近期密码强度评估揭示了一个令人担忧的趋势:由 DeepSeek 和 Llama 等 AI 模型生成的密码,相比于人类创建的密码,更容易受到复杂的黑客技术的攻击,比例接近 90%。 这暴露了在安全措施上依赖人工智能的一个重大漏洞。
AI 生成密码的漏洞
进行的测试突显了 AI 生成密码与人类创建密码之间的鲜明对比。虽然大约 60% 由个人设置的密码可以在一小时内使用现代 GPU 或基于云的破解工具破解,但 DeepSeek 和 Llama 生成的密码的成功率分别飙升至 88% 和 87%。 另一个 AI 模型 ChatGPT 的表现稍好,漏洞率为 33%。
卡巴斯基在一份声明中发布了这些调查结果,这是一个警告故事,告诫人们不要盲目采用 AI 生成的密码。 这些模型产生的看似随机和复杂的密码的诱惑力会产生一种虚假的安全感。
可预测模式的危险
AI 生成密码的问题在于其底层方法。 这些模型不是创建真正随机的序列,而是模仿现有的数据模式。 这种可预测性使它们容易受到了解这些模型如何运作的黑客的攻击。
卡巴斯基数据科学团队负责人 Aleksandr Antalov 表示,AI 模型不会生成真正的随机性。 相反,它们会学习并复制现有数据中发现的模式。 这意味着了解模型训练数据和算法的黑客可以预测它可能生成的密码类型。
为了说明这一点,安全专家使用包括 ChatGPT、Llama 和 DeepSeek 在内的几个流行的大型语言模型 (LLM) 生成了 1,000 个密码。 然后对这些密码进行了严格的强度测试。
DeepSeek 和 Llama 的具体弱点
测试揭示了 DeepSeek 和 Llama 生成的密码中的具体弱点。 虽然强密码的一般准则包括至少 12 个字符,其中混合使用大小写字母、数字和符号,但 DeepSeek 和 Llama 有时会生成包含字典单词或用视觉上相似的数字替换字母的密码。
这些做法大大降低了密码的安全性。 用符号或数字替换字母的技术是个人试图创建"强"密码的众所周知的策略,但很容易被现代破解工具击败。 相比之下,ChatGPT 生成的密码看起来更随机且更不可预测。
字符组成的不一致性
进一步的分析揭示了 AI 生成密码的字符组成的不一致性。 所有三个 AI 模型都表现出对某些字母、数字和符号的偏好。 此外,它们有时会忽略在密码中包含特殊符号或数字。 ChatGPT 在其生成的 26% 的密码中未能包含这些字符,而 Llama 和 DeepSeek 的遗漏率分别为 32% 和 29%。 DeepSeek 和 Llama 偶尔也会生成短于推荐的 12 个字符的密码。
这些不一致和偏差为攻击者提供了有价值的信息,可以利用这些信息来加速密码破解过程。 通过了解这些 AI 生成密码的模式和弱点,网络犯罪分子可以大大减少破解账户所需的时间和资源。
强大密码管理的重要性
鉴于 AI 生成密码的漏洞,专家强烈建议个人采取更安全的密码管理措施。 用户不应依赖 AI,而应考虑使用专业的密码管理软件来生成和存储强大且唯一的密码。
密码管理器比 AI 生成密码具有几个优势。 它们可以创建真正随机的密码,难以猜测或破解。 它们还可以安全地存储密码,无需用户记住多个复杂的密码。 此外,许多密码管理器提供自动密码填充和漏洞监控等功能,进一步增强了安全性和便利性。
强大密码安全的关键建议
为了防止网络威胁,务必遵循以下强大密码安全的建议:
创建唯一密码: 避免在多个帐户中重复使用相同的密码。 如果一个帐户被盗用,所有使用相同密码的帐户都会变得脆弱。
使用强密码: 密码应至少 12 个字符长,并包括大小写字母、数字和符号的组合。
避免字典单词和个人信息: 请勿在密码中使用字典单词、姓名、出生日期或其他容易猜测的信息。
