การที่เราให้ AI ตั้งรหัสผ่านให้ แม้จะดูเป็นสิ่งที่แข็งแกร่ง-ถอดรหัสยาก แต่บริษัทรักษาความปลอดภัย Irregular เผยว่าอาจเดาได้ง่ายเสียด้วยซ้ำ
โดย Irregular ได้วิเคราะห์ผลลัพธ์จากเครื่องมือต่าง ๆ เช่น Claude, ChatGPT และ Gemini และพบว่ารหัสผ่านที่สร้างโดย AI จำนวนมากดูซับซ้อน แต่ในความเป็นจริงแล้วสามารถคาดเดาและถอดรหัสได้ง่ายมาก
เมื่อถูกขอให้สร้างรหัสผ่านที่ปลอดภัย 6 ตัวอักษร ซึ่งรวมถึงอักขระพิเศษ ตัวเลข และตัวอักษร โมเดลได้สร้างรูปแบบที่ซ้ำกันและแม้กระทั่งผลลัพธ์ที่เหมือนกันในหลาย ๆ คำสั่ง
จากการสร้างรหัสผ่าน 50 ชุดด้วย Claude Opus 4.6 พบว่ามีผลลัพธ์ที่ไม่ซ้ำกันเพียง 30 ชุดเท่านั้น มีรหัสผ่านซ้ำกัน 20 ชุด โดย 18 ชุดรหัสผ่านเดียวกันเป๊ะ
อีกปัญหาหนึ่งคือความสามารถในการคาดเดาของรหัสผ่านที่สร้างขึ้น รหัสผ่านทุกรหัสที่ Claude สร้างขึ้นจะเริ่มต้นด้วยตัวอักษร โดยส่วนใหญ่จะเป็นตัวพิมพ์ใหญ่ "G" ตัวอักษรตัวที่สองเกือบจะเป็นตัวเลข "7" เสมอ ตัวอักษร "L," "9," "m," "2," "$" และ "#" ปรากฏในรหัสผ่านที่สร้างขึ้นทุกรหัส และตัวอักษรส่วนใหญ่ในภาษาอังกฤษไม่เคยปรากฏในรหัสผ่านใดเลย
ในขณะเดียวกัน ChatGPT มักจะเริ่มต้นรหัสผ่านที่สร้างขึ้นเกือบทุกรหัสด้วยตัวอักษร "v" และเกือบครึ่งหนึ่งใช้ "Q" เป็นตัวอักษรตัวที่สอง ส่วน Gemini ก็เช่นเดียวกัน โดยเริ่มต้นรหัสผ่านส่วนใหญ่ด้วยตัวพิมพ์เล็กหรือตัวพิมพ์ใหญ่ "k" และเกือบทุกครั้งจะใช้ตัวอักษร "#," "P," หรือ "9" เป็นตัวอักษรตัวที่สอง
นอกจากนี้ Irregular ยังระบุว่า รหัสผ่านทั้ง 50 รหัส ไม่มีตัวอักษรซ้ำกันเลย แม้ว่าสิ่งนี้อาจทำให้ดูเหมือนว่ารหัสผ่านเหล่านั้นสุ่มขึ้นมา แต่หลักความน่าจะเป็นกลับบ่งชี้ไปในทางตรงกันข้าม
นักวิจัย Irregular กล่าวว่า ปัญหาเกิดจากวิธีการทำงานของแบบจำลองภาษาขนาดใหญ่ (LLM) ระบบเหล่านี้ได้รับการฝึกฝนให้สร้างรูปแบบที่ดูน่าเชื่อถือโดยอาศัยความน่าจะเป็นทางสถิติ แทนที่จะเป็นความสุ่มอย่างแท้จริง ซึ่งหมายความว่ารหัสผ่านอาจดูแข็งแกร่ง แต่ "ไม่ปลอดภัยโดยพื้นฐาน" และเดาได้ง่าย
ผลการศึกษานี้ชี้ให้เห็นถึงหลักการรักษาความปลอดภัยที่สำคัญประการหนึ่ง นั่นคือ ความไม่สามารถคาดเดาได้มีความสำคัญมากกว่าความซับซ้อน รหัสผ่านควรสุ่มจริง ๆ แม้ว่ารหัสผ่านจะมีสัญลักษณ์และตัวพิมพ์ใหญ่และตัวพิมพ์เล็กผสมกันเหมือน ๆ กันก็ตาม
Irregular ให้ความรู้ทิ้งท้ายว่า ผู้คนไม่ควรพึ่งพา LLM ในการสร้างรหัสผ่าน เนื่องจากรหัสผ่านที่สร้างขึ้นโดยตรงจากเอาต์พุตของ LLM นั้นอ่อนแอโดยพื้นฐาน LLM ได้รับการปรับให้เหมาะสมเพื่อสร้างเอาต์พุตที่คาดเดาได้และน่าเชื่อถือ ซึ่งไม่สอดคล้องกับการสร้างรหัสผ่านที่ปลอดภัย
อัปเดตข้อมูลแวดวงวิทยาศาสตร์ เทคโนโลยี รู้ทันโลกไอที และโซเชียลฯ ในรูปแบบ Audio จาก AI เสียงผู้ประกาศของไทยพีบีเอส ได้ที่ Thai PBS
ที่มาข้อมูล : techspot
“รอบรู้ ดูกระแส ก้าวทันโลก” ไปกับ Thai PBS Sci & Tech
