- Kata sandi yang dihasilkan AI mengikuti pola yang dapat dipelajari oleh peretas
- Kompleksitas permukaan menyembunyikan prediktabilitas statistik di bawahnya
- Kesenjangan entropi dalam kata sandi AI mengungkap kelemahan struktural dalam login AI
Model bahasa besar (LLM) dapat menghasilkan kata sandi yang terlihat rumit, namun pengujian terbaru menunjukkan bahwa string tersebut jauh dari kata acak.
Sebuah studi oleh Irregular memeriksa keluaran kata sandi dari sistem AI seperti Claude, ChatGPT, dan Gemini, meminta masing-masing untuk menghasilkan kata sandi 16 karakter dengan simbol, angka, dan huruf campuran.
Pada pandangan pertama, hasilnya tampak kuat dan lulus uji kekuatan online yang umum, dengan beberapa pemeriksa memperkirakan bahwa memecahkannya akan memakan waktu berabad-abad, namun jika dilihat lebih dekat pada kata sandi ini, cerita berbeda.
Kata sandi LLM menunjukkan pengulangan dan pola statistik yang dapat ditebak
Ketika peneliti menganalisis 50 kata sandi yang dihasilkan dalam sesi terpisah, banyak yang merupakan duplikat, dan beberapa mengikuti pola struktural yang hampir sama.
Sebagian besar dimulai dan diakhiri dengan tipe karakter yang serupa, dan tidak ada yang berisi karakter berulang.
Tidak adanya pengulangan ini mungkin tampak meyakinkan, namun sebenarnya ini menandakan bahwa keluarannya mengikuti konvensi yang dipelajari dan bukannya keacakan yang sebenarnya.
Dengan menggunakan penghitungan entropi berdasarkan statistik karakter dan probabilitas log model, para peneliti memperkirakan bahwa kata sandi yang dihasilkan AI ini membawa sekitar 20 hingga 27 bit entropi.
Kata sandi 16 karakter yang benar-benar acak biasanya berukuran antara 98 dan 120 bit dengan metode yang sama.
Kesenjangan yang ada cukup besar – dan dalam praktiknya, hal ini dapat berarti bahwa kata sandi tersebut rentan terhadap serangan brute force dalam hitungan jam, bahkan pada perangkat keras yang sudah ketinggalan zaman.
Pengukur kekuatan kata sandi online mengevaluasi kompleksitas permukaan, bukan pola statistik tersembunyi di balik string – dan karena mereka tidak memperhitungkan caranya alat AI menghasilkan teks, mereka mungkin mengklasifikasikan keluaran yang dapat diprediksi sebagai keluaran yang aman.
Penyerang yang memahami pola tersebut dapat menyempurnakan strategi tebakannya, sehingga mempersempit ruang pencarian secara dramatis.
Studi ini juga menemukan bahwa urutan serupa muncul dalam repositori dan dokumentasi kode publik, yang menunjukkan bahwa kata sandi yang dihasilkan AI mungkin sudah beredar secara luas.
Jika pengembang mengandalkan keluaran ini selama pengujian atau penerapan, risikonya akan bertambah seiring berjalannya waktu – bahkan sistem AI yang menghasilkan kata sandi ini tidak sepenuhnya mempercayainya dan mungkin mengeluarkan peringatan saat ditekan.
Gemini 3 Pro, misalnya, mengembalikan saran kata sandi disertai peringatan bahwa kredensial yang dihasilkan obrolan tidak boleh digunakan untuk akun sensitif.
Sebaliknya, mereka merekomendasikan frasa sandi dan menyarankan pengguna untuk mengandalkan kata sandi khusus pengelola kata sandi.
A pembuat kata sandi dibangun ke dalam alat tersebut bergantung pada keacakan kriptografi daripada prediksi bahasa.
Secara sederhana, LLM dilatih untuk menghasilkan teks yang masuk akal dan dapat diulang, bukan urutan yang tidak dapat diprediksi, oleh karena itu, perhatian yang lebih luas bersifat struktural.
Prinsip desain di balik kata sandi yang dihasilkan LLM bertentangan dengan persyaratan otentikasi yang aman, sehingga menawarkan perlindungan dengan kekosongan.
“Orang-orang dan agen pengkodean tidak boleh bergantung pada LLM untuk menghasilkan kata sandi,” kata Irregular.
“Kata sandi yang dihasilkan melalui keluaran LLM langsung pada dasarnya lemah, dan ini tidak dapat diperbaiki dengan perintah atau penyesuaian suhu: LLM dioptimalkan untuk menghasilkan keluaran yang dapat diprediksi dan masuk akal, yang tidak kompatibel dengan pembuatan kata sandi yang aman.”
Melalui Daftar
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
