Паролі, згенеровані ШІ - подарунок для шахраїв
Пароль, згенерований штучним інтелектом, не випадковий, він просто так так виглядає
На думку експертів, інструменти генеративного штучного інтелекту напрочуд погано справляються з пропозицією надійних паролів. Компанія Irregular, що спеціалізується на безпеці з використанням штучного інтелекту, вивчила інструменти Claude, ChatGPT та Gemini і виявила, що всі три інструменти GenAI пропонували, здавалося б, надійні паролі, які насправді було легко вгадати.
Запропонувавши кожному з них згенерувати 16-символьні паролі, що містять спеціальні символи, цифри та літери в різних регістрах, були отримані, начебто, складні кодові фрази. Під час перевірки різними онлайн-сервісами для перевірки надійності паролів було отримано дуже високі результати. Деякі стверджували, що для злому звичайних ПК знадобилися б сторіччя. Онлайн-сервіси перевірки паролів визнали ці варіанти надійними, оскільки вони не знають найпоширеніших шаблонів. Насправді ж час, необхідний їхнього злому, набагато менше, ніж здається здавалося б.
Компанія Irregular виявила, що всі три чат-боти зі штучним інтелектом генерували паролі з поширеними шаблонами, і якщо хакери розуміли їх, вони могли використовувати ці знання для вдосконалення своїх стратегій перебору. Дослідники використовували Claude, запустивши модель Opus 4.6 і задали їй 50 запитів, щоразу в окремих діалогах і вікнах, для генерації пароля. З 50 отриманих паролів тільки 30 були унікальними (20 дублікатів, 18 з яких являли собою один і той же рядок), і переважна більшість починалася і закінчувалася одними й тими самими символами. В жодному з 50 паролів не було символів, що повторюються, що вказує на те, що вони не були по-справжньому випадковими.
Тести з використанням OpenAI GPT-5.2 та Google Gemini 3 Flash також виявили схожість між усіма отриманими паролями, особливо на початку рядків. Аналогічні результати були отримані під час використання моделі генерації зображень Google Nano Banana Pro. Irregular задав їй той самий запит, але з проханням повернути випадковий пароль, написаний на стікері Post-It, і виявив у результатах ті самі шаблони паролів Gemini.
Видання Register повторило тести, використовуючи Gemini 3 Pro, який видає три варіанти (висока складність, велика кількість символів і випадковий буквено-цифровий код), і перші два в цілому слідували схожим закономірностям, тоді як третій варіант виявився більш випадковим. Примітно, що Gemini 3 Pro повертав паролі разом із попередженням про безпеку, що вказує на те, що паролі не слід використовувати для доступу до конфіденційних облікових записів, оскільки вони вимагалися в інтерфейсі чату.
Також пропонувалося генерувати кодові фрази, які, за твердженням компанії, легко запам'ятовуються, але при цьому настільки ж безпечні, і рекомендувалося користувачам використовувати сторонні менеджери паролів, такі як 1Password, Bitwarden або вбудовані менеджери для мобільних пристроїв iOS/Android. Компанія Irregular оцінила ентропію згенерованих LLM паролів, використовуючи формулу ентропії Шеннона та розуміючи ймовірність появи символів на основі закономірностей, що відображаються в результатах обробки 50 паролів.
Як створити надійний пароль
Під час створення пароля не використовуйте:
- особисту інформацію (дата народження, прізвище, ім’я, адреса, номер телефону, дівоче прізвище або ім'я вашого домашнього улюбленця тощо)
- загальновідомі комбінації паролів (наприклад, Qwerty12, Password123456, Admin1234 та ін.)
