生成式人工智能 (Generic AI) 非常有用,但你应该依赖这些工具来生成密码吗?配合世界密码日(World Password Day),卡巴斯基(Kaspersky)分析了使用ChatGPT、DeepSeek 和 Llama 等各种AI工具生成的1000个密码,以检验它们是否有助于保障你的登录信息安全。
一般来说,你应该避免在多个帐号中重复使用相同的密码,因为攻击者可以重复使用相同的密码来访问其他平台。虽然使用AI生成随机密码很诱人,但事实证明,所谓的随机密码并不像你想象的那么随机。
AI生成的密码并非真正的随机性
卡巴斯基数据科学团队负责人阿列克谢·安东诺夫(Alexey Antonov)使用顶级大型语言模型 (LLM),例如OpenAI的ChatGPT、Meta的Llama和中国的DeepSeek,生成了1000个密码。表面上看,这些LLM似乎知道一个好的密码至少需要12个字符,并且包含大小写字母、数字和符号。
DeepSeek 和 Llama 倾向于使用字典单词生成密码,并用一些字母替换字符,例如 S@d0w12、M@n@go3、B@n@n@7 (DeepSeek)、K5yB0a8dS8 和 S1mP1eL1on (Lllama)。这些密码被认为是不安全的,因为替换字母的技巧众所周知,而且很容易被暴力破解。
表面上看,ChatGPT 似乎更胜一筹,因为它能够生成更随机的密码,例如 qLUx@^9Wp#YZ、YLU@x#Wp9q^Z、P@zq^XWLY#v9 和 X@9pYWq^#Lzv。然而,如果仔细观察,就会发现一个明显的规律:某些字符会被重复使用,例如 X、p 和 9。
将ChatGPT生成的1000个密码中使用的所有符号绘制成直方图,可以清楚地看出,前13个字符(x、p、I、L、q、y、@、v、w、X、Y、9、#)的出现频率明显高于700次。这意味着大多数生成的密码,并不像人们希望的那样随机。
Llama的“随机性”似乎略胜一筹,只有前两个字符出现次数超过500次,而DeepSeek的字符频率直方图看起来最为均衡,似乎是三者中最好的。
怎样才算好的密码?
根据卡巴斯基的说法,理想的随机密码生成器不应该有任何字符偏好。所有符号和字符出现的次数都应该大致相同。
此外,好的密码还应该包含特殊字符或数字,而 ChatGPT(26%)、Llama(32%)和 DeepSeek(29%)通常会忽略这些字符。
另一个值得关注的问题是,DeekSeek 和 Llama 有时会生成长度不足12个字符的密码。
根据上述已知的密码生成模式,网络犯罪分子可以从最常用的组合入手,以提高成功率,从而加快密码暴力破解的速度。
去年,安东诺夫开发了一套机器学习算法来测试密码强度,结果发现,近60%的密码可以在一小时内被现代GPU或云端破解工具破解。当他将同样的算法用于AI生成的密码时,发现这些密码的安全性要低得多。
88%的DeepSeek和87%的Llama生成的密码强度,不足以抵御复杂的网络攻击。与此同时,ChatGPT的表现略胜一筹,33%的生成密码强度被认为不足以通过卡巴斯基的测试。
安东诺夫补充说,LLM的问题在于它们无法创造真正的随机性。相反,它们会模仿现有数据的模式,这使得了解这些模型工作原理的攻击者可以预测这些密码的输出。
卡巴斯基建议用户不要使用AI,而是采用专门的密码管理软件,例如卡巴斯基密码管理器(Password Manager)来生成和管理所有密码。密码管理器使用加密安全生成器创建无可检测模式的密码,以确保真正的随机性。此外,所有凭证都存储在受单一主密码保护的安全保管库中。因此,你只需记住一个密码即可,无需记住数百个用于不同平台的密码。
为了更加方便,密码管理器还提供跨平台自动填充和同步功能。这不仅有助于简化你所有设备上的登录流程,同时又不影响安全性,而且如果你注册的某个平台发生数据泄露,它还会提醒你可能的数据泄露。
【图片来源】
