Yapay zekaya şifre emanet etmeyin: "Güçlü" görünen tuzaklara dikkat!
Yapay zeka modellerinin "akıllı bir kısa yol" olarak şifre üretiminde kullanılması, siber güvenlik dünyasında yeni bir alarm zili çalıyor. Son araştırmalar, ChatGPT, Claude ve Gemini gibi modellerin aslında rastgele şifreler üretmediğini, aksine eğitim verilerindeki kalıpları tekrar ederek son derece tahmin edilebilir sonuçlar verdiğini ortaya koydu. Siber güvenlik uzmanları, yapay zekanın "güçlü" görünen ama aslında bir bilgisayar tarafından saniyeler içinde kırılabilecek şifreler sunduğu konusunda uyarıyor: "Eğer şifrenizi bir bota hazırlattıysanız, onu hemen değiştirin."
İnsanlar, şifre oluşturmak da dahil olmak üzere günlük işler için giderek daha fazla yapay zekaya yöneliyor; ancak akıllıca bir kısa yol gibi görünen bu durum aslında güvenliğinizi riske atabilir.
Çoğumuz bu hayal kırıklığını biliriz: Yeni bir hizmete kaydolurken veya eski bir girişi güncellerken, zihniniz boşalmış bir halde boş şifre alanına bakıp kalırsınız. Gereksinimler kısa sürede birikir: büyük ve küçük harf karışımı, minimum karakter sayısı, rakamlar, özel semboller... ve tabii ki tamamen benzersiz olması gerekir.
Bankacılık, alışveriş, yayın platformları ve sosyal medyayı kapsayan düzinelerce hesapla birlikte, siber güvenlik uzmanlarının kimlik bilgilerini yeniden kullanmanın tehlikeleri hakkındaki sürekli uyarıları da eklenince, her seferinde yeni ve karmaşık bir şifre bulmak neredeyse imkansız görünebilir. Bu nedenle, bazı kullanıcıların bu işi yapay zekaya devretmesi şaşırtıcı değil.
Ancak yeni araştırmalar, insanların kendileri için "güçlü" şifreler üretmek amacıyla yapay zeka sohbet robotlarına başvurduğunu gösteriyor. Yapay zeka sistemleri, halka açık ve açık erişimli verilerden oluşan devasa veri setleri üzerinde eğitilir ve bununla şifreniz için karmaşık bir karakter dizisi gibi görünen sonuçlar üretir. Güvenlik uzmanları, bu yaklaşımın hatalı olabileceği ve kişisel bilgilerinizi riske atabileceği konusunda uyarıyor.
Siber güvenlik firması Irregular tarafından yapılan ve Sky News tarafından doğrulanan araştırma, her üç ana modelin de "son derece tahmin edilebilir şifreler" ürettiğini ortaya koydu.
ŞİFRE OLUŞTURMAK İÇİN NEDEN YAPAY ZEKA KULLANMAMALISINIZ?
Dan Lahav, "Bunu kesinlikle yapmamalısınız," dedi. "Eğer bunu yaptıysanız, şifrenizi derhal değiştirmelisiniz. Bunun bir sorun olduğunun yeterince bilindiğini düşünmüyoruz."
Uyarının arkasındaki nedenlerden biri, tahmin edilebilir kalıpların iyi bir siber güvenliği tehdit etmesidir; çünkü bu, siber suçluların şifreleri tahmin etmeye yardımcı olması için otomatik araçlar kullanabileceği anlamına gelir.
Büyük dil modelleri (LLM'ler), şifreleri rastgele oluşturmak yerine eğitim verilerindeki kalıplara dayanarak sonuçlar ürettiği için güçlü şifre seçenekleri oluşturmazlar. Bunun yerine, sadece güçlü görünen ancak son derece tahmin edilebilir olan şifreler ortaya çıkar. Yapay zeka karmaşık görünen şifreler üretebilse de, bunlar şifre yöneticisi olarak kullanılmamalıdır.
YAPAY ZEKA TARAFINDAN OLUŞTURULAN ŞİFRELERİN RİSKLERİ
Şaşırtıcı bir şekilde, yapay zeka tarafından oluşturulan birçok şifre çıplak gözle bile tahmin edilebilir durumdayken, diğerlerinin ne kadar güvensiz olduğunu ortaya çıkarmak için sadece matematiksel bir analiz yeterli olmaktadır.
Irregular, 50 şifrelik bir örnek oluşturmak için yapay zekayı kullandığında, yalnızca 23 benzersiz şifre üretildi. K9#mPx$vL2nQ8wR şifresi tam 10 kez kullanıldı. Diğerleri ise şunları içeriyordu: K9#mP2$vL5nQ8@xR, K9$mP2vL#nX5qR@j ve K9$mPx2vL#nQ8wFs.
Sky News, bu araştırmayı kontrol etmek için Claude'u kullandığında, ürettiği ilk şifre K9#mPx@4vLp2Qn8R oldu. ChatGPT ve Gemini sonuçlarında "biraz daha az düzenli" olsa da verdikleri sonuçlar yine de "tekrarlanan şifreler" idi.
Bu şifreler, çevrimiçi şifre kontrol araçlarını kullanarak yapılan testleri de geçerek "son derece güçlü" olduklarını iddia eden sonuçlar aldı. Lahav, "Şu anki değerlendirmemiz, şifrelerinizi oluşturmak için LLM'leri kullanıyorsanız, eski bilgisayarların bile bunları nispeten kısa bir sürede kırabileceği yönündedir," uyarısında bulundu.
Uzmanlar, hatırlayacağınız uzun bir kelime öbeği seçmeniz gerektiğini ve bir tane bulmak için yapay zeka kullanmaktan kaçınmanız gerektiğini söyledi. Bir Google sözcüsü Sky'a şunları söyledi: "LLM'ler, şifreleri güvenli bir şekilde oluşturan ve saklayan Google Şifre Yöneticisi gibi araçların aksine, yeni şifreler oluşturma amacıyla oluşturulmamıştır. Ayrıca kullanıcıları şifrelerden uzaklaşmaya ve kullanımı daha kolay ve güvenli olan geçiş anahtarlarını (passkeys) benimsemeye teşvik etmeye devam ediyoruz."