近期密碼強度評估揭露了一個令人擔憂的趨勢:由 DeepSeek 和 Llama 等 AI 模型所產生的密碼,近 90% 比個人創建的密碼更容易受到複雜的駭客技術攻擊。這暴露出依賴人工智慧來強化安全措施的一個重大漏洞。
AI 生成密碼的脆弱性
測試結果顯示,AI 生成的密碼與人類創建的密碼之間存在顯著差異。大約 60% 由個人設定的密碼可以在一小時內使用現代 GPU 或雲端破解工具破解,而 DeepSeek 和 Llama 生成的密碼的成功率分別高達 88% 和 87%。另一款 AI 模型 ChatGPT 的表現略好,漏洞率為 33%。
Kaspersky 發布的聲明警告人們不要盲目採用 AI 生成的密碼。這些模型產生的看似隨機和複雜的密碼,可能會產生一種虛假的安全感。
可預測模式的危險
AI 生成密碼的問題在於其底層方法。這些模型不是創建真正隨機的序列,而是模仿現有的數據模式。這種可預測性使它們容易受到了解這些模型運作方式的駭客攻擊。
Kaspersky 數據科學團隊負責人 Aleksandr Antalov 表示,AI 模型不會產生真正的隨機性。相反,它們從現有數據中學習並複製模式。這意味著了解模型訓練數據和演算法的駭客可以預測它可能產生的密碼類型。
為了說明這一點,安全專家使用包括 ChatGPT、Llama 和 DeepSeek 在內的幾個流行的大型語言模型 (LLM) 生成了 1,000 個密碼。然後對這些密碼進行了嚴格的強度測試。
DeepSeek 和 Llama 的具體弱點
測試揭示了 DeepSeek 和 Llama 生成的密碼的具體弱點。雖然強密碼的一般準則包括至少 12 個字符,並混合使用大小寫字母、數字和符號,但 DeepSeek 和 Llama 有時會生成包含字典單詞或用視覺上相似的數字替換字母的密碼。
這些做法會大大降低密碼的安全性。用符號或數字替換字母是一種眾所周知的策略,個人試圖創建「強」密碼時會使用這種策略,但現代破解工具很容易破解它。相比之下,ChatGPT 生成的密碼似乎更隨機且更難以預測。
字元組成的不一致性
進一步的分析顯示,AI 生成的密碼的字元組成存在不一致性。所有三個 AI 模型都表現出對某些字母、數字和符號的偏好。此外,它們有時會忽略在密碼中包含特殊符號或數字。ChatGPT 在其生成的密碼的 26% 中未能包含這些字元,而 Llama 和 DeepSeek 的遺漏率分別為 32% 和 29%。DeepSeek 和 Llama 偶爾也會生成短於建議的 12 個字元的密碼。
這些不一致性和偏差為攻擊者提供了有價值的信息,可以用於加速密碼破解過程。通過了解這些 AI 生成的密碼的模式和弱點,網路罪犯可以大大減少破解帳戶所需的時間和資源。
強大的密碼管理的重要性
鑑於 AI 生成密碼的漏洞,專家強烈建議個人採用更安全的密碼管理做法。用戶不應依賴 AI,而應考慮使用專業的密碼管理軟體來生成和存儲強大的、獨一無二的密碼。
密碼管理器比 AI 生成的密碼具有多個優勢。它們可以創建真正隨機的密碼,難以猜測或破解。它們還可以安全地存儲密碼,無需用戶記住多個複雜的密碼。此外,許多密碼管理器還提供自動密碼填寫和洩露監控等功能,進一步增強安全性和便利性。
強密碼安全的主要建議
為了防止網路威脅,遵循以下強密碼安全建議至關重要:
創建獨一無二的密碼: 避免在多個帳戶中重複使用相同的密碼。如果一個帳戶被盜用,所有使用相同密碼的帳戶都會變得脆弱。
使用強密碼: 密碼應至少包含 12 個字元,並混合使用大小寫字母、數字和符號。
避免字典單詞和個人資訊: 不要使用字典單詞、姓名、出生日期或密碼中其他容易猜測的資訊。
