امنیت رمز عبور در عصر هوش مصنوعی به یکی از دغدغههای اصلی کاربران و متخصصان امنیت سایبری تبدیل شده است. بسیاری از افراد برای سادهتر شدن کارهای روزمره خود از ابزارهایی مانند ChatGPT یا Claude کمک میگیرند و حتی برای ساخت Password نیز به سراغ این مدلها میروند. اما یک تحقیق جدید نشان میدهد استفاده از هوش مصنوعی برای تولید رمز عبور (Password) میتواند ریسک امنیتی جدی به همراه داشته باشد. در این گزارش از «خبرواژه» به بررسی نتایج این پژوهش و دلایل ناامن بودن پسوردهای ساختهشده توسط مدلهای زبانی بزرگ میپردازیم.
جزئیات تحقیق جدید درباره رمز عبور و هوش مصنوعی
بر اساس پژوهش تازه شرکت امنیتی :contentReference[oaicite:0]{index=0}، رمزهای عبوری که توسط مدلهای بزرگ زبانی (LLM) تولید میشوند، در ظاهر پیچیده و قدرتمند به نظر میرسند اما در واقع «قابل حدس» و «ناامن» هستند.
در این تحقیق، از سه هوش مصنوعی محبوب یعنی ChatGPT متعلق به :contentReference[oaicite:2]{index=2}، Claude متعلق به :contentReference[oaicite:4]{index=4} و Gemini متعلق به :contentReference[oaicite:6]{index=6} خواسته شد رمزهای عبور ۱۶ کاراکتری شامل حروف بزرگ و کوچک، اعداد و نمادهای خاص تولید کنند.
در نگاه اول، خروجی این مدلها تفاوتی با رمزهای تصادفی ساختهشده توسط ابزارهای مدیریت پسورد اپل یا گوگل نداشت. حتی ابزارهای سنجش قدرت رمز مانند :contentReference[oaicite:7]{index=7} به بسیاری از این پسوردها امتیاز «بسیار قوی» داده بودند. اما بررسی عمیقتر نشان داد مشکل اصلی در نبود تصادفیسازی واقعی نهفته است.
چرا رمزهای تولیدشده توسط AI واقعاً تصادفی نیستند؟
مدلهای زبانی بزرگ بر پایه پیشبینی کاراکتر یا کلمه بعدی آموزش دیدهاند. آنها تلاش میکنند محتملترین خروجی را تولید کنند، نه یک رشته کاملاً تصادفی. همین موضوع باعث میشود الگوهای پنهانی در پسوردهای تولیدی شکل بگیرد.
الگوهای تکراری در خروجی مدلها
نتایج بررسی ۵۰ پسورد تولیدشده توسط نسخه Claude Opus 4.6 نشان داد همه آنها با یک حرف آغاز میشوند که در اکثر موارد حرف بزرگ «G» بوده است. کاراکتر دوم تقریباً همیشه عدد «۷» بوده و مجموعهای از کاراکترها مانند L، 9، m، 2، $ و # در تمامی ۵۰ نمونه تکرار شدهاند.
در مورد ChatGPT نیز تقریباً تمام پسوردها با حرف «v» شروع شده و در نیمی از موارد کاراکتر دوم «Q» بوده است. Gemini گوگل نیز وضعیت بهتری نداشته و بیشتر رمزهای پیشنهادی آن با حرف «K» (بزرگ یا کوچک) آغاز شده و با ترکیبی از # یا P ادامه یافتهاند.
این الگوهای تکراری به این معناست که اگر یک مهاجم سایبری از این موضوع آگاه باشد، میتواند دامنه جستجوی خود را به شکل قابل توجهی کاهش دهد و رمز عبور را سریعتر حدس بزند.
