- Door AI gegenereerde wachtwoorden volgen patronen die hackers kunnen bestuderen
- De complexiteit van het oppervlak verbergt statistische voorspelbaarheid daaronder
- Entropielacunes in AI-wachtwoorden leggen structurele zwakheden in AI-logins bloot
Grote taalmodellen (LLM’s) kunnen wachtwoorden complex laten lijken, maar recente tests suggereren dat dergelijke reeksen verre van willekeurig zijn.
Een onderzoek uitgevoerd door Irregular onderzocht de wachtwoorduitvoer van AI-systemen zoals Claude, ChatGPT en Gemini, waarbij elk van hen werd gevraagd wachtwoorden van 16 tekens te genereren met symbolen, cijfers en hoofdletters.
Op het eerste gezicht zagen de resultaten er solide uit en doorstonden ze de gebruikelijke online sterktetests, waarbij sommige testers schatten dat het kraken ervan eeuwen zou duren, maar een nadere beschouwing van deze wachtwoorden vertelde een ander verhaal.
LLM-wachtwoorden vertonen herhaling en raadbare statistische patronen
Toen de onderzoekers vijftig wachtwoorden analyseerden die in afzonderlijke sessies waren gegenereerd, waren er veel duplicaten en volgden veel ervan vrijwel identieke structurele patronen.
De meeste begonnen en eindigden met vergelijkbare tekentypen, en geen enkele bevatte herhalende tekens.
Deze afwezigheid van herhaling lijkt misschien geruststellend, maar geeft in feite aan dat de output aangeleerde conventies volgt in plaats van echte willekeur.
Met behulp van entropieberekeningen op basis van karakterstatistieken en modellogkansen schatten de onderzoekers dat deze door AI gegenereerde wachtwoorden ongeveer 20 tot 27 bits entropie bevatten.
Een echt willekeurig wachtwoord van 16 tekens meet doorgaans tussen 98 en 120 bits met dezelfde methoden.
De kloof is aanzienlijk en zou in de praktijk kunnen betekenen dat dergelijke wachtwoorden binnen enkele uren kwetsbaar zijn voor brute force-aanvallen, zelfs op verouderde hardware.
Online wachtwoordsterktemeters evalueren de complexiteit van het oppervlak, niet de statistische patronen die achter een string verborgen zijn, en waarom ze geen rekening houden met hoe Hulpmiddelen voor kunstmatige intelligentie tekst genereren, kunnen ze voorspelbare outputs als veilig classificeren.
Aanvallers die deze patronen begrijpen, kunnen hun gokstrategieën verfijnen, waardoor de zoekruimte dramatisch wordt verkleind.
Uit het onderzoek bleek ook dat vergelijkbare reeksen voorkomen in openbare codeopslagplaatsen en documentatie, wat erop wijst dat door AI gegenereerde wachtwoorden mogelijk al op grote schaal in omloop zijn.
Als ontwikkelaars tijdens het testen of implementeren op deze resultaten vertrouwen, neemt het risico in de loop van de tijd toe; Sterker nog, zelfs de AI-systemen die deze wachtwoorden genereren, vertrouwen ze niet volledig en kunnen waarschuwingen geven als ze worden ingedrukt.
Gemini 3 Pro retourneerde bijvoorbeeld wachtwoordhints samen met de waarschuwing dat door chat gegenereerde inloggegevens niet mogen worden gebruikt voor gevoelige accounts.
In plaats daarvan adviseerde het wachtwoordzinnen en adviseerde het gebruikers om op een speciaal bestand te vertrouwen wachtwoordbeheerder.
A wachtwoordgenerator die in dergelijke tools zijn ingebouwd, is gebaseerd op cryptografische willekeur in plaats van taalvoorspelling.
Simpel gezegd: LLM’s zijn getraind om plausibele en herhaalbare teksten te produceren, en niet om onvoorspelbare reeksen, dus de bredere zorg is structureel.
De ontwerpprincipes achter door LLM gegenereerde wachtwoorden zijn in strijd met de vereisten voor veilige authenticatie, dus het biedt bescherming met een gat.
“Mensen en codeeragenten moeten niet vertrouwen op LLM’s om wachtwoorden te genereren”, aldus Irregular.
“Wachtwoorden die via directe LLM-uitvoer worden gegenereerd, zijn fundamenteel zwak, en dit kan niet worden opgelost door middel van hints of temperatuuraanpassingen: LLM’s zijn geoptimaliseerd om voorspelbare en plausibele uitvoer te produceren, wat niet compatibel is met het genereren van sterke wachtwoorden.”
Gaan Het register
Volg TechRadar op Google Nieuws EN voeg ons toe als uw favoriete bron om nieuws, recensies en meningen van onze experts in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxing in videoformaat en ontvang regelmatig updates van ons WhatsApp ook.
