Kajian kekuatan kata laluan baru-baru ini telah mendedahkan trend yang membimbangkan: hampir 90% kata laluan yang dijana oleh model AI seperti DeepSeek dan Llama lebih mudah terdedah kepada teknik penggodaman yang canggih berbanding dengan yang dicipta oleh individu. Ini mendedahkan kelemahan yang ketara dalam bergantung pada kecerdasan buatan untuk langkah-langkah keselamatan.
Kerentanan Kata Laluan Dijana AI
Ujian yang dijalankan menyoroti perbezaan yang ketara antara kata laluan yang dijana AI dan yang dicipta manusia. Walaupun kira-kira 60% kata laluan yang ditetapkan oleh individu boleh dipecahkan dalam masa sejam menggunakan GPU moden atau alat pemecah berasaskan awan, kadar kejayaan meningkat kepada 88% dan 87% untuk kata laluan yang dijana oleh DeepSeek dan Llama, masing-masing. ChatGPT, model AI lain, menunjukkan prestasi yang agak lebih baik, dengan kadar kerentanan 33%.
Penemuan ini, yang dikeluarkan dalam satu kenyataan oleh Kaspersky, berfungsi sebagai kisah amaran terhadap penggunaan kata laluan yang dijana AI secara tidak kritis. Daya tarikan kata laluan yang nampaknya rawak dan kompleks yang dihasilkan oleh model ini boleh mewujudkan rasa selamat palsu.
Bahaya Corak yang Boleh Diramal
Masalah dengan kata laluan yang dijana AI terletak pada metodologi asasnya. Daripada mencipta jujukan yang benar-benar rawak, model ini meniru corak data sedia ada. Kebolehramalan ini menjadikan mereka terdedah kepada penggodam yang memahami cara model ini beroperasi.
Menurut Aleksandr Antalov, ketua pasukan sains data Kaspersky, model AI tidak menjana kerawakan yang tulen. Sebaliknya, mereka belajar daripada dan meniru corak yang terdapat dalam data sedia ada. Ini bermakna penggodam yang memahami data dan algoritma latihan model boleh meramalkan jenis kata laluan yang mungkin dihasilkan.
Untuk menggambarkan perkara ini, pakar keselamatan menjana 1,000 kata laluan menggunakan beberapa model bahasa besar (LLM) yang popular, termasuk ChatGPT, Llama dan DeepSeek. Kata laluan ini kemudiannya tertakluk kepada ujian kekuatan yang ketat.
Kelemahan Khusus DeepSeek dan Llama
Ujian mendedahkan kelemahan khusus dalam kata laluan yang dijana oleh DeepSeek dan Llama. Walaupun garis panduan umum untuk kata laluan yang kuat termasuk sekurang-kurangnya 12 aksara dengan campuran huruf besar dan huruf kecil, nombor dan simbol, DeepSeek dan Llama kadangkala menjana kata laluan yang mengandungi perkataan kamus atau menggantikan huruf dengan nombor yang serupa secara visual.
Amalan ini dengan ketara mengurangkan keselamatan kata laluan. Teknik menggantikan huruf dengan simbol atau nombor ialah taktik terkenal yang digunakan oleh individu yang cuba mencipta kata laluan “kuat”, tetapi ia mudah dikalahkan oleh alat pemecah moden. Sebaliknya, kata laluan yang dijana ChatGPT kelihatan lebih rawak dan kurang boleh diramal.
Ketidakkonsistenan dalam Komposisi Aksara
Analisis lanjut mendedahkan ketidakkonsistenan dalam komposisi aksara kata laluan yang dijana AI. Ketiga-tiga model AI mempamerkan keutamaan untuk huruf, nombor dan simbol tertentu. Tambahan pula, mereka kadangkala mengabaikan untuk memasukkan simbol atau nombor khas dalam kata laluan. ChatGPT gagal memasukkan aksara ini dalam 26% kata laluan yang dijana, manakala Llama dan DeepSeek mempunyai kadar peninggalan masing-masing 32% dan 29%. DeepSeek dan Llama juga kadangkala menjana kata laluan yang lebih pendek daripada 12 aksara yang disyorkan.
Ketidakkonsistenan dan berat sebelah ini memberikan penyerang maklumat berharga yang boleh dieksploitasi untuk mempercepatkan proses memecahkan kata laluan. Dengan memahami corak dan kelemahan kata laluan yang dijana AI ini, penjenayah siber boleh mengurangkan masa dan sumber yang diperlukan untuk menjejaskan akaun dengan ketara.
