Ha chatbot generálta a jelszavát, azonnal cserélje le
Tech ', Mobil Telefon hírek

Egy kiberbiztonsági kutatás kiderítette, hogy a ChatGPT, a Claude és a Gemini által generált jelszavak kiszámítható mintákat követnek, amelyeket még egy régi számítógép is viszonylag gyorsan feltör, pedig az online ellenőrző eszközök kiválónak minősítik őket. Szakértők ezért arra figyelmeztetnek, hogy ha lehet, akkor változtassuk meg ezeket a jelszavakat, vagy válasszunk arc- és ujjlenyomat-felismerő alkalmazásokat.
Ha valaha is megkért egy mesterségesintelligencia-alapú chatbotot, hogy generáljon egy erős jelszót, akkor itt az ideje, hogy azonnal megváltoztassa azt. Egy kiberbiztonsági cég kutatása ugyanis megdöbbentő eredményre jutott: a három legismertebb nyelvi modell – a ChatGPT, a Claude és a Gemini – mind kiszámítható mintákat követ a jelszógenerálásnál, amelyeket a kiberbűnözők eszközei aránylag könnyen feltörhetnek − írja a Sky News.

Az Irregular nevű kiberbiztonsági vállalat kutatása rávilágított a probléma lényegére: a nyelvi modellek nem véletlenszerűen állítják elő a jelszavakat, hanem az adatbázisukban felismert mintákra támaszkodnak. Ebből következik, hogy amit generálnak, az nem igazán erős jelszó – csupán annak látszik.

A kutatók az Anthropic Claude modelljével ötven jelszót generáltattak, amelyek közül mindössze huszonhárom bizonyult egyedinek. Az egyik jelszó – K9#mPx$vL2nQ8wR – tízszer szerepelt a mintában. Amikor a Sky News is letesztelte a Claude-ot, az első generált jelszó K9#mPx@4vLp2Qn8R lett, amely szinte teljesen azonos a kutatásban szereplővel. A ChatGPT és a Gemini valamivel változatosabb eredményeket produkált, de a visszatérő elemek és a kiszámítható szerkezetek náluk is jól megfigyelhetők voltak.

Ugyanakkor ironikus, hogy az online jelszóellenőrző eszközök rendre kiválónak minősítik ezeket a jelszavakat. Az egyik ilyen ellenőrző eszköz szerint egy Claude által generált jelszót még 129 trillió év alatt sem tudna feltörni egy számítógép. Ez az eredmény azonban félrevezető: az ellenőrzők nem ismerik a mintát, és éppen ezért nem képesek megítélni, valóban biztonságos-e.

Dan Lahav, az Irregular társalapítója ezért azt javasolta, hogy aki teheti, azonnal változtassa meg a jelszavát. Úgy véli, ha valaki mesterséges intelligenciával generáltatja jelszavait, ezeket még egy régi számítógép is viszonylag rövid idő alatt feltörheti − hiába állítják ennek ellenkezőjét az online ellenőrző eszközök.

Könnyebben megoldható a probléma, mint gondolnánk
A probléma nem korlátozódik a felhasználókra, egyre több fejlesztő is mesterséges intelligenciával íratja jelszavait, és ezek már megtalálhatók különböző alkalmazásokban, programokban és weboldalakon. A GitHub kódtárban végzett keresés szemléletes eredménnyel járt: a Claude által gyakran használt K9#mP jelszóra 113 találat jött elő, a Gemini által előszeretettel alkalmazott k9#vL részletre pedig 14.

QP | Quality Placement
A legtöbb eset ártalmatlan, de az Irregular kiberbiztonsági cég tényleges szervereken és éles kódban is talált AI-generált jelszavakra utaló jeleket. „Vannak, akik úgy válnak érintetté, hogy nem is tudnak róla” – fogalmazott Dan Lahav.

A szakértők szerint egyszerűen áthidalható ez a probléma, Graeme Stewart, a Check Point kiberbiztonsági cég részlegvezetője azt mondta, nem arról van szó, hogy mindenki rögtön hekkertámadás áldozatává válhat. Robert Hann, az Entrust alelnöke viszont rámutatott, hogy maguk a jelszavak jelentik az igazi problémát, és helyettük az arc- és ujjlenyomat-felismerő alkalmazások használatát javasolta, ahol erre lehetőség van.

Ha viszont ez nem megoldható, akkor egy hosszú, de könnyen megjegyezhető mondatot válasszunk jelszónak, amelyet ne mesterséges intelligencia generáljon. A Google szóvivője is hangsúlyozta, hogy a nyelvi modellek nem jelszógenerálásra készültek, és inkább a jelszókezelők, illetve a jelszó nélküli hitelesítési megoldások, az úgynevezett passkey-ek használatát ajánlják.

Forrás, szerző: index.hu