AI‑gegenereerde wachtwoorden worden al regelmatig gebruikt
In de afgelopen jaren is AI uitgegroeid tot een handige inspiratiebron voor het schrijven van teksten, het bedenken van ideeën en het oplossen van alledaagse vraagstukken. AI-gegenereerde wachtwoorden gebruiken is dan ook geen rare gedachte. Het genereren gaat snel, makkelijk en je hoeft zelf niet te puzzelen op een reeks willekeurige tekens. Het resultaat waarmee Copilot of ChatGPT komt lijkt ook overtuigend (met de nadruk op lijkt). Ze genereren allemaal een reeks van ogenschijnlijk willekeurige tekens. Toch schuilt hier een groot risico. Onderzoek laat zien dat AI‑gegenereerde wachtwoorden niet zo veilig zijn als ze lijken. Dat komt vooral door de manier waarop grote taalmodellen (LLM’s) werken. Hoe dat precies zit en wat wel een veilige methode is om wachtwoorden te genereren lees je hier.
Waarom LLM’s geen wachtwoordgeneratoren zijn
Mensen denken dat een AI zoals Copilot net zo willekeurig kan werken als een echte wachtwoordgenerator, maar technisch gezien doen ze totaal verschillende dingen. Een veilige wachtwoordgenerator gebruikt namelijk iets dat een CSPRNG heet. Dat is een cryptografisch veilige toevalsgetallengenerator. Een hele mond vol inderdaad. Je kunt het zien als een superslim rad van fortuin dat elke draai compleet onvoorspelbaar maakt. AI‑modellen werken daarentegen precies andersom. Ze proberen niet willekeurig te zijn, maar juist patronen te herkennen en te voorspellen. Dat betekent dat ze eerder iets genereren dat logisch voelt voor het model. Onderzoek toont aan dat zulke voorspelbare structuren meetbaar minder veilig zijn. Dat hebben ze kunnen berekenen met de Shannon‑entropieformule, een manier om te meten hoe onvoorspelbaar een wachtwoord is. Hoe voorspelbaarder de tekens, hoe lager de entropie en hoe makkelijker te kraken. In het geval van AI gegenereerde wachtwoorden kwam duidelijk naar voren dat bepaalde tekens vaker dan andere werden toegepast en dat er ook patronen zichtbaar waren.
AI‑gegenereerde wachtwoorden verhogen het risico op een cyberaanval
Wanneer een wachtwoord voorspelbaar is, wordt het aanzienlijk kwetsbaarder voor aanvallen. Dat geldt dus zeker voor AI-gegenereerde wachtwoorden. Volgens het NCSC is een brute‑force aanval nog steeds een veelvoorkomende methode om toegang te krijgen tot accounts. Bij zulke aanvallen probeert een aanvaller in een rap tempo miljoenen varianten totdat er één werkt. Dat kunnen ze volledig geautomatiseerd proberen. Hoe voorspelbaarder het wachtwoord, hoe sneller zo’n aanval slaagt. Omdat AI‑modellen dus vaak patronen gebruiken die lijken op bestaande taalstructuren of trainingsdata, zijn AI-gegenereerde wachtwoorden eenvoudiger te raden dan willekeurige varianten die door een echte wachtwoordgenerator zijn gemaakt.
De veilige methode: een wachtwoordmanager van Keeper
Als AI‑gegenereerde wachtwoorden te voorspelbaar zijn, wat is dan wel een veilige optie? Een wachtwoordmanager zoals Keeper biedt hier een betrouwbaar antwoord op. In zo’n tool zit een cryptografisch veilige wachtwoordgenerator ingebouwd, gebaseerd op CSPRNG‑technologie. Die technologie zorgt ervoor dat elke tekencombinatie echt willekeurig is. Bovendien hoef je de gegenereerde wachtwoorden zelf niet te onthouden of op te slaan. Keeper beheert ze ook nog eens veilig, en kan een melding geven wanneer een wachtwoord gelekt is op het darkweb. Zo weet je zeker dat je wachtwoorden veilig en up-to-date zijn. Of je nu tien accounts hebt of honderd, een wachtwoordmanager helpt je overzicht te bewaren en je beveiliging te verbeteren. Lees hier meer over de Keeper wachtwoordmanager.