啟用多重身份驗證 (MFA): MFA 通過要求第二種形式的驗證(例如發送到您手機的代碼)來增加額外的安全層,除了您的密碼之外。
使用密碼管理器: 密碼管理器可以為您的所有帳戶生成和存儲強大、獨一無二的密碼。
定期更新密碼: 定期更改您的密碼,尤其是對於敏感帳戶。
警惕網路釣魚攻擊: 網路釣魚電子郵件和網站可能會誘騙您洩露您的密碼。謹慎對待要求您提供登錄憑據的可疑電子郵件和網站。
監控您的帳戶是否存在可疑活動: 定期檢查您的帳戶是否存在未經授權訪問的任何跡象。
了解 AI 在安全中的風險
雖然 AI 在網路安全方面提供了許多潛在的好處,但必須了解其局限性和潛在風險。AI 模型僅與訓練它們的數據一樣好,並且它們可能容易受到對抗性攻擊。
在密碼生成方面,AI 模型可能會無意中創建可預測的模式,使密碼更容易破解。因此,負責任地使用 AI 工具並用其他安全措施來補充它們至關重要。
密碼安全的未來
密碼安全的未來可能涉及 AI 和其他技術的結合。AI 可用於分析密碼強度並識別潛在的漏洞。它還可用於檢測和預防基於密碼的攻擊。
但是,重要的是要記住 AI 不是萬靈丹。它只是綜合安全策略中的一種工具。為了領先於網路威脅,個人和組織必須採用分層安全方法,包括強密碼、MFA、密碼管理器和其他安全措施。
教育和意識的作用
最終,提高密碼安全性的最有效方法是通過教育和意識。個人需要了解弱密碼的風險以及採用強密碼管理做法的重要性。
組織還需要教育其員工了解密碼安全,並為他們提供保護其帳戶所需的工具和資源。通過提高意識並推廣最佳做法,我們可以共同降低基於密碼的攻擊的風險,並創建更安全的線上環境。
傳統密碼的替代方案
除了改進密碼管理之外,探索傳統密碼的替代方案也越來越受歡迎。生物識別身份驗證(例如指紋和麵部識別)提供了一種方便且安全的替代方案。無密碼身份驗證方法(依靠密碼金鑰和設備而不是密碼)也正在成為一種有前途的解決方案。
這些替代身份驗證方法可以大大減少對傳統密碼的依賴,並使攻擊者更難入侵帳戶。
解決密碼安全中的人為因素
密碼安全的最大挑戰之一是人為因素。即使擁有最好的安全工具和技術,個人仍然可能會犯錯誤,從而危及其帳戶。
例如,人們可能會選擇弱密碼、在多個帳戶中重複使用密碼,或成為網路釣魚攻擊的受害者。為了應對人為因素,必須為用戶提供培訓和支持,以幫助他們做出更好的安全決策。
組織還應實施政策和程序,以強制執行強大的密碼管理實踐。這可能包括要求員工使用強密碼、啟用 MFA 以及提供定期的安全意識培訓。
協作與資訊共享
提高密碼安全性需要個人、組織和安全供應商之間的協作與資訊共享。通過共享威脅情報和最佳實踐,我們可以共同加強我們對抗基於密碼的攻擊的防禦能力。
安全供應商可以在這項工作中發揮關鍵作用,開發創新的安全解決方案並提供及時的更新和補丁以解決漏洞。組織可以通過與他人分享他們的經驗和最佳實踐來做出貢獻。
持續改進和調整
威脅形勢不斷演變,因此必須不斷改進和調整我們的密碼安全措施。這意味著隨時了解最新的威脅和漏洞,並根據需要實施新的安全措施。
這也意味著定期審查和更新我們的安全策略和程序,以確保它們仍然有效。通過擁抱持續改進的文化,我們可以領先攻擊者一步,並保護我們的帳戶免受入侵。
總結:積極主動的安全方法
總之,雖然 AI 在密碼生成方面提供了潛在的好處,但其固有的漏洞需要採取謹慎的態度。僅僅依靠 AI 生成的密碼可能會產生虛假的安全感並增加網路攻擊的風險。
積極主動的安全方法包括了解 AI 的局限性、採用強大的密碼管理實踐、探索替代身份驗證方法、解決人為因素、促進協作以及擁抱持續改進。通過採取這些措施,我們可以大大提高我們的密碼安全性並保護我們的數位生活免受損害。