχου ταυτότητας πολλαπλών παραγόντων.

Οι σύγχρονες πρακτικές κυβερνοασφάλειας επιβάλλουν τη χρήση εφαρμογών Authenticator ή φυσικών κλειδιών ασφαλείας, ώστε ακόμα και αν ο κωδικός σας διαρρεύσει, η πρόσβαση των χάκερ να παραμένει αδύνατη.