- Door AI gegenereerde wachtwoorden volgen patronen die hackers kunnen bestuderen
- De complexiteit van het oppervlak verbergt de statistische voorspelbaarheid eronder
- Entropiegaten in AI-wachtwoorden brengen structurele zwakheden in AI-logins aan het licht
Grote taalmodellen (LLM’s) kunnen wachtwoorden produceren die er complex uitzien, maar recente tests suggereren dat deze reeksen verre van willekeurig zijn.
Een onderzoek van Irregular onderzocht de wachtwoorduitvoer van AI-systemen zoals Claude, ChatGPT en Gemini, die elk vroegen om wachtwoorden van 16 tekens te genereren met symbolen, cijfers en gemengde hoofdletters en kleine letters.
Op het eerste gezicht leken de resultaten sterk en doorstonden ze de gebruikelijke online sterktetests, waarbij sommige checkers schatten dat het eeuwen zou duren om ze te kraken, maar een nadere beschouwing van deze wachtwoorden vertelde een ander verhaal.
LLM-wachtwoorden vertonen herhalingen en voorspelbare statistische patronen
Toen onderzoekers vijftig wachtwoorden analyseerden die in afzonderlijke sessies waren gegenereerd, waren er veel duplicaten en volgden verschillende vrijwel identieke structurele patronen.
De meeste begonnen en eindigden met vergelijkbare tekentypen, en geen enkele bevatte herhaalde tekens.
Deze afwezigheid van herhaling lijkt misschien geruststellend, maar geeft in feite aan dat de output aangeleerde conventies volgt in plaats van echte willekeur.
Met behulp van entropieberekeningen op basis van karakterstatistieken en modellog-waarschijnlijkheden schatten onderzoekers dat deze door AI gegenereerde wachtwoorden ongeveer 20 tot 27 bits entropie bevatten.
Een echt willekeurig wachtwoord van 16 tekens meet doorgaans tussen 98 en 120 bits met dezelfde methoden.
De kloof is aanzienlijk – en in de praktijk kan dit betekenen dat dergelijke wachtwoorden binnen enkele uren kwetsbaar zijn voor brute-force-aanvallen, zelfs op verouderde hardware.
Online wachtwoordsterktemeters evalueren de complexiteit van het oppervlak, niet de verborgen statistische patronen achter een string, en omdat ze geen rekening houden met hoe AI-hulpmiddelen tekst genereren, kunnen ze voorspelbare uitvoer als veilig classificeren.
Aanvallers die deze patronen begrijpen, kunnen hun gokstrategieën verfijnen en de zoekruimte dramatisch verkleinen.
Uit het onderzoek bleek ook dat vergelijkbare reeksen voorkomen in openbare codeopslagplaatsen en documentatie, wat erop wijst dat door AI gegenereerde wachtwoorden mogelijk al op grote schaal in omloop zijn.
Als ontwikkelaars tijdens het testen of implementeren op deze resultaten vertrouwen, wordt het risico in de loop van de tijd groter. Sterker nog, zelfs de AI-systemen die deze wachtwoorden genereren, vertrouwen ze niet volledig en kunnen waarschuwingen geven wanneer er op wordt getikt.
Gemini 3 Pro retourneerde bijvoorbeeld wachtwoordsuggesties samen met een waarschuwing dat door chat gegenereerde inloggegevens niet mogen worden gebruikt voor gevoelige accounts.
In plaats daarvan raadde het wachtwoordzinnen aan en adviseerde het gebruikers om een speciaal wachtwoord te vertrouwen wachtwoordbeheerder.
EEN wachtwoordgenerator die in dergelijke tools zijn ingebouwd, is gebaseerd op cryptografische willekeur in plaats van taalvoorspelling.
Simpel gezegd: LLM’s zijn getraind om plausibele en herhaalbare tekst te produceren, en niet om onvoorspelbare reeksen, dus de bredere zorg is structureel.
De ontwerpprincipes achter door LLM gegenereerde wachtwoorden zijn in strijd met de vereisten voor veilige authenticatie en bieden dus bescherming met een maas in de wet.
“Mensen en codeeragenten moeten niet afhankelijk zijn van LLM’s om wachtwoorden te genereren”, aldus Irregular.
“Wachtwoorden die via directe LLM-uitvoer worden gegenereerd, zijn fundamenteel zwak, en dit kan niet worden opgelost door snelle of temperatuuraanpassingen: LLM’s zijn geoptimaliseerd om voorspelbare, plausibele uitvoer te produceren, die niet compatibel is met het veilig genereren van wachtwoorden.”
Via Het register
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, video-unboxings en ontvang regelmatig updates van ons WhatsAppen Ook.