启用多重身份验证 (MFA): MFA 通过要求第二种验证形式(例如发送到您手机的代码)来增加额外的安全层,除了您的密码之外。
使用密码管理器: 密码管理器可以为您的所有帐户生成和存储强大且唯一的密码。
定期更新密码: 定期更改您的密码,尤其是对于敏感帐户。
小心网络钓鱼攻击: 网络钓鱼电子邮件和网站可能会诱骗您泄露密码。 小心可疑的电子邮件和网站要求您提供登录凭据。
监控您的帐户是否存在可疑活动: 定期检查您的帐户是否有任何未经授权访问的迹象。
了解 AI 在安全方面的风险
虽然 AI 在网络安全方面提供了许多潜在的好处,但了解其局限性和潜在风险至关重要。 AI 模型仅与其训练的数据一样好,并且它们容易受到对抗性攻击。
在密码生成的情况下,AI 模型可能会无意中创建可预测的模式,从而使密码更容易破解。 因此,负责任地使用 AI 工具并使用其他安全措施来补充它们至关重要。
密码安全的未来
密码安全的未来可能涉及 AI 和其他技术的结合。 AI 可用于分析密码强度并识别潜在漏洞。 它还可以用于检测和防止基于密码的攻击。
但是,务必记住 AI 不是万能药。 它只是综合安全策略中的一种工具。 为了领先于网络威胁,个人和组织必须采用分层安全方法,包括强密码、MFA、密码管理器和其他安全措施。
教育和意识的作用
最终,提高密码安全性的最有效方法是通过教育和意识。 个人需要了解弱密码的风险以及采用强密码管理实践的重要性。
组织还需要教育员工了解密码安全,并为他们提供保护其帐户所需的工具和资源。 通过提高意识和推广最佳实践,我们可以共同降低基于密码的攻击的风险,并创建一个更安全的在线环境。
传统密码的替代方案
除了改进密码管理之外,探索传统密码的替代方案也越来越受欢迎。 生物识别身份验证(例如指纹和面部识别)提供了一种方便且安全的替代方案。 无密码身份验证方法依赖于加密密钥和设备而不是密码,也正在成为一种有希望的解决方案。
这些替代身份验证方法可以大大减少对传统密码的依赖,并使攻击者更难盗用帐户。
解决密码安全中的人为因素
密码安全中的最大挑战之一是人为因素。 即使使用最好的安全工具和技术,个人仍然可能会犯错误,从而泄露他们的帐户。
例如,人们可能会选择弱密码,在多个帐户中重复使用密码,或成为网络钓鱼攻击的受害者。 为了解决人为因素,必须为用户提供培训和支持,以帮助他们做出更好的安全决策。
组织还应实施政策和程序来执行强密码管理实践。 这可能包括要求员工使用强密码、启用 MFA 以及提供定期的安全意识培训。
协作和信息共享
提高密码安全性需要个人、组织和安全供应商之间的协作和信息共享。 通过共享威胁情报和最佳实践,我们可以共同加强我们对基于密码的攻击的防御。
安全供应商可以通过开发创新的安全解决方案以及提供及时的更新和补丁来解决漏洞,从而在此工作中发挥关键作用。 组织可以通过与他人分享他们的经验和最佳实践来做出贡献。
持续改进和适应
威胁形势在不断发展,因此必须不断改进和适应我们的密码安全措施。 这意味着随时了解最新的威胁和漏洞,并在需要时实施新的安全措施。
这也意味着定期审查和更新我们的安全策略和程序,以确保它们仍然有效。 通过拥抱持续改进的文化,我们可以领先于攻击者一步,并保护我们的帐户免受侵害。
最后的想法:一种积极主动的安全方法
总之,虽然 AI 在密码生成方面具有潜在的好处,但其固有的漏洞需要谨慎对待。 仅仅依靠 AI 生成的密码会产生一种虚假的安全感,并增加网络攻击的风险。
一种积极主动的安全方法包括了解 AI 的局限性、采用强大的密码管理实践、探索替代身份验证方法、解决人为因素、促进协作以及拥抱持续改进。 通过采取这些步骤,我们可以大大提高我们的密码安全性,并保护我们的数字生活免受伤害。