Пароли, сгенерированные ИИ – подарок для мошенников
Пароль, сгенерированный искусственным интеллектом, не случаен, он просто так выглядит
По мнению экспертов, инструменты генеративного искусственного интеллекта удивительно плохо справляются с предложением надежных паролей. Компания Irregular, специализирующаяся на безопасности с использованием искусственного интеллекта, изучила инструменты Claude, ChatGPT и Gemini и обнаружила, что все три инструмента GenAI предлагали, казалось бы, надежные пароли, которые действительно было легко угадать.
Предложив каждому из них сгенерировать 16-символьные пароли, содержащие специальные символы, цифры и буквы в разных регистрах, были получены якобы сложные кодовые фразы. При проверке различных онлайн-сервисов для проверки надежности паролей были получены очень высокие результаты. Некоторые утверждали, что для взлома обычных ПК понадобились бы столетия. Онлайн-сервисы проверки паролей сочли эти варианты надежными, поскольку они не знают наиболее распространенных шаблонов. На самом же деле время, необходимое для их взлома, гораздо меньше, чем кажется на первый взгляд.
Компания Irregular обнаружила, что все три чат-бота с искусственным интеллектом генерировали пароли с распространенными шаблонами, и если хакеры понимали их, они могли использовать эти знания для усовершенствования своих стратегий перебора. Исследователи использовали Claude, запустив модель Opus 4.6 и задали ей 50 запросов, каждый раз в отдельных диалогах и окнах для генерации пароля. Из 50 полученных паролей только 30 были уникальными (20 дубликатов, 18 из которых представляли собой одну и ту же строчку), и подавляющее большинство начиналось и заканчивалось одними и теми же символами. Ни в одном из 50 паролей не было повторяющихся символов, что указывает на то, что они не были по-настоящему случайными.
Тесты с использованием OpenAI GPT-5.2 и Google Gemini 3 Flash также обнаружили схожесть между всеми полученными паролями, особенно в начале строк. Аналогичные результаты были получены при использовании модели генерации изображений Google Nano Banana Pro. Irregular задал ей тот же запрос, но с просьбой вернуть случайный пароль, написанный на стикере Post-It, и обнаружил в результатах те же шаблоны паролей Gemini.
Издание Register повторило тесты, используя Gemini 3 Pro, выдающий три варианта (высокая сложность, большое количество символов и случайный буквенно-цифровой код), и первые два в целом следовали схожим закономерностям, тогда как третий вариант оказался более случайным. Примечательно, что Gemini 3 Pro возвращал пароли вместе с предупреждением о безопасности, что указывает на то, что пароли не следует использовать для доступа к конфиденциальным аккаунтам, поскольку они требовались в интерфейсе чата.
Также предлагалось генерировать кодовые фразы, которые, по утверждению компании, легко запоминаются, но при этом столь же неопасны, и рекомендовалось пользователям использовать сторонние менеджеры паролей, такие как 1Password, Bitwarden или встроенные менеджеры для мобильных устройств iOS/Android. Компания Irregular оценила энтропию сгенерированных LLM паролей, используя формулу энтропии Шеннона и понимая вероятность появления символов на основе закономерностей, отображаемых в результатах обработки 50 паролей.
Как создать надежный пароль
При создании пароля не используйте:
- личную информацию (дата рождения, фамилия, имя, адрес, номер телефона, девичья фамилия или имя вашего домашнего питомца и т.д.)
- общеизвестные комбинации паролей (например, Qwerty12, Password123456, Admin1234 и др.)
- последовательное или обратное написание символов или цифр
Придумайте пароль, который просто запомнить, угадать невозможно
Используйте фразы – кодовые слова. Основная идея – использовать первые буквы каждого слова знакомой фразы или предложения в качестве основы для пароля. Это может быть известная цитата, строка из вашего любимого стиха, песни и т.д. Далее замените или добавьте в последовательность знаков некоторые буквы, цифры и специальные символы по только вам известной системе. Например, если из фразы "КиберПес любит грызть мамины тапочки и одежду!" выбрать первые буквы слов и добавить специальные символы и цифры выйдет такая комбинация – Kplgmkto! #24.
Используйте разные пароли
Одинаковые пароли – это то же, что иметь один ключ к дому, автомобилю, сейфу. Если злоумышленники получат доступ к этому паролю, они смогут получить доступ ко всем аккаунтам, где он используется.
- Создайте пароли, существенно отличающиеся от предыдущих, которые использовались на этом же сервисе или устройстве.
- Регулярно меняйте пароли (каждые 3–6 месяцев или когда система попросит вас это сделать). Для очень важных аккаунтов их рекомендуется менять чаще.
Надежно храните пароли
- Никому не сообщайте пароли и коды (одноразовые пароли) банков и мобильных операторов.
- Не делитесь паролями по электронной почте или сообщениям.
- Не записывайте свои пароли на наклейке на ноутбуке/компьютере.
- Не храните пароли на смартфоне или ноутбуке в заметках.
- Не храните пароли в браузерах (при первой попытке ввести пароль на вебсайте ваш браузер предлагает сохранить эти данные. Если согласиться, он сохранит имя пользователя и пароль и в дальнейшем будет автоматически заполнять их при авторизации на вебсайте).
Вопросы для восстановления паролей
Вопрос для восстановления паролей – это дополнительная защита, которая дает возможность восстановить доступ к учетной записи, если он забыл пароль. Пользователь во время настройки аккаунта указывает определенный вопрос, на который он может легко ответить (например, "Где я встретил/встречила своего лучшего друга/подругу?"), и дает ответ на него. Если пароль забыт, система задаст этот вопрос, а правильный ответ позволит восстановить доступ к учетной записи или изменить пароль.
Используйте вопросы, ответы на которые известен только вам. Избегайте использования общеизвестных фактов, которые можно найти в социальных сетях. Рассмотрите возможность предоставления недействительных или вымышленных ответов.
Регулярно проверяйте электронную почту на утечку персональных данных
Используйте сервисы Have I Been Pwned или How secure is my password? для проверки надежности пароля. Для проверки введите адрес своей электронной почты на главной странице сервиса, и вы получите отчет о любых известных нарушениях, где указанный адрес был использован. При утечке данных необходимо изменить пароль на соответствующий адрес электронной почты и другие настройки безопасности. Также на этих сервисах можно настроить получение уведомлений об утечке ваших данных. Не обо всех истоках данных известно, поэтому такая проверка не надежна на 100%, но является хорошим дополнением к безопасности ваших данных.
Биометрические данные для авторизации
Биометрические данные, например отпечатки пальцев, распознавание лица или сканирование отпечатка ладони могут быть уникальными для каждого лица и надежно защищают от несанкционированного доступа к вашей личной информации. Однако следует помнить, что биометрические данные также могут быть скомпроментированы. В таком случае, их уже невозможно изменить, как в случае с паролем. Используйте биометрические данные вместе с другими методами проверки подлинности, такими как: пароли или многофакторная проверка подлинности для обеспечения максимального уровня безопасности.
В рамках кампании #ШахрайГудбай Минсоцполитики вместе с Нацбанком, Киберполицией и Госспецсвязи делится советами, как распознать мошенников и не попасть в ловушку. Информатор приводит основные правила защиты от телефонных мошенников ваших банковских карт.
Следите за нами в Telegram
Сейчас читают на Информаторе
