- Лозинке остају критичне, али је вештачка интелигенција умножила могућност њиховог погађања кроз нападе речником, грубу силу и генеративне моделе.
- ЛЛМ-ови не производе праву случајност: њихови обрасци узрокују да лозинке које генеришу имају ниску ентропију и да их је изненађујуће лако провалити.
- Заштита укључује менаџере лозинки, дугачке и јединствене лозинке, вишефакторску аутентификацију и континуирано праћење засновано на вештачкој интелигенцији.
- Будућност је усмерена ка моделима без лозинки, приступним кључевима и принципу нултог поверења, где су идентитет и контекст важнији од једне заједничке тајне.
Лозинке се суочавају са правим тестом усред револуције вештачке интелигенцијеОни остају најраспрострањенији систем аутентификације на планети, али сваки напредак у вештачкој интелигенцији, сајбер нападима и аутоматизацији врши већи притисак на модел који је настао у другој ери. У међувремену, милиони корисника настављају да штите своје имејл, банкарске или налоге на друштвеним мрежама лозинкама које модерни нападач може да пробије за неколико секунди.
У исто време Нису сви налози спремни за прелазак у свет без лозинки.. Тхе Лозинке, биометријска аутентификација Модели нултог поверења напредују, да, али коегзистирају са класичним обрасцима за пријаву и застарелим сервисима који се и даље ослањају на то „нешто што знате“. У овом контексту, разумевање зашто су лозинке важније него икад, како их вештачка интелигенција доводи у питање и које стварне алтернативе имамо више није техничко питање: то је питање основног дигиталног преживљавања.
Зашто лозинке остају кључне у доба вештачке интелигенције
Данас Лична информација и корпоративна средства су конвертована у готовинуЈедна процурела лозинка може се продати за неколико долара на подземним форумима, али ако тај кључ отвори врата корпоративне е-поште, интерног система датотека или банковног рачуна, економски утицај може ескалирати на стотине хиљада евра.
Услуге разноврсне као онлајн банкарство, имејл, медицински картони, друштвене мреже или алати за рад у облаку И даље користе лозинке као примарну контролу приступа. Ако неко уђе са „password123“ или неком другом лошом варијацијом, то је дигитални еквивалент остављања отворених улазних врата са знаком „уђите без куцања“.
Истраживања се слажу да Приближно половина апликација се ослања искључиво на лозинке.без додатних слојева безбедности. И, поврх свега, само мањина корисника користи различите лозинке за сваку услугу. Ово се директно сукобљава са стварношћу: већина људи управља са 70 до 100 онлајн налога, док ми, у најбољем случају, можемо да запамтимо између 5 и 7 различитих лозинки.
Ова разлика између онога што можемо да запамтимо и броја налога које користимо свакодневно доводи нас до Опасне навике: поновно коришћење лозинки, њихово записивање у нешифроване белешке или дељење путем небезбедних каналаИако вероватно то не радите, многи људи и даље чувају лозинке у апликацији за белешке или на папиру залепљеном за монитор, што знатно поједностављује рад сваког умерено организованог нападача.
Вештачка интелигенција додаје још један слој сложености: напади грубе силеПроцеси попуњавања речника или акредитива сада се могу аутоматизовати и оптимизовати на индустријској скали.Оно што је раније захтевало време, труд и одређену техничку стручност сада се може оркестрирати напредним алатима који тестирају милионе комбинација научених из стварних цурења.
Дужина, сложеност и ентропија: шта чини лозинку заиста јаком
Један од најраспрострањенијих митова је мишљење да Лозинка која „делује компликовано“ је аутоматски безбедна.Додавање великих слова, замена слова бројевима или уметање симбола даје одређени осећај снаге, али против модерних метода напада, одлучујући фактор је нешто друго: дужина.
Када нападач добије приступ процурелој бази података акредитива велике компаније, лозинке се обично не чувају у обичном тексту, већ у облику шифровани хешевиДа би покушали да поврате оригинални кључ, користе технике крековања: генеришу претпоставке лозинки, шифрују их на исти начин и упоређују резултате док не пронађу подударања.
У том сценарију, Што је лозинка дужа, то је експлозивнији раст броја могућих комбинација.Лозинка од 8 знакова може се дешифровати за неколико секунди или минута на GPU кластеру или у окружењу рачунарства у облаку, чак и ако се наизменично користе слова, бројеви и симболи. Насупрот томе, добро конструисана лозинка од 16 знакова може трајати годинама, вековима или једноставно бити неупотребљива са тренутним ресурсима.
Ако узмемо у обзир и будуће квантне рачунаре, дужина и даље прави разлику: Апсурдан ланац попут понављања истог слова 40 пута било би практично немогуће прекинути. чак и са теоријским квантним могућностима, док би кратка „креативна“ лозинка заснована на вашем фудбалском тиму или познатој песми могла бити погодена у тренутку.
