Tehisaru pakutud paroolid pole turvalised

Kui palud ChatGPT-l, Claude’il, Gemini’l või mõnel muul tehisarul endale välja mõelda "tugeva parooli", viskavad need välja midagi sellist nagu P@ssw0rd!2024 või Xy7#zQ9!Lp. See näeb pealtnäha üsna turvaline välja – sees on suured ja väikesed tähed, numbrid, sümbolid. Isegi tavaline paroolikontroll annab rohelise tule. Kuid siin peitubki lõks.

Tehisintellekt nimelt ei loo midagi juhuslikku. Selle olemuseks on kõige tõenäolisema vastuse ennustamine. Nii saabki märgijada, mis treeningandmete põhjal "sobib" ja on tõenäoliselt nii-öelda turvaline parool.

Hiljutised küberturvafirma Irregular uuringud aga näitasid, et kui paluda tehisintellektilt 50 korda järjest parooli välja mõelda, võib see anda vaid paarkümmend unikaalset vastust, mis hakkavad korduma. Üks ja sama kombinatsioon võib korduda kümneid kordi.

Kurjategijad võivad seda teada ning lisavad "tehisintellekti lemmikud" oma murdmisnimekirjadesse, mida saab automaatsete rünnakute puhul kasutada.

Miks "tark" masin jääb juhuslikkusele alla?

Turvalise parooli vundament on kaos, juhuslikkus. See peab olema täiesti ettearvamatu. Tehisintellekt (LLM ehk suur keelemudel) töötab aga täpselt vastupidi: valib alati järgmise märgi selle põhjal, mis on statistiliselt kõige tõenäolisem ehk levinum.

Kui paroolihaldur küsib arvuti operatsioonisüsteemilt krüptograafilisi juhuslikke bitte – see on nagu täringuvise, mida ei saa ette ennustada, siis suur keelemudel "loob" teksti mustrite järgi.

Küberpättide jaoks tähendab see, et nad ei pea proovima triljoneid kombinatsioone. Nad proovivad vaid neid mustreid, mida AI-l on kalduvus luua. Nii muutub "sajandeid murdmatu" parooli mahavõtmine vaid minutite küsimuseks.

Ohtlikud abilised koodikirjutamisel

Probleem ei piirdu vaid sellega, kui sa ise juturobotilt parooli küsid, kirjutab Malwarebytes. Tänapäeval kasutavad paljud arendajad ja IT-spetsialistid tehisintellektiga koodikirjutajaid (nagu Claude Code või Cursor). Need abilised võivad pahaaimamatult seadistada sinu andmebaase või veebiteenuseid, luues sinna "ajutisi" paroole, mis on samuti AI-genereeritud.

Kui arendaja seda koodi käsitsi üle ei kontrolli, võib sinu veebilehe süsteemi sattuda nõrk lüli, mis tundub pealtnäha turvaline, kuid on tegelikult sisseprogrammitud auguga. See on "vibe-coding" maailma varjukülg – usaldatakse tunnetust, mitte tehnilist täpsust.

Kuidas oma äri päriselt kaitsta?

Siin on neli soovitust oma paroole kaitsta ka siis, kui kasutad oma arenduses või äris tehisaru.

1. Ära kunagi küsi parooli tehisintellektilt. Kasuta selleks alati spetsiaalseid paroolihaldureid (nt Bitwarden, 1Password, KeePass), mis kasutavad tõelist juhuslikkuse generaatorit.

2. Eelista pääsuvõtmeid (Passkeys). Kus vähegi võimalik, loobu paroolidest ja kasuta biomeetriat või turvavõtmeid. Need on immuunsed nii õngitsemise kui ka ennustatavuse suhtes.

3. Kasuta kaheastmelist tuvastamist (2FA). Isegi kui su parool on AI loodud ja lekkinud, on teine kaitsekiht (näiteks mobiiliäpp) see, mis päästab päeva.

4. Kontrolli üle vanad paroolid. Kui oled varem lasknud tehisarul mõne parooli genereerida või koodi kirjutada, siis nüüd on õige aeg see masina pakutud salasõna välja vahetada.

Tehisintellekt on küll imeline tööriist tekstide kirjutamiseks ja ideede ammutamiseks, kuid turvalisuse tagamisel on selle suurim tugevus – mustrite leidmine ühtlasi suurim nõrkus. Tõeline turvalisus vähemalt salasõna ja muude lukkude puhul peitub kaoses ja ebakorrapärasuses, mida suudavad pakkuda vaid spetsiaalsed tööriistad.