Majoritatea serviciilor online și aplicațiilor cer utilizatorului să creeze o parolă. Șansele sunt ca multe dintre aceste parole să nu fie folosite zilnic și, din cauza acestei abundențe, există o probabilitate mare ca unele să fie reutilizate.
Gestionarea slabă a parolelor este agravată de folosirea unor combinații comune de nume, cuvinte din dicționar și cifre. Aceste parole sunt relativ ușor de spart, iar dacă un infractor cibernetic obține acces la una dintre ele, poate obține acces și la o mulțime de alte conturi.
Acesta este motivul pentru care se recomandă utilizatorilor să creeze parole unice și aleatorii pentru a reduce vulnerabilitatea cauzată de reutilizarea acelorași parole. Totuși, crearea și gestionarea parolelor poate fi o sarcină dificilă. Pentru a ușura acest proces, mulți ar putea fi tentați să apeleze la modele lingvistice mari (LLMs) precum ChatGPT, Llama sau DeepSeek pentru a genera parole.
Atracția este evidentă: în loc să se chinuie să creeze o parolă puternică, utilizatorii pot, pur și simplu, întreba AI-ul „Generează o parolă sigură” și vor primi instant un rezultat. AI-ul generează șiruri aparent aleatorii, evitând tendința umană de a crea parole previzibile, bazate pe cuvinte cunoscute. Dar aparențele pot fi înșelătoare — parolele generate de AI nu sunt întotdeauna la fel de sigure pe cât par.
Specialiștii Kaspersky au testat acest lucru generând 1.000 de parole folosind unele dintre cele mai cunoscute și de încredere modele: ChatGPT (de la OpenAI), Llama (din grupul Meta), DeepSeek (un model recent din China). Toate modelele știu că o parolă bună trebuie să aibă cel puțin 12 caractere, să conțină litere mari și mici, cifre și simboluri. Ele menționează acest lucru și în procesul de generare a parolelor.
Astfel, DeepSeek și Llama generează uneori parole compuse din cuvinte de dicționar, în care unele litere sunt înlocuite cu cifre de formă similară: S@d0w12, M@n@tee3, B@n@n@7 (DeepSeek), K5yB0a8dS8, S1mP1eL1on (Llama). Ambele modele au tendința de a genera parola „password”: P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama). Evident, astfel de parole nu sunt sigure. Trucul cu înlocuirea literelor cu alte caractere este bine cunoscut și poate fi ușor spart prin „brute force”. ChatGPT nu are această problemă și generează parole care par într-adevăr aleatorii.
De exemplu:
qLUx@^9Wp#YZ
LU#@^9WpYqxZ
YLU@x#Wp9q^Z
YLp^9W#qX@zv
P@zq^XWLY#v9
v#@LqYXW^9pz
X@9pYWq^#Lzv
Totuși, dacă ne uităm cu atenție, putem observa anumite tipare — de exemplu, cifra 9 apare frecvent.
Mai jos este ilustrată o histogramă a tuturor simbolurilor din cele 1.000 de parole generate cu ChatGPT – se observă clar că aproape toate conțin caracterele x, p, l, L.
Acestea nu par deloc litere alese aleatoriu.
În cazul modelului Llama, situația este ușor mai bună: Llama are o preferință pentru simbolul # și pentru literele p, l și L.
DeepSeek prezintă tendințe similare:
Frecvența caracterelor utilizate în parolele generate de DeepSeek
Un generator aleatoriu ideal nu ar trebui să favorizeze nicio literă. Frecvența fiecărui simbol ar trebui să fie, în linii mari, aceeași.
De asemenea, algoritmii au omis adesea să includă un caracter special sau cifre în parole: 26% dintre parolele generate de ChatGPT, 32% de Llama și 29% de DeepSeek. În plus, DeepSeek și Llama au generat uneori parole mai scurte de 12 caractere.
Având aceste tipare în vedere, infractorii cibernetici pot accelera considerabil atacurile de tip „brute force”: în loc să încerce parole în ordine („aaa”, „aab”, „aac”, … „aba”, „abb”, „abc”, … „zzz”), pot începe cu combinațiile cele mai frecvente.
În 2024, unul dintre cercetătorii Kaspersky a dezvoltat un algoritm de învățare automată pentru a testa complexitatea parolelor și a constatat că aproape 60% dintre acestea pot fi sparte în mai puțin de o oră, folosind plăci grafice moderne sau instrumente de spargere în cloud. Aplicat la parolele generate de AI, rezultatele au fost alarmante: 88% dintre parolele generate de DeepSeek și 87% de Llama nu erau suficient de sigure pentru a rezista unui atac sofisticat. ChatGPT a avut performanțe ceva mai bune, dar chiar și așa, 33% dintre parolele sale nu au trecut testul de securitate Kaspersky.
Problema este că modelele LLM nu generează aleatoriu în mod autentic. În schimb, ele imită tipare din datele existente, ceea ce face ca rezultatele lor să fie previzibile pentru atacatorii care înțeleg cum funcționează aceste modele.
În loc să te bazezi pe inteligența artificială, este recomandat să folosești un software dedicat pentru gestionarea parolelor, cum ar fi Kaspersky Password Manager. Aceste instrumente oferă multiple avantaje esențiale.
În primul rând, astfel de aplicații utilizează generatoare criptografic sigure pentru a crea parole complet aleatorii, fără tipare detectabile. În al doilea rând, toate datele de autentificare sunt stocate într-un seif digital securizat, protejat de o singură parolă principală. Astfel, nu mai este nevoie să memorezi zeci sau sute de parole, iar acestea rămân protejate împotriva accesului neautorizat.
În plus, un password manager oferă funcții precum completarea automată și sincronizarea între dispozitive, facilitând autentificarea fără a compromite securitatea. Multe dintre aceste soluții includ și monitorizarea breșelor de securitate, alertând utilizatorii dacă datele lor apar într-o scurgere de informații.
Deși AI poate fi utilă în multe domenii, generarea de parole nu este unul dintre ele. Tiparele și previzibilitatea parolelor create de modele LLM le fac vulnerabile în fața atacurilor. Într-o eră a breșelor de securitate frecvente, o parolă puternică și unică pentru fiecare cont nu mai este opțională.
