Специалисты компании Irregular протестировали три популярных чат-бота, ChatGPT, Claude и Gemini, и пришли к выводу: пароли, которые генерируют языковые модели, выглядят сложными, но подбираются за несколько часов даже на устаревшем оборудовании. Причина, нейросети обучены предсказывать наиболее вероятное продолжение текста, а не создавать по-настоящему случайные последовательности.
Каждую модель попросили сгенерировать 16-символьные пароли с заглавными и строчными буквами, цифрами и спецсимволами. Полученные комбинации проверили через сервисы оценки стойкости, те показали высокую надёжность и время подбора в миллиарды лет. На практике всё иначе.
Когда Claude (Opus 4.6) попросили сгенерировать 50 паролей в отдельных сессиях, уникальных оказалось только 30. Из 20 дубликатов 18 были одной и той же строкой. Каждый пароль начинался с буквы, почти всегда с заглавной «G», вторым символом шла цифра «7». Символы «L», «9», «m», «$» и «#» встречались в каждом результате, а большая часть алфавита не использовалась вообще.
Читайте также: Как хакеры взламывают пароли и что с этим делать
У ChatGPT схожая картина: почти все пароли начинались с «v», половина продолжалась «Q». Gemini тяготел к «K» в начале, за которой шли «#», «P» или «9». Ни в одном из 150 паролей не нашлось повторяющихся символов подряд, казалось бы, признак случайности. Но при настоящей случайной генерации повторения неизбежны, а их отсутствие выдаёт шаблон.
27 бит вместо 98
Стойкость пароля измеряется в битах энтропии. Случайный 16-символьный пароль должен иметь около 98 бит. Irregular измерила энтропию двумя методами и получила 27 и 20 бит.
Разница колоссальная. Пароль с 20 битами энтропии требует около миллиона попыток, компьютер справится за секунды. Даже 27 бит, это примерно 134 миллиона вариантов, что при скорости подбора в тысячи комбинаций в секунду займёт часы. Проблема не решается подбором промпта или настройкой параметров, нейросеть по архитектуре оптимизирована на предсказуемость, а это противоположность тому, что нужно для надёжного пароля.
Проблема уже в реальных проектах
Характерные для нейросетей последовательности Irregular нашла в открытых репозиториях на GitHub, в тестовом коде, инструкциях, документации. Разработчики уже используют языковые модели для генерации паролей в рабочих проектах. Хакерам достаточно добавить типичные нейросетевые паттерны в словари, и целый класс паролей станет уязвимым.
Читайте также: Ваш робот-пылесос может за вами шпионить: как хакеры превращают умную технику в устройство слежки
Глава Anthropic Дарио Амодеи отмечал, что ИИ будет писать большую часть кода. Если так, пароли которые нейросеть генерирует внутри этого кода, станут слабым звеном.
Надёжный пароль создаётся криптографическим генератором случайных чисел, он берёт энтропию из аппаратных источников, а не из закономерностей текстовых данных. Так работают генераторы в менеджерах паролей (Bitwarden, 1Password, KeePassXC) и специализированные инструменты вроде нашего генератора паролей.
Помимо создания пароля, стоит проверить, не попал ли он в публичные утечки. Проверка утечки паролей сверяет хеш пароля с базами скомпрометированных данных.
Если вы уже генерировали пароли через нейросеть, смените их и включите двухфакторную аутентификацию.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
