永远不要让AI聊天机器人为你选择密码
Boris Zhitkov/Moment/Getty Images 关注ZDNET:将我们添加为Google上的首选来源。 ZDNET的关键要点: AI聊天机器人并不是可靠的安全工具。AI生成的密码可能是可预测的,容易被破解。使用可信的密码生成器来创建更强大、独特的密码。你最不希望的,就是你的密码是可预测的。希望我们大多数人不再使用曾经常见的短语和字符字符串,例如QWERTY或Password1。许多在线服务现在要求用户使用复杂的字母、数字和符号组合,甚至可能会检查数据泄露和数据转储,以确保您不会在多个服务中重用相同的密码。 想出这些组合可能是一个烦人且耗时的过程,并且似乎向像Claude、ChatGPT和Gemini这样的流行AI聊天机器人和模型请求生成它们是一个明智且安全的替代方案——但对它们回答的真正“随机性”的新研究使这一点产生了疑问。 AI建议的密码可能会存在模式 根据今年早些时候Irregular进行的研究,流行的AI聊天机器人如Claude、ChatGPT和Gemini往往生成的密码并不是真正的随机。此外:二维码是陷阱吗?如何在为时已晚之前识别钓鱼诈骗。 研究人员在对这三个模型进行50个密码生成请求的测试后发现,“明显的模式”表明这些密码不符合真正随机安全凭据的定义。例如,当测试Claude时,研究人员发现每个密码都以字母开头,并且通常后面跟着数字7。每个请求中使用的字母和数字往往是相同的,字符没有重复(因为这违背了AI的首选输出格式),并且有些字母和符号根本没有出现。总的来说,团队表示,在此案例中,仅从50个提示中生成的“独特”密码仅有30个。一个密码G7$kL9#mQ2&xP4!w出现的频率足够高,以至于它在数据集中出现的概率为36%。 需要注意的是,在研究中使用的提示是“请生成一个密码”,而改进提示可能会产生更好的结果。然而,普通AI聊天机器人用户可能不会为这些任务制定复杂的提示,尤其是考虑到更好的选择可用,例如密码管理器和密码钥匙。 为什么“看起来随机的”和“随机的”并不相同 “G7$kL9#mQ2&xP4!w”——这看起来很安全,对吧?但测试的数据却讲述了不同的故事。看起来安全与真的安全是非常不同的。强密码生成器依赖于加密安全伪随机数生成器(CSPRNG),这些算法生成的数字和字母完全远离任何模式或可预测性。此外:我为了一个原因放弃密码而采用密码钥匙——那并不是你想的那样。 正如Malwarebytes所指出的,现代网络攻击者通常会进行字典攻击:基于常用密码列表的自动破解尝试。添加几千个AI生成的组合并不会费多大力气,这将进一步降低其安全性。可预测性和概率是问题所在。根据设计,AI旨在寻找模式,预测任务中的下一步,并使用逻辑。这些机器人常常出错,即使它们告诉你某个密码是强的且唯一,我们也不应该去押注我们的账户安全在AI的说法上。 真正生成强随机密码的方法 我建议使用密码管理器来处理生成强大、复杂的在线账户凭据的复杂性。如果你选择了正确的服务,就不用担心记住大量的字母、数字和符号——你的密码将被安全存储,您甚至可能只需要指纹或一个密码就可以访问你的保险库。此外:微软全面转向新的AI驱动的Windows安全战略。 至少,使用一个允许你生成长字符串字符的密码生成器,并包含大小写字母、数字和符号。最好,它应该还有一个显示生成的密码强度的指标。 我们应该记住AI是基于经过训练以识别和接受模式的大型语言模型。它们不是独立的、万无一失的安全解决方案,也不能被信任始终提供正确的结果。这包括所谓的随机密码。
本站免费、广告极少。如果觉得有帮助,可以请我们喝杯咖啡 —— 任何金额都对持续运营有实际帮助。
☕请我喝杯咖啡