- كلمات المرور التي تولدها الذكاء الاصطناعي تتبع أنماط يمكن للهاكرز دراستها
- تعقيد السطح يخفي الت predictability الإحصائية في الداخل
- فجوات الإنتروبيا في كلمات مرور الذكاء الاصطناعي تكشف عن نقاط ضعف هيكلية في تسجيلات الدخول AI
يمكن لنماذج اللغة الكبيرة (LLMs) أن تنتج كلمات مرور تبدو معقدة، إلا أن الاختبارات الأخيرة تشير إلى أن هذه السلاسل بعيدة عن العشوائية.
قامت دراسة من Irregular بفحص مخرجات كلمة المرور من أنظمة الذكاء الاصطناعي مثل كلود، شات جي بي تي، وجمني، حيث طُلب من كل منها إنشاء كلمات مرور مكونة من 16 حرفاً مع الرموز والأرقام وحروف مختلطة.
للوهلة الأولى، بدت النتائج قوية واجتازت اختبارات القوة الشائعة عبر الإنترنت، حيث قدر بعض الفاحصين أن فك تشفيرها سيستغرق قروناً، لكن نظرة فاحصة على هذه الكلمات المرور أظهرت قصة مختلفة.
تظهر كلمات مرور LLM التكرار وأنماط إحصائية قابلة للتخمين
عند تحليل الباحثين لـ 50 كلمة مرور تم إنشاؤها في جلسات منفصلة، كانت العديد منها مكررة، وتبع العديد منها أنماط هيكلية متطابقة تقريبًا.
أغلبها بدأت وانتهت بأنواع أحرف مشابهة، ولم تحتوي أي منها على أحرف مكررة.
قد يبدو أن غياب التكرار يبعث على الاطمئنان، لكنه في الحقيقة يشير إلى أن النتيجة تتبع التقنيات المتعلمة بدلاً من العشوائية الحقيقية.
باستخدام حسابات الإنتروبيا المعتمدة على إحصائيات الأحرف واحتمالات السجل النموذجي، قدر الباحثون أن كلمات المرور التي تم إنشاؤها بواسطة الذكاء الاصطناعي تحمل حوالي 20 إلى 27 بتًا من الإنتروبيا.
عادةً ما تقاس كلمة مرور عشوائية حقيقية مكونة من 16 حرفًا بين 98 و120 بتًا لنفس الطرق.
الفجوة كبيرة – ومن الناحية العملية، قد يعني ذلك أن مثل هذه الكلمات المرور معرضة لهجمات القوة الغاشمة في غضون ساعات، حتى على الأجهزة القديمة.
تقيم مقاييس قوة كلمة المرور عبر الإنترنت التعقيد السطحي، وليس الأنماط الإحصائية المخفية وراء سلسلة – وبما أنها لا تأخذ في الاعتبار كيف توليد الأدوات الذكية للنص، قد تصنف النواتج القابلة للتوقع كآمنة.
يمكن للمهاجمين الذين يفهمون تلك الأنماط تحسين استراتيجيات التخمين الخاصة بهم، مما يقلل بشكل كبير من مساحة البحث.
كما وجدت الدراسة أن تسلسلات مماثلة تظهر في مستودعات الكود العامة والوثائق، مما يشير إلى أن كلمات مرور الذكاء الاصطناعي قد تكون تتداول بالفعل بشكل واسع.
إذا اعتمد المطورون على هذه المخرجات أثناء الاختبار أو النشر، فإن الخطر يتضاعف مع مرور الوقت – في الواقع، حتى أن أنظمة الذكاء الاصطناعي التي تولد هذه الكلمات المورد لا تثق بها بشكل كامل وقد تصدر تحذيرات عند الضغط.
على سبيل المثال، أصدرت Gemini 3 Pro اقتراحات لكلمات المرور إلى جانب تحذير بأن بيانات اعتماد الدردشة المولدة لا ينبغي استخدامها للحسابات الحساسة.
أوصت بعبارات مرور بدلاً من ذلك ونصحت المستخدمين بالاعتماد على مدير كلمات المرور المخصص.
يعتمد مولد كلمات المرور المدمج في مثل هذه الأدوات على العشوائية التشفيرية بدلاً من توقع اللغة.
بعبارات بسيطة، تم تدريب LLMs لإنتاج نصوص محتملة وقابلة للتكرار، وليس تسلسلات غير متوقعة، لذلك، القلق الأوسع هو هيكلي.
تتعارض مبادئ التصميم وراء كلمات مرور التي تم إنشاؤها بواسطة LLM مع متطلبات المصادقة الآمنة، مما يوفر حماية تحت فقرات.
“يجب على الأشخاص ووكلاء الترميز ألا يعتمدوا على LLMs لتوليد كلمات المرور،” قال Irregular.
“كلمات المرور التي تم إنشاؤها من خلال الإخراج المباشر لـ LLM ضعيفة من الناحية الأساسية، ولا يمكن تصحيح ذلك عن طريق الطلبات أو تعديلات الحرارة: تم تحسين LLMs لإنتاج مخرجات قابلة للتوقع ومنطقية، وهو أمر غير متوافق مع توليد كلمات المرور الآمنة.”
عبر ذا ريجستر
تابع TechRadar على Google News و أضفنا كمصدر مفضل للحصول على أخبارنا، تقييماتنا، وآرائنا الخبراء في خلاصاتك. تأكد من الضغط على زر متابعة!
وبالطبع يمكنك أيضًا متابعة TechRadar على TikTok لأخبار، تقييمات، فتحات في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضًا.
