اکثر پسوردهای ساختهشده با هوش مصنوعی راحت شکسته میشوند
در این مطالعه، هزاران رمز عبور تولیدشده توسط مدلهای هوش مصنوعی مطرح از جمله ChatGPT ،DeepSeek و Llama مورد بررسی قرار گرفته است.
استفاده از ابزارهای هوش مصنوعی برای تولید رمز عبور، بهسرعت درحال تبدیل شدن به یک عادت رایج میان کاربران اینترنت است. هرچند این کار در نگاه اول منطقی بهنظر میرسد، اما یافتههای یک پژوهش جدید نشان میدهد که ساخت رمز عبور با هوش مصنوعی میتواند خطرات امنیتی جدی به همراه داشته باشد.
در این مطالعه، هزاران رمز عبور تولیدشده توسط مدلهای هوش مصنوعی مطرح از جمله ChatGPT ،DeepSeek و Llama مورد بررسی قرار گرفته است. نتایج آن نشان داده که رمزهای تولیدشده توسط DeepSeek در ۸۸ درصد موارد و رمزهای تولید شده توسط مدل Llama در ۸۷ درصد موارد در برابر حملات شکسته شدهاند. عملکرد ChatGPT بهتر بوده، اما همچنان حدود یکسوم رمزهای تولیدی آن در کمتر از یک ساعت قابل شکستن بودهاند.
دلیل ضعیف پسورهای ساخته شده با هوش مصنوعی
محققان میگویند ریشه این ضعف امنیتی به نحوه عملکرد مدلهای زبانی مربوط میشود. این مدلها با پیشبینی الگوها کار میکنند؛ یعنی براساس دادههای آموزشی خود، حدس میزنند چه کاراکتری باید در ادامه قرار بگیرد. همین ویژگی باعث میشود در تولید متن، ترجمه یا خلاصهسازی عملکرد بسیار خوبی داشته باشند.
اما تولید رمز عبور امن به تصادفیسازی واقعی بدون هیچ الگوی آماری نیاز دارد؛ ویژگی که محققان میگویند مدلهای زبانی اساساً قادر به انجام آن نیستند.
همچنین درباره رمزعبورهای تولید شده توسط مدلهای هوش مصنوعی گفته شده که الگوهای قابل شناسایی مانند طول مشخص در آنها وجود دارد. ابزارهای جدیدی که برای شکستن رمز استفاده میشوند دقیقاً برای شناسایی همین الگوها طراحی شدهاند.
این تحقیق همچنین نشان داده که اگر چند کاربر بهطور جداگانه از یک مدل هوش مصنوعی درخواست تولید رمز عبور کنند، خروجیها هرچند یکسان نیستند، اما شباهتهای ساختاری قابل توجهی دارند. بهعبارت دیگر، تنوع واقعی این رمزها کمتر از چیزی است که تصور میشود.
پژوهشگران استفاده از ابزارهای مدیریت رمز عبوری را توصیه کردهاند که از الگوریتمهای رمزنگاری امن برای تولید رمزهای کاملاً تصادفی استفاده میکنند. علاوهبر تولید، نحوه ذخیرهسازی رمزها نیز اهمیت بالایی دارد. به گفته آنها در صورتی که تاریخچه چت در ابزارهای هوش مصنوعی حذف نشود، تمامی رمزهای تولیدشده ممکن است در دسترس هر فردی قرار گیرد که به حساب کاربری دسترسی پیدا کند.
