Πόσους κωδικούς πρόσβασης έχετε; Μπορεί να είναι περισσότεροι από όσους νομίζετε. Η πλειονότητα των διαδικτυακών υπηρεσιών και εφαρμογών απαιτούν από τον χρήστη να δημιουργήσει έναν κωδικό πρόσβασης. Κατά πάσα πιθανότητα, πολλοί από αυτούς τους κωδικούς δεν χρησιμοποιούνται καθημερινά και, εξαιτίας του μεγάλου αριθμού τους, υπάρχει μεγάλη πιθανότητα πολλοί κωδικοί να επαναχρησιμοποιούνται.
Επειδή πολλοί χρήστες βασίζονται σε κοινούς συνδυασμούς ονομάτων, λέξεων του λεξικού και αριθμών, η κακή διαχείριση των κωδικών πρόσβασης γίνεται ακόμη πιο επικίνδυνη. Αυτοί οι κωδικοί είναι σχετικά εύκολο να αποκρυπτογραφηθούν και, το χειρότερο, η παραβίαση ενός μόνο κωδικού μπορεί να ανοίξει την πόρτα σε πολλούς άλλους λογαριασμούς.
Προκειμένου να αποφευχθούν οι κίνδυνοι από την επαναχρησιμοποίηση κωδικών, συνιστάται η δημιουργία μοναδικών, τυχαίων κωδικών πρόσβασης. Δεδομένου όμως ότι η δημιουργία και η διαχείριση κωδικών μπορεί να είναι δύσκολη, οι χρήστες ενδέχεται να καταφύγουν σε μεγάλα γλωσσικά μοντέλα (LLMs) όπως το ChatGPT, το Llama ή το DeepSeek για τη δημιουργία τους.
Η ευκολία είναι προφανής: αντί να δυσκολεύονται να επινοήσουν έναν ισχυρό κωδικό, οι χρήστες μπορούν απλώς να ζητήσουν από την τεχνητή νοημοσύνη να δημιουργήσει έναν ασφαλή κωδικό και να λάβουν άμεσα ένα αποτέλεσμα. Η τεχνητή νοημοσύνη παράγει ακολουθίες χαρακτήρων που δημιουργούν την εντύπωση τυχαιότητας, σε αντίθεση με την ανθρώπινη τάση για προβλέψιμους κωδικούς που προέρχονται από το λεξικό. Ωστόσο, αυτή η εντύπωση μπορεί να είναι παραπλανητική, καθώς οι κωδικοί που δημιουργούνται από την τεχνητή νοημοσύνη ενδέχεται να μην είναι τόσο ασφαλείς όσο φαίνονται.
Ο Alexey Antonov, επικεφαλής της ομάδας Data Science στην Kaspersky, το δοκίμασε δημιουργώντας 1.000 κωδικούς πρόσβασης χρησιμοποιώντας μερικά από τα πιο διακεκριμένα και αξιόπιστα LLMs, συμπεριλαμβανομένων των ChatGPT (από την OpenAI), Llama (από τον όμιλο Meta) και DeepSeek (νεοεισερχόμενο μοντέλο από την Κίνα). «Όλα τα μοντέλα γνωρίζουν ότι ένας καλός κωδικός πρόσβασης αποτελείται από τουλάχιστον 12 χαρακτήρες, συμπεριλαμβανομένων κεφαλαίων και μικρών γραμμάτων, αριθμών και συμβόλων. Το αναφέρουν αυτό κατά τη δημιουργία κωδικών πρόσβασης», λέει ο Antonov.
«Το DeepSeek και το Llama παρήγαγαν μερικές φορές κωδικούς πρόσβασης που αποτελούνταν από λέξεις του λεξικού, στις οποίες αντί για κάποια γράμματα υπήρχαν αριθμοί παρόμοιου σχήματος: S@d0w12, M@n@go3, B@n@n@7 (DeepSeek), K5yB0a8dS8, S1mP1eL1on (Llama). Και στα δύο αυτά μοντέλα αρέσει να δημιουργούν τον κωδικό πρόσβασης ‘password’: P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama). Περιττό να πούμε ότι τέτοιοι κωδικοί πρόσβασης δεν είναι ασφαλείς», προσθέτει ο Antonov. Το τέχνασμα της αντικατάστασης γραμμάτων είναι γνωστό και δεν είναι δύσκολο να σπάσει μέσω brute force. Το ChatGPT δεν αντιμετωπίζει αυτό το πρόβλημα και δημιουργεί κωδικούς πρόσβασης που μοιάζουν τυχαίοι. Για παράδειγμα:
Ωστόσο, αν κοιτάξετε προσεκτικά, μπορείτε να δείτε μοτίβα. Για παράδειγμα, ο αριθμός 9 απαντάται συχνά.
Ιδανικά, ένας τυχαίος δημιουργός κωδικών δεν θα έπρεπε να προτιμά κανένα γράμμα. Όλα τα σύμβολα πρέπει να εμφανίζονται περίπου ισάριθμες φορές.