Са формалније тачке гледишта, безбедност лозинке се мери у делови ентропијеОве вредности одражавају колико би покушаја, у просеку, било потребно да се погоди. Што је шири скуп карактера који се користе (велика слова, мала слова, бројеви, симболи) и што је комбинација дужа, то је већа ентропија и теже ју је провалити коришћењем напада грубом силом.
Кључ са око 20 бита ентропије генерише око милион могућих комбинација, нешто што Нападач са модерним графичким процесорима може да се покрије за неколико секунди.Насупрот томе, лозинка са око 100 бита ентропије би укључивала толико комбинација да би, у пракси, било потребно милијарде година да се дешифрује. Разлика између њих двоје није магична: то је стварна дужина и ефективна разноликост карактера, а не само привид сложености.
Велика грешка: препуштање безбедности лозинкама које генерише вештачка интелигенција
Са порастом четботова, примамљиво је замолити модел попут ChatGPT-а, Claude-а или Gemini-ја да „Генеришите безбедну лозинку од 16 знакова са бројевима, симболима и словима“На папиру звучи савршено: модел враћа сложене низове, тешке за читање и немогуће за памћење на први поглед, веома сличне онима које нуде менаџери лозинки.
Проблем је у томе што, испод хаубе, Језички модели нису дизајнирани да произведу истинску случајностОни раде тако што предвиђају следећи највероватнији део текста (токен) на основу података на којима су обучени. Ово је управо супротно од онога што нам је потребно за јаку лозинку, која захтева подједнако вероватне и непредвидиве изборе.
Недавна истраживања стручњака за безбедност вештачке интелигенције показала су да када је од ових модела затражено да генеришу десетине „јединствених“ лозинки, појавили су се веома јасни и понављајући обрасциУ тестовима са Клодом, многи тастери су почињали истим словом, а други знак је скоро увек био исти број; поред тога, веома мали подскуп абецеде је поново коришћен, изостављајући већину слова.
Нешто слично се десило са ChatGPT-ом: Скоро све лозинке су почињале истим словом, а скоро половина је користила „Q“ као други знак.Близанци су такође показивали понављајуће обрасце, са комбинацијама које су деловале насумично, али су, када су статистички анализиране, биле далеко од униформне расподеле.
Најупечатљивије је то што у многим од ових генерисаних лозинки Није било ни једног понављања ликова.Људском оку ово даје осећај хаотичног реда, али са вероватносне тачке гледишта, изузетно је мало вероватно да су одлуке заиста доношене насумично. Ово је јасан показатељ да модел прати „унутрашња правила“ која га чине много предвидљивијим него што изгледа.
Када је измерена ентропија ових лозинки које је креирао LLM, резултати су били поражавајући: у поређењу са приближно 6,13 бита ентропије по карактеру које би дао истински генератор случајних бројеваМодели су се закључили на око 2,08 бита по карактеру. Код лозинке од 16 карактера, то значи прелазак са око 98 бита (веома робусно) на само 27 бита, нешто што нападач може да пробије грубом силом без икаквог напора.
Да све буде још горе, истражитељи су пронашли карактеристични обрасци лозинки генерисаних вештачком интелигенцијом на интернет сервисима из стварног светаДругим речима, постоје апликације и сајтови који су већ заштићени кључевима који деле предвидљиве структуре, што их чини савршеном метом за специјализоване нападе речником који укључују „листе типичних лозинки за четботове“.
Зато су многе безбедносне компаније јасне по овом питању: Није добра идеја делегирати креирање лозинки општој вештачкој интелигенцији.Оптимизовани су да производе веродостојан текст, а не да гарантују случајну дистрибуцију отпорну на анализу. Ако сте већ генерисали лозинке помоћу четбота, вреди их променити и, барем, додати двофакторску аутентификацију (2FA) како бисте повећали ниво заштите.
Менаџери лозинки, истинска случајност и основне најбоље праксе
Ако је памћење десетина јединствених, дугих и сложених лозинки немогуће (што јесте), Практично решење подразумева централизацију управљања.Овде се менаџери лозинки, који креирају и чувају робусне кључеве у шифрованом „трезору“ заштићеном главном лозинком и, све више, додатним факторима аутентификације.
За разлику од мастер студија права (LLM), Менаџери лозинки користе криптографске генераторе случајних бројеваОни се ослањају на ентропију оперативног система и физичке изворе (покрети миша, времена између догађаја итд.) да би произвели заиста непредвидиве битове, који се затим претварају у низове карактера без уношења било каквих „лепих“ образаца људском оку.
