Aynı parolanın birden fazla kez kullanılmasının yarattığı güvenlik açığına karşı insanların benzersiz, rastgele parolalar oluşturması teşvik edilen bir durum. Ancak parola oluşturma ve yönetme zorlu bir görev olabiliyor.
Şifre oluşturma ve yönetme yükünün üstesinden gelmek için, insanlar şifrelerini oluşturmak için ChatGPT, Llama veya DeepSeek gibi büyük dil modellerini (LLM’ler) kullanma eğilimine giriyorlar.
Bu durum kullanıcılara da cazip geliyor. Kullanıcılar güçlü bir parola bulmak için uğraşmak yerine, yapay zekaya “Güvenli bir parola oluştur” diye sorabilirler ve anında sonuç alabilirler. Yapay zeka rastgele görünen dizeler üretir. Bu da insanların öngörülebilir, sözlük tabanlı parolalar oluşturma eğilimini önlemeye yardımcı olur. Ancak bu görünüş de aldatıcı olabiliyor, yani yapay zeka tarafından üretilen parolalar göründükleri kadar güvenli olmayabiliyor.
Kaspersky Veri Bilimi Ekip Lideri Alexey Antonov, ChatGPT (OpenAI), Llama (Meta), DeepSeek gibi tanınmış ve güvenilir LLM’lerden bazılarını kullanarak 1.000 parola oluşturarak bunu test etti. “Tüm modeller iyi bir parolanın büyük ve küçük harfler, rakamlar ve semboller dahil olmak üzere en az 12 karakterden oluştuğunun farkında. Parolaları oluştururken de buna göre hareket ediyorlar” diyor Antonov. “Ancak pratikte algoritmalar genellikle parolaya özel bir karakter veya rakam eklemeyi ihmal ediyor. ChatGPT için parolaların %26’sı, Llama için %32’si ve DeepSeek için %29’u böyleydi. Ayrıca DeepSeek ve Llama bazen 12 karakterden daha kısa şifreler üretti”.
2024 yılında Alexey Antonov, parola gücünü test etmek için bir makine öğrenimi algoritması geliştirdi ve modern GPU’lar veya bulut tabanlı parola çözme araçları kullanılarak parolaların neredeyse %60’ının bir saatten kısa bir sürede kırılabileceğini buldu. Bu araç yapay zeka tarafından oluşturulan şifrelere uygulandığında sonuçlar endişe vericiydi. Zira bu parolalar göründüklerinden çok daha az güvenliydiler. DeepSeek tarafından üretilen parolaların %88’i, Llama tarafından üretilen parolaların %87’si sofistike siber suçluların saldırılarına dayanacak kadar güçlü değildi.
“Sorun şu ki LLM’ler gerçek rastgelelik yaratmıyor. Bunun yerine, mevcut verilerdeki kalıpları taklit ederek, çıktılarını bu modellerin nasıl çalıştığını anlayan saldırganlar için tahmin edilebilir hale getiriyorlar” diyor Antonov.
Daha güvenli parola yönetimi benimseyin
Kullanıcılar bu noktada yapay zekaya güvenmek yerine Password Manager gibi özel bir parola yönetim yazılımı kullanmalıdır. Bu araçlar birkaç önemli avantaj sunar.
İlk olarak, bu tür yazılımlar gerçek anlamda rastgelelik sağlayarak algılanabilir örüntüleri olmayan parolalar oluşturmak için kriptografik olarak güvenli jeneratörler kullanır. İkinci olarak, tüm kimlik bilgileri tek bir ana parola ile korunan güvenli bir kasada saklanır. Bu sayede yüzlerce parolayı hatırlama ihtiyacı ortadan kalkar ve parolalar ihlallere karşı güvende tutulur.
Ayrıca, parola yöneticileri otomatik doldurma ve cihazlar arasında senkronizasyon sağlayarak güvenlikten ödün vermeden girişleri kolaylaştırır. Birçoğu, kimlik bilgilerinin bir veri sızıntısında görünmesi durumunda kullanıcıları uyaran ihlal izleme özelliğine de sahiptir.
Yapay zeka birçok görevde yardımcı olabilirken, parola oluşturma bunlardan biri olmamalı. LLM tarafından oluşturulan parolaların kalıpları ve öngörülebilirliği, onları kırılmaya karşı savunmasız hale getiriyor. Kestirme yollara başvurmak yerine, siber tehditlere karşı ilk savunma hattınız olan saygın bir parola yöneticisine yatırım yapın. Veri ihlallerinin yaygınlaştığı bir çağda, her hesap için güçlü ve benzersiz bir parolanın gerekliliği tartışılmaz.
