- تتبع كلمات المرور التي ينشئها الذكاء الاصطناعي أنماطًا يمكن للمتسللين دراستها
- يخفي التعقيد السطحي القدرة على التنبؤ الإحصائي تحته
- تكشف فجوات الإنتروبيا في كلمات مرور الذكاء الاصطناعي عن نقاط الضعف الهيكلية في عمليات تسجيل دخول الذكاء الاصطناعي
يمكن لنماذج اللغات الكبيرة (LLMs) أن تجعل كلمات المرور تبدو معقدة، إلا أن الاختبارات الحديثة تشير إلى أن هذه السلاسل أبعد ما تكون عن العشوائية.
قامت دراسة أجرتها Irregular بفحص مخرجات كلمات المرور من أنظمة الذكاء الاصطناعي مثل Claude وChatGPT وGemini، حيث طلبت من كل منها إنشاء كلمات مرور مكونة من 16 حرفًا مع رموز وأرقام وأحرف مختلطة.
للوهلة الأولى، بدت النتائج قوية واجتازت اختبارات القوة الشائعة عبر الإنترنت، حيث قدر بعض المدققين أن اختراقها سيستغرق قرونًا، لكن نظرة فاحصة على كلمات المرور هذه تحكي قصة مختلفة.
تُظهر كلمات مرور LLM أنماطًا إحصائية متكررة وقابلة للتخمين
عندما قام الباحثون بتحليل 50 كلمة مرور تم إنشاؤها في جلسات منفصلة، كان الكثير منها مكررًا، واتبع العديد منها أنماطًا هيكلية متطابقة تقريبًا.
بدأت معظمها وانتهت بأنواع أحرف متشابهة، ولم تحتوي أي منها على أحرف متكررة.
قد يبدو غياب التكرار مطمئنًا، لكنه يشير في الواقع إلى أن المخرجات تتبع التقاليد المستفادة وليس العشوائية الحقيقية.
باستخدام حسابات الإنتروبيا بناءً على إحصائيات الشخصية واحتمالات سجل النماذج، قدر الباحثون أن كلمات المرور التي تم إنشاؤها بواسطة الذكاء الاصطناعي تحمل ما يقرب من 20 إلى 27 بت من الإنتروبيا.
عادةً ما تقيس كلمة المرور العشوائية المكونة من 16 حرفًا ما بين 98 و120 بت بنفس الطرق.
الفجوة كبيرة – ومن الناحية العملية، قد يعني ذلك أن كلمات المرور هذه معرضة لهجمات القوة الغاشمة في غضون ساعات، حتى على الأجهزة القديمة.
تعمل أجهزة قياس قوة كلمة المرور عبر الإنترنت على تقييم التعقيد السطحي، وليس الأنماط الإحصائية المخفية خلف السلسلة – ولأنها لا تأخذ في الاعتبار كيفية إنشاء أدوات الذكاء الاصطناعي للنص، فقد تصنف المخرجات التي يمكن التنبؤ بها على أنها آمنة.
يمكن للمهاجمين الذين يفهمون هذه الأنماط تحسين استراتيجيات التخمين الخاصة بهم، مما يؤدي إلى تضييق مساحة البحث بشكل كبير.
ووجدت الدراسة أيضًا أن تسلسلات مماثلة تظهر في مستودعات ووثائق التعليمات البرمجية العامة، مما يشير إلى أن كلمات المرور التي ينشئها الذكاء الاصطناعي ربما تكون منتشرة بالفعل على نطاق واسع.
إذا اعتمد المطورون على هذه المخرجات أثناء الاختبار أو النشر، فإن المخاطر تتفاقم بمرور الوقت – في الواقع، حتى أنظمة الذكاء الاصطناعي التي تولد كلمات المرور هذه لا تثق بها بشكل كامل وقد تصدر تحذيرات عند الضغط عليها.
على سبيل المثال، أعاد برنامج Gemini 3 Pro اقتراحات كلمة المرور إلى جانب تحذير من عدم استخدام بيانات الاعتماد الناتجة عن الدردشة للحسابات الحساسة.
وأوصت بعبارات المرور بدلاً من ذلك ونصحت المستخدمين بالاعتماد على مدير كلمات مرور مخصص.
يعتمد مولد كلمات المرور المضمن في هذه الأدوات على عشوائية التشفير بدلاً من التنبؤ باللغة.
بعبارات بسيطة، يتم تدريب حاملي شهادة الماجستير في القانون على إنتاج نص معقول وقابل للتكرار، وليس تسلسلات غير متوقعة، وبالتالي، فإن الاهتمام الأوسع هو هيكلي.
تتعارض مبادئ التصميم وراء كلمات المرور التي تم إنشاؤها بواسطة LLM مع متطلبات المصادقة الآمنة، وبالتالي، فهي توفر الحماية مع وجود ثغرة.
قال Irregular: “لا ينبغي للأشخاص ووكلاء البرمجة الاعتماد على LLMs لإنشاء كلمات المرور”.
“كلمات المرور التي يتم إنشاؤها من خلال مخرجات LLM المباشرة ضعيفة بشكل أساسي، وهذا غير قابل للإصلاح عن طريق المطالبة أو ضبط درجة الحرارة: تم تحسين LLMs لإنتاج مخرجات يمكن التنبؤ بها ومعقولة، وهو ما لا يتوافق مع إنشاء كلمة مرور آمنة.”
عبر السجل
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات