Az ismétlődő minták és a kiszámíthatóság veszélye
Amikor 50 különböző MI-generált jelszót alaposabban megvizsgáltak, kiderült, hogy több közülük teljesen megegyezett, vagy nagyon hasonló szerkezetet követett. A legtöbb ugyanazzal a karaktertípussal indult és fejeződött be, ismétlődő karakterek pedig egyáltalán nem fordultak elő – ami elsőre pozitívnak tűnhet, valójában épp az ellenkezője igaz: ezek a minták a tanulási folyamatból eredő szabályszerűségeket tükrözik, nem a valódi véletlenszerűséget.
Gyakorlati következmények: hamar feltörhetők
Egy valóban véletlenszerű, 16 karakteres jelszó általában 98–120 bit entrópiával rendelkezik, az MI által generáltaké viszont csak 20–27 bit körül mozog. Ennek következtében ezeket a jelszavakat akár egy régebbi számítógéppel is néhány óra alatt fel lehet törni. Az online jelszóellenőrzők csak a felszíni összetettséget vizsgálják, ugyanakkor nem veszik észre a statisztikai mintázatokat, így gyakran biztonságosnak ítélik a valójában gyenge jelszavakat.
Megbízható védelem helyett hamis biztonságérzet
Az MI-vel generált jelszavak gyakran bukkannak fel nyilvános kódtárakban, dokumentációkban is, így könnyen előfordulhat, hogy a támadók is ismerik őket. Még a jelszavakat létrehozó MI-rendszerek sem állítják, hogy ezek elég biztonságosak: a Gemini 3 Pro például egyenesen azt tanácsolja, hogy ne használjunk chatben generált jelszavakat fontos fiókokhoz, inkább hagyatkozzunk passphrase-re vagy dedikált jelszógenerátorra, amely valóban kriptográfiai véletlenszerűséget használ.
A lényeg: az MI-re nem szabad rábízni a jelszavainkat, mert a szövegalkotó algoritmusok sosem tudnak valóban erős, kiszámíthatatlan kulcsot létrehozni.