Алати попут Битварден, који нуди прилично комплетну бесплатну верзију, или 1Пасворд, плаћена али веома моћна опција.Омогућавају вам да управљате не само лозинкама, већ и картицама, безбедним белешкама и другим тајнама. Корисник треба само да запамти веома јаку главну лозинку (и, пожељно, да заштити налог помоћу 2FA), док се менаџер брине о осталом.
Поред генерисања безбедних лозинки, ови менаџери често укључују функције за периодична ротација акредитива, упозорења о познатим цурењима и провере поновне употребеАко веб локација претрпи пробој или ако се ваши подаци појаве на листама тамног веба, менаџер вас може упозорити да промените лозинке пре него што их неко злоупотреби.
Још једна добра навика је обришите налоге које више не користитеЛако је заборавити стари Myspace профил, Hotmail налог из раних 2000-их или услугу за коју сте се пријавили „само да бисте је испробали“. Међутим, ако сте икада користили ту адресу е-поште као адресу за опоравак за други важан налог, она постаје рањива карика у вашем безбедносном ланцу.
Коначно, Омогућавање вишефакторске аутентификације на свим могућим налозима је практично обавезно.Без обзира да ли користите СМС, апликације попут Authy или Google Authenticator, или напредније методе, захтевање другог фактора (код, физички кључ, биометрија) драстично смањује утицај угрожене лозинке.
Како вештачка интелигенција оснажује и нападаче и браниоце
Вештачка интелигенција мења правила игре за обе стране. С једне стране, Сајбер криминалци се више не ослањају искључиво на класичну грубу силуОни тренирају моделе са милионима процурелих лозинки како би генерисали изузетно ефикасне речнике, способне да ухвате људске обрасце приликом креирања лозинки (имена, датума, тимова, текстова песама итд.).
Алати попут PassGAN-а, засновани на генеративним мрежама, Могу да произведу огромне количине погађања лозинки без потребе за експлицитним правилима које дефинишу људи.За разлику од традиционалних услужних програма попут Hashcat-а, који примењују унапред дефинисане трансформације на познате листе, ови модели настављају да уче и усавршавају свој резултат како генеришу више покушаја.
У тестовима спроведеним са скуповима података као што је познати RockYou цурење или лозинке за LinkedIn, PassGAN је успео да погоди између 51% и 73% више јединствених лозинки него алати засновани на правилима.Посебно обучен са узорцима из одређеног цурења информација, био је у стању да погоди скоро четвртину лозинки у другом независном скупу, што је посебно забрињавајуће када размишљамо о корисницима који понављају обрасце у различитим сервисима.
Поред тога, Технике напада као што су „пуњење“ акредитива или „прскање лозинком“ имају велике користи од напредне аутоматизације.Са вештачком интелигенцијом, нападачи могу да прилагоде редослед и приоритет лозинки које покушавају, оптимизујући ресурсе и фокусирајући се на комбинације са већом вероватноћом успеха на основу профила жртве.
Али вештачка интелигенција такође умножава штету у другој димензији: Фишинг и друштвени инжењерингГенеративни модели омогућавају креирање имејлова, лажних страница за пријаву, па чак и гласовних позива са дипфејковима који имитирају чланове породице, шефове или колеге са узнемирујућим нивоом реализма. У овим ситуацијама, без обзира на то колико је ваша лозинка јака, нема велике користи ако је на крају укуцате на лажној страници која је директно шаље нападачу.
Међутим, у одбрамбеној зони, Вештачка интелигенција је постала незаобилазни савезникМноги безбедносни системи користе моделе за анализу образаца пријављивања и откривање аномалног понашања: приступ из необичних земаља, сумњиво време, брзина куцања некомпатибилна са људском или необични уређаји.
Ако се открије, на пример, приступ са нетипичне локације у комбинацији са ритмом интеракције који делује аутоматизованоСистем може блокирати покушај, захтевати додатну верификацију или наметнути промену лозинке. Кључ је овде континуирано праћење: само закључавање врата није довољно; морате пратити ко покушава да уђе и како.
Више од лозинке: MFA, биометрија, Zero Trust и шифре
Са континуираним повећањем напада и ширењем дигиталних идентитета (људских и нељудских), Класични модел заснован искључиво на корисничком имену и лозинки није успеоТренд је да се терет безбедности пребаци са једне тајне на комбинацију сигнала, контекста и континуиране верификације.
Прво, Вишефакторска аутентификација (MFA) је постала основни стубНису сви фактори подједнако отпорни: једнократни СМС кодови, на пример, су подложни нападима пресретања, клонирању СИМ картице или софистицираном фишингу. Упркос томе, бољи су него ништа, а следећи корак је улагање у отпорније методе, као што су наменске апликације, безбедносни кључеви или push обавештења са заштитом од преваре.
