Jos olet pyytänyt tekoälyä luomaan sinulle salasanan, siihen kannattaa suhtautua uudella tavalla. Tuoreen selvityksen mukaan tekoälyn luomat salasanat voivat näyttää vahvoilta, mutta todellisuudessa ne voivat olla paljon ennustettavampia kuin moni uskoo.
Tekoälyn luoma salasana voi olla yllättävän heikko
Tietoturvayhtiö Irregularin tutkimuksen mukaan suuret tekoälymallit, kuten ChatGPT, Claude ja Gemini, tuottavat salasanoja, jotka eivät ole aidosti satunnaisia. Sen sijaan ne voivat sisältää toistuvia rakenteita ja ennustettavia merkkijonoja.
Irregularin perustaja Dan Lahav varoittaa, ettei tekoälyä kannata käyttää salasanojen luomiseen. Hänen mukaansa jokaisen, joka on näin tehnyt, olisi syytä vaihtaa salasana mahdollisimman pian.
Ongelma liittyy siihen, että tekoäly ei muodosta salasanoja samalla tavalla kuin turvalliset salasanojen luontityökalut. Tekoäly johtaa vastauksensa koulutusdatasta, kun taas varsinaiset salasanageneraattorit käyttävät turvallista satunnaisgeneraattoria.
Sama salasana voi toistua useita kertoja
Tutkimuksessa havaittiin, että osa tekoälyjen tuottamista salasanoista toistui useaan kertaan. Esimerkiksi 50:stä Claude-tekoälyn luomasta salasanasta vain 23 oli yksilöllisiä. Yksi sama salasana esiintyi aineistossa peräti kymmenen kertaa.
ChatGPT ja Gemini pärjäsivät hieman paremmin, mutta nekään eivät välttyneet toistuvilta ja ennustettavilta merkkijonoilta.
Juuri tämä tekee ilmiöstä tietoturvan kannalta vakavan. Jos salasanoissa on säännönmukaisuutta, niitä voidaan yrittää arvata automaattisilla työkaluilla, joita myös kyberrikolliset käyttävät.
Vahvaltakin näyttävä salasana voi pettää
Tilannetta tekee hankalaksi se, että verkossa olevat salasananvahvuuden tarkistustyökalut voivat antaa tekoälyn luomille salasanoille erittäin hyvän arvosanan. Ongelma on kuitenkin siinä, etteivät nämä työkalut tunnista tekoälyjen tapaa muodostaa toistuvia rakenteita.
Näin syntyy harha turvallisuudesta. Salasana voi näyttää monimutkaiselta ja vahvalta, vaikka sen logiikka olisi todellisuudessa ennustettavissa.
Tutkimuksen mukaan tällaiset salasanat voidaan murtaa paljon nopeammin kuin moni kuvittelee.
Asiantuntijat suosittelevat toista tapaa
Turvallisemmaksi vaihtoehdoksi suositellaan pitkää ja helposti muistettavaa salauslausetta. Vielä tätäkin parempana pidetään avainkoodeja eli passkey-ratkaisuja, joissa kirjautuminen perustuu esimerkiksi kasvo- tai sormenjälkitunnistukseen.
Googlen edustaja kommentoi, ettei tekoälymalleja ole rakennettu uusien salasanojen luomiseen. Hänen mukaansa käyttäjiä kannustetaan siirtymään pois salasanoista ja ottamaan käyttöön turvallisemmat avainkoodit.
Lähde: Sky News