- послідовне або зворотне написання символів або цифр
Придумайте пароль, який запам'ятати просто, вгадати неможливо
Використовуйте фрази – кодові слова. Основна ідея – використовувати перші літери кожного слова знайомої фрази або речення як основу для пароля. Це може бути відома цитата, рядок з вашого улюбленого вірша, пісні тощо. Далі замініть або додайте в послідовність знаків деякі літери, цифри та спеціальні символи за тільки вам відомою системою. Наприклад, якщо з фрази "КіберПес любить гризти мамині капці та одяг!" обрати перші літери слів і додати спеціальні символи та цифри вийде така комбінація – Kplgmkto!#24.
Використовуйте різні паролі
Однакові паролі – це те саме, що мати один ключ до будинку, автомобіля, сейфа. Якщо зловмисники отримають доступ до цього пароля, вони зможуть отримати доступ до всіх облікових записів, де він використовується.
- Створюйте паролі, які істотно відрізняються від попередніх, що використовувалися на цьому ж сервісі чи пристрої.
- Регулярно змінюйте паролі (кожні 3–6 місяців або тоді, коли система попросить вас це зробити). Для дуже важливих облікових записів їх рекомендується змінювати частіше.
Надійно зберігайте паролі
- Нікому не повідомляйте паролі та коди (одноразові паролі) банків і мобільних операторів.
- Не діліться паролями через електронну пошту або повідомлення.
- Не записуйте свої паролі на наліпці на ноутбуці/комп’ютері.
- Не зберігайте паролі на смартфоні або ноутбуці в нотатках.
- Не зберігайте паролі у браузерах (під час першої спроби ввести пароль на вебсайті ваш браузер пропонує зберегти ці дані. Якщо погодитись, то він збереже ім'я користувача та пароль і надалі буде автоматично заповнювати їх під час авторизації на вебсайті).
Запитання для відновлення паролів
Запитання для відновлення паролів – це додатковий захист, що полягає в тому, щоб користувач міг відновити свій доступ до облікового запису, якщо він забув свій пароль. Користувач під час налаштування облікового запису зазначає певне запитання, на яке він може легко відповісти (наприклад, "Де я зустрів / зустріла свого найкращого друга / подругу?"), і дає відповідь на нього. Якщо пароль забутий, то система поставить це запитання, а правильна відповідь дасть змогу відновити доступ до облікового запису або змінити пароль.
Використовуйте запитання, відповідь на які відома тільки вам. Уникайте використання загальновідомих фактів, які можна знайти у ваших соціальних мережах. Розгляньте можливість надання недійсних або вигаданих відповідей.
Регулярно перевіряйте електронну пошту на витік персональних даних
Використовуйте сервіси Have I Been Pwned або How secure is my password? для перевірки надійності пароля. Для перевірки введіть адресу своєї електронної пошти на головній сторінці сервісу, і ви отримаєте звіт про будь-які відомі порушення, де зазначена адреса була використана. У разі витоку даних потрібно змінити свій пароль до відповідної адреси електронної пошти та інші налаштування безпеки. Також на цих сервісах можна налаштувати отримання сповіщень про витік ваших даних. Не про всі витоки даних відомо, тому така перевірка не є надійною на 100%, але є гарним доповненням до безпеки ваших даних.
Біометричні дані для авторизації
Біометричні дані, наприклад, відбитки пальців, розпізнавання обличчя або сканування відбитка долоні можуть бути унікальними для кожної особи та надійно захищають від несанкціонованого доступу до вашої особистої інформації. Однак слід пам'ятати, що біометричні дані також можуть бути скомпроментованими. У такому разі їх вже неможливо змінити, як у випадку з паролем. Використовуйте біометричні дані разом з іншими методами автентифікації, такими як: паролі чи багатофакторна автентифікація для забезпечення максимального рівня безпеки.
У межах кампанії #ШахрайГудбай Мінсоцполітики разом із Нацбанком, Кіберполіцією та Держспецзв'язку ділиться порадами, як розпізнати шахраїв і не потрапити в пастку. Інформатор наводить основні правила захисту від телефонних шахраїв ваших банківських карток.
Слідкуйте за нами у Telegram
Зараз читають на Інформаторі
