在数字时代,密码就是我们的“数字钥匙”。无论是社交平台、网银账户还是公司系统,一个安全的密码能大大降低被黑客入侵的风险。而每年5月的“世界密码日”正是提醒我们注意密码安全的重要时刻。
近年来,越来越多的人开始使用AI工具生成密码,比如 ChatGPT、Meta 的 Llama 和中国的 DeepSeek。这些强大的大语言模型(LLMs)真的能为我们生成足够安全的密码吗?**Kaspersky(卡巴斯基)**的数据科学团队近期就进行了深入分析,测试了这三大AI工具各自生成的1000个密码,并对其安全性进行评估,结果令人深思。
一、AI生成的密码真的“随机”吗?
大多数人认为,只要使用AI生成一个看似复杂的密码,比如带有特殊符号、大小写字母、数字组合,就是安全的。但事实并非如此。
Kaspersky 的研究发现,AI生成的密码并不具备“真正的随机性”。由于语言模型的工作原理是基于已有的数据进行预测,它们往往会生成有模式可循的内容。这种“模式性”在密码生成中就成了致命缺陷。
1. DeepSeek 和 Llama:常使用可预测的单词替换
例如,在使用 DeepSeek 和 Llama 生成的密码中,经常出现这样的样式:
- DeepSeek:S@d0w12、M@n@go3、B@n@n@7
- Llama:K5yB0a8dS8、S1mP1eL1on
这种用字母替换的方式,比如将 a 换成 @,o 换成 0,其实是早已被黑客熟知的旧技巧,称为 leetspeak。这些密码表面复杂,但实际破解难度并不高。
2. ChatGPT:虽然更“复杂”,但存在明显字符偏好
ChatGPT 生成的密码,比如:
- qLUx@^9Wp#YZ
- YLU@x#Wp9q^Z
- X@9pYWq^#Lzv
看上去确实更“随机”,但研究团队通过绘制字符频率直方图发现,其生成的密码中存在特定字符的过度使用,比如 x、p、9、@、Y 等。这意味着这些密码虽复杂,却并不“随机”。
3. 谁更“均衡”?DeepSeek表现最佳
令人意外的是,在字符分布频率的均衡性方面,DeepSeek 的表现最接近真正的“随机”。虽然它在使用字典词方面存在问题,但在字符频率直方图中,它比其他两者更分散、没有特别突出的字符偏好。
- ChatGPT:前13个字符频率超过700次
- Llama:前2个字符超过500次
- DeepSeek:字符分布最平均,表现最优
二、什么才是安全密码的标准?
根据 Kaspersky 的定义,一个好的密码应该满足以下几点:
- 长度:至少12个字符
- 组成:包含大小写字母、数字和特殊符号
- 分布:各字符应尽量均衡,不能偏好某几个特定字符
- 随机性:不能有明显的模式(如常见单词或替换规则)
然而AI工具在这些方面做得远远不够:
| 工具 | 缺少特殊符号或数字的比例 | 密码少于12位的比例 |
|---|---|---|
| ChatGPT | 26% | 少 |
| Llama | 32% | 偶尔 |
| DeepSeek | 29% | 有时 |
这说明我们不能单纯依赖AI生成密码来保障信息安全。
三、AI生成密码易被破解的现实
研究人员还使用了一种专门测试密码强度的机器学习算法,来评估这些AI生成密码的抗破解能力。结果显示:
- DeepSeek 生成的密码中,有 88% 可在一小时内被破解
- Llama 为 87%
- ChatGPT 虽表现稍好,但仍有 33% 不足以抵抗复杂攻击
要知道,现代GPU和云计算资源已经非常强大,普通人几乎无法抵挡这种级别的暴力破解攻击。
四、为什么AI密码生成存在问题?
从技术角度来看,大语言模型的运作方式注定了它们不擅长生成真正“随机”的结果。Alexey Antonov 表示:
“LLMs 并不具备加密级的随机能力,它们只是根据已有数据预测下一个最可能的字符。这种预测机制容易被有经验的攻击者利用。”
尤其是像 ChatGPT 这类模型,其训练数据可能包含了大量类似格式的密码,从而在生成新密码时不自觉地模仿了这种格式。
五、解决方案:使用专业密码管理器
与AI工具相比,专用的密码管理软件采用了真正的随机数算法(如加密安全的伪随机数生成器)来创建密码,具备以下优势:
- 真正的字符均衡性与不可预测性
- 自动存储与同步:只需记住一个主密码
- 自动填充功能:简化登录操作
- 安全提醒:若密码泄露,可第一时间收到警报
Kaspersky 的密码管理器就是这样的工具之一,值得考虑作为替代方案。
总结:AI生成密码≠安全,特别是别太信任ChatGPT和Llama
虽然AI工具很强大,但生成密码并非它们的强项。通过此次分析,我们可以看到:
- ChatGPT生成的密码并不如想象中安全
- Llama 使用字典词太频繁
- DeepSeek 虽表现稍佳,但仍远不足以替代真正的随机密码生成器
最安全的方式依旧是:使用密码管理器 + 不重复使用密码 + 定期更换密码。
不要再偷懒用AI生成密码了,你的网络资产可不容小觑!
