Dlaczego to ważne?
Hasło chroni dostęp do poczty, systemów firmowych, danych klientów, dokumentów, aplikacji i kont administracyjnych. Jeżeli jest przewidywalne, przestaje być skuteczną barierą.
AI może tworzyć hasła, które wyglądają na skomplikowane, zawierają litery, cyfry i znaki specjalne, przechodzą proste testy „siły hasła”, ale w rzeczywistości opierają się na powtarzalnych wzorcach.
To szczególnie niebezpieczne, bo użytkownik może mieć fałszywe poczucie bezpieczeństwa: „przecież hasło wyglądało na bardzo mocne”.
Co może pójść nie tak?
W przypadku haseł generowanych przez AI problemem nie jest ich wygląd, ale przewidywalność.
Modele AI mogą wielokrotnie proponować podobne albo wręcz identyczne hasła różnym osobom. Mogą też mieć swoje „ulubione” początki, układy znaków lub sekwencje. Dla przestępców to cenna informacja. Jeżeli wiedzą, że dane hasło mogło zostać wygenerowane przez konkretny model AI, mogą tworzyć specjalne listy haseł typowych dla tego modelu i próbować je łamać szybciej niż standardową metodą „na chybił trafił”.
W praktyce oznacza to, że hasło może wyglądać tak, jakby jego złamanie miało zająć setki lat, a przy użyciu właściwych metod może być podatne na atak znacznie szybciej.
Potencjalny scenariusz naruszenia
Pracownik zakłada konto w nowym narzędziu firmowym. System prosi o silne hasło, więc pracownik otwiera narzędzie AI i wpisuje: „Wygeneruj mi bardzo mocne hasło do systemu”. Otrzymuje ciąg z dużymi literami, cyframi i znakami specjalnymi. Hasło wygląda dobrze, więc zostaje użyte.
Kilka miesięcy później dochodzi do nieautoryzowanego logowania. Analiza pokazuje, że hasło było przewidywalne i podobne do wzorców często generowanych przez popularne modele AI. Problem nie wynikał ze złej woli pracownika, ale z użycia niewłaściwego narzędzia do tworzenia zabezpieczenia.
Taki incydent może oznaczać nie tylko problem techniczny, ale również naruszenie ochrony danych osobowych. Jeżeli przez słabe hasło osoba nieuprawniona uzyska dostęp do danych klientów, pracowników lub kontrahentów, firma może być zobowiązana do analizy incydentu, zgłoszenia go do UODO, a czasem także poinformowania osób, których dane dotyczą.
Czego nie robić?
- Nie proś AI o wygenerowanie hasła do poczty, systemu firmowego, bankowości, aplikacji kadrowej, CRM, panelu administratora ani żadnego innego konta.
- Nie używaj hasła z AI tylko dlatego, że „wygląda mocno”.
- Nie zapisuj haseł wygenerowanych przez AI w plikach tekstowych, notatkach, wiadomościach e-mail lub komunikatorach.
- Nie wklejaj do AI obecnych haseł z prośbą o ich ocenę, poprawienie lub „wzmocnienie”.
- Nie używaj tego samego hasła w kilku miejscach.
Pamiętaj!
AI nie jest menedżerem haseł ani bezpiecznym generatorem losowości. To narzędzie do tworzenia tekstu, a nie zabezpieczeń dostępowych.
Zasada jest prosta: nie generuj haseł w AI. Rób to samodzielnie lub używaj zatwierdzonego menedżera haseł i generatora losowych haseł.