Новое исследование Irregular показало, что пароли, сгенерированные крупными языковыми моделями (LLM), выглядят надежными, но на самом деле уязвимыми. Несмотря на сложные комбинации символов, такие пароли оказались предсказуемыми. Проблема в том, что LLM не создают действительно случайные последовательности, а воспроизводят вероятные шаблоны на основе обучающих данных, что делает их непригодными для безопасной генерации паролей.
Во время тестирования исследователи попросили ChatGPT, Claude и Gemini создать 16-символьные пароли с буквами, цифрами и спецсимволами. Внешне они отвечали требованиям надежности и даже получали высокие оценки в сервисах вроде KeePass. Однако анализ показал четкие закономерности: повторяющиеся первые символы, ограниченный набор знаков и отсутствие истинной случайности.
Надежность пароля измеряется битами энтропии-чем больше вариантов комбинаций, тем сложнее его взломать. По оценкам Irregular, безопасный пароль может иметь около 6 бит энтропии на символ, в то время как LLM обеспечивают только около 2 бит. В итоге 16-символьный пароль от модели имеет около 27 бит энтропии вместо почти 100, что делает его уязвимым для перебора с помощью современных GPU.
Специалисты подчеркивают: проблему невозможно решить простыми настройками или» лучшими » подсказками, ведь LLM оптимизированы для предсказуемости, а не случайности. Пользователям рекомендуется не доверять генерацию паролей искусственному интеллекту и использовать специализированные менеджеры паролей или встроенные криптографические инструменты, которые создают действительно случайные комбинации.