随着大语言模型(LLMs)的普及,越来越多人将 ChatGPT、Llama 和 DeepSeek 等AI工具用于日常生活中的各种场景,包括生成密码。看似是个聪明选择,但从安全角度来看,这个做法存在极大隐患。
本文将从密码生成原理、字符分布频率、暴力破解风险等多个维度对比三大热门AI密码生成工具,并给出专业建议。
一、研究背景:1000个AI生成密码的大样本对比
Kaspersky 数据科学团队在“世界密码日”来临之际,利用 ChatGPT、Meta 的 Llama 及中国的 DeepSeek,分别生成了各自1000个密码。通过对这些密码进行模式识别、字符频率统计以及安全性评估,揭示了AI工具在密码生成方面的诸多问题。
二、什么是安全密码?标准如下:
- 长度 ≥12位
- 包含大小写英文字母、数字、特殊符号
- 字符分布均衡
- 无可预测性(非字典词、非替换模式)
三、三大AI工具密码生成表现对比
| 维度 | ChatGPT | Llama | DeepSeek |
|---|---|---|---|
| 随机性 | 较好但有字符偏好 | 明显使用词汇替换 | 字符分布均衡但有字典词问题 |
| 常见模式(leetspeak) | 少 | 常见 | 常见 |
| 平均密码长度 | ≥12 | 偶尔低于12 | 偶尔低于12 |
| 缺少特殊符号或数字的比例 | 26% | 32% | 29% |
| 可在1小时内破解的比例 | 33% | 87% | 88% |
从数据可以看出,即便是表现最好的 ChatGPT,也无法生成大规模高强度密码,更别说 Llama 与 DeepSeek。
四、字符分布频率分析:隐藏在复杂背后的规律
研究人员绘制了各AI模型生成密码中的字符使用频率直方图,发现:
- ChatGPT:有13个字符使用次数显著超出平均(如x、p、9、@、#)
- Llama:集中在前两个字符,明显偏向特定字母
- DeepSeek:分布最平均,理论上最接近真正随机
但这并不意味着 DeepSeek 就能完全放心使用,它的问题在于生成了太多基于词典的密码,即便字符分布好,结构依然容易猜测。
五、暴力破解模拟:GPU级攻击的真实威胁
Antonov 团队模拟了现代黑客可能使用的攻击方式,依托GPU和云计算进行快速尝试。结果显示:
- 60%的一般弱密码能在1小时内被破解
- AI生成密码中,DeepSeek 的安全性最差(88%不合格),Llama 87%,ChatGPT 33%
换句话说,如果你用AI生成密码用于重要账号,黑客可能在一小时内就能拿到你的全部数据。
六、根本原因:LLMs 不具备加密随机性
本质上,LLMs(包括 ChatGPT、Llama、DeepSeek)不是为了加密而生。它们只是语言预测模型,基于训练数据猜测下一个最可能的字符,难以生成无模式的密码。
举例来说:
- 若训练数据包含“Banana1”之类的示例,模型可能生成“B@n@n@7”,看似复杂,实则易破
- 训练集中若“@”、“9”频率高,模型会更频繁使用这些符号,导致密码结构单一
七、安全建议:使用专业工具+策略防护
正确做法应是:
- 使用加密级随机数生成器(密码管理器内置)
- 每个平台使用唯一密码
- 主密码强度足够,并启用二次验证
- 定期更新密码
- 避免AI生成、避免可预测模式
推荐工具如:
- Kaspersky Password Manager
- Bitwarden
- 1Password
- KeePass
总结:别再用AI生成密码了,尤其是DeepSeek!
虽然我们都希望借助AI简化生活,但密码安全不是开玩笑。此次研究明确显示:
- ChatGPT生成的密码存在字符模式问题
- Llama与DeepSeek存在更严重的结构性弱点
- 无一款AI能生成大规模高强度密码用于真实保护
不要把自己的安全交给预测模型。用专业密码管理工具才是王道。
