นักวิจัยเตือน ใช้ AI ตั้งรหัสผ่าน เสี่ยงโดนแฮกไม่รู้ตัว

นักวิจัยเตือนอย่าใช้ AI ตั้งรหัสผ่าน เพราะโมเดลภาษาขนาดใหญ่ (LLM) มักใช้รูปแบบคำซ้ำ ๆ กลายเป็นจุดอ่อนที่ทำให้โดนเจาะได้ง่ายขึ้น

Irregular บริษัทความปลอดภัยไซเบอร์ เผยงานวิจัยพบว่าการใช้ LLM สร้างรหัสผ่านก็มีความเสี่ยง แม้จะได้รหัสผ่านที่ดูซับซ้อนและแข็งแกร่ง แต่จริง ๆ แล้วไม่ปลอดภัย และสามารถคาดเดาได้ง่ายกว่าที่คิด

ในการทดสอบ นักวิจัยให้โมเดลยอดนิยมอย่าง Claude, ChatGPT และ Gemini สร้างรหัสผ่านความยาว 16 ตัวอักษร ซึ่งประกอบด้วยตัวพิมพ์เล็ก-ใหญ่ ตัวเลข และอักขระพิเศษ บางเคสให้สร้างเป็นวลีรหัสผ่าน (passphrase) ผลลัพธ์ที่ได้เหมือนรหัสที่สร้างจากโปรแกรมจัดการรหัสผ่าน หรือเครื่องมือในตัวของ Google และ Apple

จากนั้นนำรหัสที่ได้มาไปประเมินผ่านเครื่องมือตรวจสอบอย่าง KeePass พบว่าเป็น “รหัสผ่านแข็งแกร่ง” แต่เมื่อตรวจสอบเชิงลึกกลับพบปัญหาใหญ่: LLM ไม่ได้สร้างรหัสผ่านแบบความสุ่มอย่างแท้จริง เช่น

• Claude Opus 4.6 ของ Anthropic เมื่อถูกขอให้สร้างรหัสผ่าน 50 ชุดที่ไม่ซ้ำกัน กลับใช้รูปแบบซ้ำ ๆ อย่างชัดเจน รหัสผ่านทั้งหมดขึ้นต้นด้วยตัวอักษร โดยส่วนใหญ่มักเป็น “G” ตามด้วยเลข “7” และมีตัวอักษรบางชุด เช่น “L”, “9”, “m”, “2”, “$” และ “#” ปรากฏในทุกชุด ขณะที่ตัวอักษรอื่นจำนวนมากไม่เคยถูกใช้เลย
• ChatGPT มักขึ้นต้นรหัสผ่านด้วย “v” และเกือบครึ่งหนึ่งใช้ “Q” เป็นตัวที่สอง โดยเลือกใช้กลุ่มอักขระจำกัดแทนที่จะกระจายทั่วทั้งชุดตัวอักษร ส่วน Gemini มักขึ้นต้นด้วย “K” และตามด้วย “#”, “P” หรือ “9” ในรูปแบบซ้ำ ๆ

อีกประเด็นที่น่าสนใจคือ รหัสผ่านที่สร้างขึ้นไม่มีตัวอักษรซ้ำเลยแม้แต่ตัวเดียว ซึ่งดูเหมือนสุ่มในแวบแรก แต่ในทางสถิติแล้ว โอกาสที่รหัสผ่านสุ่มจริงจะไม่มีตัวซ้ำเลยนั้นต่ำมาก สะท้อนให้เห็นว่าผลลัพธ์ถูก “จัดรูปแบบให้ดูสุ่ม” มากกว่าจะสุ่มจริง

เมื่อวัดความแข็งแกร่งของรหัสผ่านวัดด้วยค่าเอนโทรปี (entropy) หรือจำนวนบิตที่บ่งบอกความยากในการเดา ยิ่งเอนโทรปีสูง ยิ่งต้องใช้จำนวนครั้งในการเดามากขึ้น เช่น

• 1 บิต = มีความเป็นไปได้ 2 แบบ
• 10 บิต ≈ 1,000 แบบ
• 20 บิต ≈ 1 ล้านแบบ (ถอดได้ในไม่กี่วินาทีด้วย GPU สมัยใหม่)
• 100 บิต = ใช้เวลาหลายล้านล้านปีในการถอดรหัส

โดยทั่วไป รหัสผ่านที่สร้างด้วยการสุ่มอย่างแท้จริงจะให้ค่าเอนโทรปีเฉลี่ยประมาณ 6.13 บิตต่อตัวอักษร แต่รหัสผ่านจาก LLM ให้ค่าเฉลี่ยเพียงประมาณ 2.08 บิตต่อตัวอักษร นั่นหมายความว่า รหัสผ่าน 16 ตัวอักษรที่ควรมีเอนโทรปีราว 98 บิต กลับเหลือเพียงประมาณ 27 บิต ทำให้เสี่ยงต่อการถูกโจมตีแบบ brute-force อย่างมาก

ตอนนี้ผู้คน รวมถึงเอเจนต์ AI ใช้ LLM ช่วยเขียนโค้ดและจัดการระบบมากขึ้น อาจทำให้รหัสผ่านลักษณะนี้แพร่หลายโดยไม่รู้ตัว ทางออกสำหรับผู้ใช้ทั่วไปนั้นง่ายมาก อย่าใช้ LLM สร้างรหัสผ่านสำหรับบัญชีสำคัญ ควรใช้เครื่องมือจัดการรหัสผ่านที่ออกแบบมาเพื่อการสุ่มอย่างปลอดภัยโดยเฉพาะ

ที่มา gizmodo

หนุ่ย แซ่แต้

นักเขียนสาย Introvert ที่ชื่นชอบเรื่องนวัตกรรมและความคิดสร้างสรรค์ ใช้เวลาว่างกับ มังงะ, เสียงเพลงและ idol