ChatGPT, Claude і Gemini провалили тест на надійність паролів

Нове дослідження компанії Irregular показало, що паролі, згенеровані великими мовними моделями (LLM), виглядають надійними, але насправді є вразливими. Попри складні комбінації символів, такі паролі виявилися передбачуваними. Проблема полягає в тому, що LLM не створюють справді випадкові послідовності, а відтворюють імовірні шаблони на основі навчальних даних, що робить їх непридатними для безпечної генерації паролів.

Під час тестування дослідники попросили ChatGPT, Claude та Gemini створити 16-символьні паролі з літерами, цифрами й спецсимволами. Зовні вони відповідали вимогам надійності й навіть отримували високі оцінки в сервісах на кшталт KeePass. Однак аналіз показав чіткі закономірності: повторювані перші символи, обмежений набір знаків і відсутність справжньої випадковості.

Надійність пароля вимірюється бітами ентропії — що більше варіантів комбінацій, то складніше його зламати. За оцінками Irregular, безпечний пароль може мати близько 6 біт ентропії на символ, тоді як LLM забезпечують лише приблизно 2 біти. У підсумку 16-символьний пароль від моделі має близько 27 біт ентропії замість майже 100, що робить його вразливим до перебору за допомогою сучасних GPU.

Фахівці наголошують: проблему неможливо вирішити простими налаштуваннями чи «кращими» підказками, адже LLM оптимізовані для передбачуваності, а не випадковості. Користувачам радять не довіряти генерацію паролів штучному інтелекту та використовувати спеціалізовані менеджери паролів або вбудовані криптографічні інструменти, які створюють справді випадкові комбінації.

Источник: itechua.com