Επίσης, οι αλγόριθμοι συχνά παρέλειπαν να εισάγουν έναν ειδικό χαρακτήρα ή ψηφία στον κωδικό πρόσβασης: 26% των κωδικών για το ChatGPT, 32% για το Llama και 29% για το DeepSeek. Ενώ το DeepSeek και το Llamaπαρήγαγαν μερικές φορές κωδικούς πρόσβασης μικρότερους από 12 χαρακτήρες.
Γνωρίζοντας αυτές τις ευπάθειες, οι κυβερνοεγκληματίες μπορούν να επιταχύνουν σημαντικά την επίθεση “brute force” σε κωδικούς πρόσβασης: δηλαδή, αντί να δοκιμάζουν με τη σειρά “aaa”, “aab”, “aac”, … “aba”, “abb”, “abc”, … “zzz”, θα μπορούσαν να ξεκινήσουν με συχνούς συνδυασμούς.
Το 2024, ο Antonov ανέπτυξε έναν αλγόριθμο μηχανικής μάθησης για να δοκιμάσει την ισχύ των κωδικών πρόσβασης και διαπίστωσε ότι σχεδόν το 60% των κωδικών πρόσβασης μπορούν να σπάσουν σε λιγότερο από μία ώρα χρησιμοποιώντας σύγχρονα GPU ή εργαλεία παραβίασης που βασίζονται στο cloud. Όταν εφαρμόστηκε σε κωδικούς πρόσβασης που δημιουργήθηκαν από τεχνητή νοημοσύνη, τα αποτελέσματα ήταν ανησυχητικά, καθώς αποδείχθηκαν πολύ λιγότερο ασφαλείς από ό,τι φαίνονταν: το 88% των κωδικών πρόσβασης που δημιουργήθηκαν από το DeepSeek και το 87% από το Llama δεν ήταν αρκετά ισχυροί για να αντέξουν μια επίθεση από έμπειρους κυβερνοεγκληματίες. Το ChatGPT τα πήγε λίγο καλύτερα, με το 33% των κωδικών πρόσβασης να μην είναι αρκετά ισχυροί για να περάσουν το τεστ της Kaspersky.
«Το πρόβλημα είναι ότι τα LLMs δεν δημιουργούν πραγματική τυχαιότητα. Αντίθετα, μιμούνται μοτίβα από υπάρχοντα δεδομένα, καθιστώντας τις εξόδους τους προβλέψιμες για τους επιτιθέμενους που κατανοούν πώς λειτουργούν αυτά τα μοντέλα», σημειώνει ο Antonov.
Υιοθετήστε μια πιο ασφαλή διαχείριση κωδικών πρόσβασης.
Αντί να βασίζονται στην τεχνητή νοημοσύνη, οι χρήστες θα πρέπει να προτιμούν εξειδικευμένα λογισμικά διαχείρισης κωδικών πρόσβασης, όπως το Kaspersky Password Manager. Αυτά τα εργαλεία προσφέρουν σημαντικά και ουσιαστικά πλεονεκτήματα.
Καταρχάς, αυτού του τύπου τα λογισμικά χρησιμοποιούν κρυπτογραφικά ασφαλείς μηχανισμούς δημιουργίας κωδικών, χωρίς επαναλαμβανόμενα ή προβλέψιμα μοτίβα, διασφαλίζοντας αυθεντική τυχαιότητα. Επιπλέον, όλα τα διαπιστευτήρια αποθηκεύονται σε ένα ασφαλές ψηφιακό θησαυροφυλάκιο, προστατευμένο από έναν και μοναδικό κύριο κωδικό. Έτσι, οι χρήστες δεν χρειάζεται να θυμούνται δεκάδες διαφορετικούς κωδικούς, ενώ παράλληλα διατηρούνται προστατευμένοι από παραβιάσεις.
Επιπρόσθετα, οι διαχειριστές κωδικών πρόσβασης προσφέρουν λειτουργίες όπως αυτόματη συμπλήρωση και συγχρονισμό μεταξύ συσκευών, κάνοντας τις συνδέσεις γρήγορες και εύκολες χωρίς να τίθεται σε κίνδυνο η ασφάλεια. Πολλά από αυτά τα εργαλεία περιλαμβάνουν επίσης δυνατότητα παρακολούθησης παραβιάσεων, ειδοποιώντας τους χρήστες αν τα στοιχεία τους εντοπιστούν σε διαρροή δεδομένων.
Αν και η τεχνητή νοημοσύνη μπορεί να φανεί χρήσιμη σε πολλές περιπτώσεις, η δημιουργία ισχυρών κωδικών πρόσβασης δεν είναι μία από αυτές. Οι αλγόριθμοι παραγωγής κωδικών από μεγάλα γλωσσικά μοντέλα (LLMs) συχνά ακολουθούν μοτίβα, καθιστώντας τους κωδικούς ευάλωτους σε επιθέσεις. Αντί να επιλέγετε εύκολες λύσεις, επενδύστε σε έναν αξιόπιστο διαχειριστή κωδικών — την πρώτη γραμμή άμυνας σας απέναντι στις κυβερνοαπειλές. Στην εποχή που οι παραβιάσεις δεδομένων είναι συχνό φαινόμενο, η χρήση ισχυρών και μοναδικών κωδικών για κάθε λογαριασμό είναι απολύτως απαραίτητη.
VIA: techit.gr