Биометрија, као препознавање лица или скенирање отиска прста у модерним мобилним телефонима и лаптоповимаНуди веома практично искуство и подиже стандарде за нападаче, иако није потпуно безбедан. У комбинацији са криптографским кључевима сачуваним на уређају, омогућава системе без лозинки где корисник не мора да уноси лозинку, смањујући ризик од фишинга.
Овде се шифре и решења без лозинкиОви сервиси користе криптографију јавног кључа за аутентификацију корисника без потребе за традиционалним кључем. Сервиси попут Okta FastPass-а вам омогућавају да безбедно повежете уређај са идентитетом и потврдите приступ помоћу криптографских кључева, интегришући се са методама као што су Windows Hello, Apple Touch ID или Face ID.
Ова врста решења не само да побољшава корисничко искуство (више не морате да памтите десетине лозинки), већ и То драстично смањује вероватноћу да нападач може да украде акредитиве за вишекратну употребу.Не постоји „заједничка тајна“ која путује кроз мрежу и која се може снимити: верификација се врши путем криптографских изазова које само легитимни уређај може да реши.
Паралелно, многе организације усвајају овај приступ Нулто поверење, које претпоставља да ниједан приступ није подразумевано поуздан.чак и ако потиче из корпоративне мреже. Сваки захтев се процењује узимајући у обзир више фактора: ко је корисник, који уређај користи, његову локацију, време приступа, његово недавно понашање и тако даље.
У овом моделу, Управљање идентитетом и приступом (IAM/IGA) постаје центар безбедносне контролеПримењују се принципи најмањих привилегија, периодичних прегледа дозвола и корелације сигнала ризика у реалном времену. Када нешто одступа од очекиваног обрасца, систем може одмах опозвати привилегије или захтевати даљу верификацију.
Нови фронт: идентитети вештачке интелигенције и нељудски налози
Појава вештачке интелигенције са аутономним агентима додаје још један слој сложености. Ови агенти не само да консултују системе, већ и делују унутар њихОни аутентификују, позивају API-је, читају и пишу податке, па чак и доносе оперативне одлуке у име компаније.
Сваком агенту ове врсте је потребно јединствени идентитет или, барем, скуп акредитиваОво значајно проширује површину напада, јер говоримо о API кључевима, OAuth токенима, сервисним налозима и другим тајнама које су често лоше инвентарисане, имају прекомерне дозволе или касно истичу (ако уопште истичу).
Поред тога, Системи засновани на агентима уводе нове, специфичне рањивостиУбризгавање команди у инструкције које су им дате, тровање модела, манипулација подацима, нежељена ескалација привилегија итд. Не напада се само традиционални код, већ и логика доношења одлука вештачке интелигенције.
Такозвана „сенковита вештачка интелигенција“ погоршава ситуацију: запослени који интегришу неовлашћене алате вештачке интелигенције у своје радне токове Могу створити рањивости које традиционалне контроле (заштитни зидови, антивирус, застареле политике) нису дизајниране да реше. Погрешно конфигурисан агент би, на пример, могао да опозове легитимне акредитиве или да стави критичне ресурсе у карантин, а да нико то не примети на време.
Зато стручњаци препоручују третирајте вештачке интелигенције као дигиталне идентитете високе вредностиТо подразумева давање само строго неопходних дозвола, пажљиво праћење њихове активности, успостављање механизама за њихово заустављање или ограничавање њихових акција ако одступају од очекиваног понашања и осигуравање да резервне копије, опоравак и управљање такође узимају у обзир ове компоненте.
Значајан изазов је онај о чистој видљивости: Многе компаније чак ни не знају колико агената ради у било ком тренутку, на које системе се повезују или којим подацима приступају.Без инвентара или могућности праћења, ризик од губитка контроле нагло расте, а сваки инцидент може бити појачан самом аутономијом ових система.
Позитиван део је то Алати за управљање идентитетима, дозволама и приступом, како људским тако и нељудским, већ постоје и прилично су зрели.Прави изазов је културни и организациони: интегрисање управљања, отпорности и обуке од самог почетка, уместо третирања вештачке интелигенције као једноставног „додатка“ који само укључите и то је то.
Гледајући ширу слику, постаје јасно да Лозинке и даље играју важну улогу, али више не могу саме по себи да одрже дигиталну безбедност.У контексту где вештачка интелигенција убрзава и нападе и одбрану, где аутономни агенти доносе одлуке у критичним системима и где се идентитети умножавају, стратегија укључује коришћење дугих, јединствених лозинки којима се управља робусним алатима, сталну подршку за њих помоћу вишеструке офтабилне провере (MFA), постепено смањење њихове важности путем шифри и шема без лозинки, и јачање модела идентитета и приступа заснованог на принципу нултог поверења и континуираном праћењу; само на тај начин се може држати под контролом претеће окружење које постаје брже, аутоматизованије и паметније са сваким даном који пролази.