نبود کاراکتر تکراری؛ نشانهای از غیرتصادفی بودن
نکته جالب دیگر این بود که در هیچیک از پسوردهای تولیدشده، کاراکتر تکراری دیده نشده است. شاید در نگاه اول تصور شود حذف تکرار باعث افزایش امنیت میشود، اما از نظر آماری در یک رشته کاملاً تصادفی احتمال تکرار کاراکتر وجود دارد.
حذف کامل کاراکترهای تکراری نشان میدهد مدل هوش مصنوعی تلاش میکند «شبیه به یک رمز تصادفی» به نظر برسد، نه اینکه واقعاً یک رشته تصادفی تولید کند. این تفاوت ظریف اما حیاتی، امنیت رمز عبور را بهشدت کاهش میدهد.
ریسک بزرگتر: استفاده برنامهنویسان از AI برای ساخت رمزهای سیستمی
اگرچه کاربران عادی شاید کمتر برای ساخت پسورد شخصی خود از هوش مصنوعی استفاده کنند، اما چالش بزرگتر مربوط به توسعهدهندگان و AI Agents است. این عاملهای هوش مصنوعی که برای کدنویسی یا مدیریت سیستمها استفاده میشوند، گاهی بهطور خودکار اقدام به تولید رمز عبور میکنند.
محققان با جستجو در :contentReference[oaicite:8]{index=8} متوجه شدند بسیاری از برنامهنویسان از AI برای تولید رمزهای سیستمی استفاده کردهاند. الگوهای کشفشده در این تحقیق به وفور در کدهای عمومی مشاهده شده است؛ موضوعی که میتواند به یک تهدید امنیتی گسترده تبدیل شود.
چرا تغییر Prompt مشکل را حل نمیکند؟
شرکت Irregular تأکید میکند که این مشکل با تغییر دستور یا Prompt قابل حل نیست. دلیل آن به ماهیت مدلهای زبانی بازمیگردد. این مدلها برای پیشبینی محتملترین توالی آموزش دیدهاند و ذات آنها با تصادفی بودن واقعی در تضاد است.
حتی اگر از مدل بخواهید «کاملاً تصادفی» عمل کند، باز هم خروجی آن بر اساس احتمالات آماری یادگرفتهشده تولید میشود. بنابراین همیشه ردپایی از الگو در آن وجود خواهد داشت.
راهکار امن برای ساخت رمز عبور چیست؟
برای افزایش امنیت رمز عبور، بهترین راه استفاده از ابزارهای تخصصی مدیریت پسورد است که از مولدهای رمزنگاریشده و تصادفی واقعی بهره میبرند. این ابزارها بر پایه الگوریتمهای رمزنگاری طراحی شدهاند، نه مدلهای پیشبینی زبانی.
همچنین رعایت نکات زیر ضروری است:
- استفاده از پسوردهای طولانی (حداقل ۱۲ تا ۱۶ کاراکتر)
- فعالسازی احراز هویت دو مرحلهای (2FA)
- عدم استفاده از یک رمز برای چند حساب کاربری
- استفاده از مدیر رمز عبور معتبر
جمعبندی: هوش مصنوعی ابزار قدرتمند است، اما نه برای امنیت رمز عبور
هوش مصنوعی تحول بزرگی در زندگی دیجیتال ما ایجاد کرده است، اما همه کاربردهای آن ایمن نیستند. نتایج این تحقیق نشان میدهد استفاده از AI برای تولید رمز عبور میتواند امنیت کاربران و سازمانها را به خطر بیندازد. ظاهر پیچیده یک Password تضمینکننده امنیت آن نیست؛ آنچه اهمیت دارد، تصادفی بودن واقعی و مبتنی بر الگوریتمهای رمزنگاری است.
در دنیایی که حملات سایبری روزبهروز پیشرفتهتر میشوند، انتخاب روش درست برای ساخت رمز عبور میتواند تفاوت میان امنیت و نفوذ باشد. بنابراین توصیه کارشناسان روشن است: از هوش مصنوعی برای تولید پسورد استفاده نکنید و امنیت حسابهای خود را به ابزارهای تخصصی بسپارید.