Kepentingan Pengurusan Kata Laluan yang Teguh
Memandangkan kelemahan kata laluan yang dijana AI, pakar sangat mengesyorkan agar individu mengamalkan amalan pengurusan kata laluan yang lebih selamat. Daripada bergantung pada AI, pengguna harus mempertimbangkan untuk menggunakan perisian pengurusan kata laluan profesional untuk menjana dan menyimpan kata laluan yang kukuh dan unik.
Pengurus kata laluan menawarkan beberapa kelebihan berbanding kata laluan yang dijana AI. Mereka boleh mencipta kata laluan yang benar-benar rawak yang sukar diteka atau dipecahkan. Mereka juga menyimpan kata laluan dengan selamat, menghapuskan keperluan untuk pengguna mengingati berbilang kata laluan yang kompleks. Selain itu, banyak pengurus kata laluan menawarkan ciri seperti pengisian kata laluan automatik dan pemantauan pelanggaran, seterusnya meningkatkan keselamatan dan kemudahan.
Cadangan Utama untuk Keselamatan Kata Laluan yang Kukuh
Untuk melindungi daripada ancaman siber, adalah penting untuk mengikuti cadangan ini untuk keselamatan kata laluan yang kukuh:
Cipta Kata Laluan Unik: Elakkan menggunakan semula kata laluan yang sama merentas berbilang akaun. Jika satu akaun terjejas, semua akaun yang menggunakan kata laluan yang sama menjadi terdedah.
Gunakan Kata Laluan yang Kukuh: Kata laluan hendaklah sekurang-kurangnya 12 aksara panjang dan termasuk campuran huruf besar dan huruf kecil, nombor dan simbol.
Elakkan Perkataan Kamus dan Maklumat Peribadi: Jangan gunakan perkataan kamus, nama, tarikh lahir atau maklumat lain yang mudah diteka dalam kata laluan.
Dayakan Pengesahan Berbilang Faktor (MFA): MFA menambah lapisan keselamatan tambahan dengan memerlukan bentuk pengesahan kedua, seperti kod yang dihantar ke telefon anda, sebagai tambahan kepada kata laluan anda.
Gunakan Pengurus Kata Laluan: Pengurus kata laluan boleh menjana dan menyimpan kata laluan yang kukuh dan unik untuk semua akaun anda.
Kemas Kini Kata Laluan Secara Berkala: Tukar kata laluan anda secara berkala, terutamanya untuk akaun sensitif.
Berhati-hati dengan Serangan Pancingan Data: E-mel dan tapak web pancingan data boleh memperdayakan anda untuk mendedahkan kata laluan anda. Berhati-hati dengan e-mel dan tapak web yang mencurigakan yang meminta bukti kelayakan log masuk anda.
Pantau Akaun Anda untuk Aktiviti Mencurigakan: Semak akaun anda dengan kerap untuk sebarang tanda akses tanpa kebenaran.
Memahami Risiko AI dalam Keselamatan
Walaupun AI menawarkan banyak potensi manfaat dalam keselamatan siber, adalah penting untuk memahami batasan dan potensi risikonya. Model AI hanya sebaik data yang dilatih padanya, dan ia boleh terdedah kepada serangan permusuhan.
Dalam kes penjanaan kata laluan, model AI secara tidak sengaja boleh mencipta corak yang boleh diramal yang menjadikan kata laluan lebih mudah dipecahkan. Oleh itu, adalah penting untuk menggunakan alat AI secara bertanggungjawab dan menambahnya dengan langkah keselamatan lain.
Masa Depan Keselamatan Kata Laluan
Masa depan keselamatan kata laluan mungkin melibatkan gabungan AI dan teknologi lain. AI boleh digunakan untuk menganalisis kekuatan kata laluan dan mengenal pasti potensi kerentanan. Ia juga boleh digunakan untuk mengesan dan mencegah serangan berasaskan kata laluan.
Walau bagaimanapun, adalah penting untuk diingat bahawa AI bukanlah peluru perak. Ia hanyalah satu alat dalam strategi keselamatan yang komprehensif. Untuk terus mendahului ancaman siber, individu dan organisasi mesti menerima pendekatan berlapis-lapis terhadap keselamatan yang merangkumi kata laluan yang kukuh, MFA, pengurus kata laluan dan langkah keselamatan lain.
Peranan Pendidikan dan Kesedaran
Akhirnya, cara paling berkesan untuk meningkatkan keselamatan kata laluan adalah melalui pendidikan dan kesedaran. Individu perlu memahami risiko kata laluan yang lemah dan kepentingan mengamalkan amalan pengurusan kata laluan yang kukuh.
Organisasi juga perlu mendidik pekerja mereka tentang keselamatan kata laluan dan menyediakan mereka dengan alat dan sumber yang mereka perlukan untuk melindungi akaun mereka. Dengan meningkatkan kesedaran dan mempromosikan amalan terbaik, kita secara kolektif boleh mengurangkan risiko serangan berasaskan kata laluan dan mewujudkan persekitaran dalam talian yang lebih selamat.
Alternatif kepada Kata Laluan Tradisional
Selain daripada pengurusan kata laluan yang dipertingkatkan, meneroka alternatif kepada kata laluan tradisional juga semakin mendapat perhatian. Pengesahan biometrik, seperti cap jari dan pengecaman wajah, menawarkan alternatif yang mudah dan selamat. Kaedah pengesahan tanpa kata laluan, yang bergantung pada kunci dan peranti kriptografi dan bukannya kata laluan, juga muncul sebagai penyelesaian yang menjanjikan.
Kaedah pengesahan alternatif ini boleh mengurangkan pergantungan pada kata laluan tradisional dengan ketara dan menyukarkan penyerang untuk menjejaskan akaun.
Menangani Faktor Manusia dalam Keselamatan Kata Laluan
Salah satu cabaran terbesar dalam keselamatan kata laluan ialah faktor manusia. Walaupun dengan alat dan teknologi keselamatan terbaik, individu masih boleh melakukan kesilapan yang menjejaskan akaun mereka.
Sebagai contoh, orang ramai mungkin memilih kata laluan yang lemah, menggunakan semula kata laluan merentas berbilang akaun atau menjadi mangsa serangan pancingan data. Untuk menangani faktor manusia, adalah penting untuk menyediakan pengguna dengan latihan dan sokongan untuk membantu mereka membuat keputusan keselamatan yang lebih baik.
Organisasi juga harus melaksanakan dasar dan prosedur untuk menguatkuasakan amalan pengurusan kata laluan yang kukuh. Ini mungkin termasuk menghendaki pekerja menggunakan kata laluan yang kukuh, mendayakan MFA dan menyediakan latihan kesedaran keselamatan yang kerap.
Kerjasama dan Perkongsian Maklumat
Meningkatkan keselamatan kata laluan memerlukan kerjasama dan perkongsian maklumat antara individu, organisasi dan vendor keselamatan. Dengan berkongsi risikan ancaman dan amalan terbaik, kita secara kolektif boleh mengukuhkan pertahanan kita terhadap serangan berasaskan kata laluan.
Vendor keselamatan boleh memainkan peranan penting dalam usaha ini dengan membangunkan penyelesaian keselamatan yang inovatif dan menyediakan kemas kini dan tampung tepat pada masanya untuk menangani kerentanan. Organisasi boleh menyumbang dengan berkongsi pengalaman dan amalan terbaik mereka dengan orang lain.
Peningkatan dan Penyesuaian Berterusan
Lanskap ancaman sentiasa berkembang, jadi adalah penting untuk terus menambah baik dan menyesuaikan amalan keselamatan kata laluan kita. Ini bermakna sentiasa mendapat maklumat tentang ancaman dan kerentanan terkini serta melaksanakan langkah keselamatan baharu mengikut keperluan.
Ini juga bermakna menyemak dan mengemas kini dasar dan prosedur keselamatan kami dengan kerap untuk memastikan ia kekal berkesan. Dengan menerima budaya peningkatan berterusan, kita boleh kekal selangkah di hadapan penyerang dan melindungi akaun kita daripada terjejas.
Fikiran Akhir: Pendekatan Proaktif terhadap Keselamatan
Kesimpulannya, walaupun AI menawarkan potensi manfaat dalam penjanaan kata laluan, kerentanan inherennya memerlukan pendekatan yang berhati-hati. Bergantung semata-mata pada kata laluan yang dijana AI boleh mewujudkan rasa selamat palsu dan meningkatkan risiko serangan siber.
Pendekatan proaktif terhadap keselamatan melibatkan pemahaman tentang batasan AI, menerima pakai amalan pengurusan kata laluan yang teguh, meneroka kaedah pengesahan alternatif, menangani faktor manusia, memupuk kerjasama dan menerima peningkatan berterusan. Dengan mengambil langkah-langkah ini, kita boleh meningkatkan keselamatan kata laluan kita dengan ketara dan melindungi kehidupan digital kita daripada bahaya.