你听过多少次关于设置高安全性密码的警告了?几年?还是几十年?效果如何呢,还在用“password1234”吗?我们都知道要小心谨慎,但看看那些最常见的密码就知道,大多数人根本没当回事。说真的,准备一大堆各不相同的密码——又要大写又要小写,还得加数字和特殊符号,天啊——实在太累人了。难怪我们很多人还是依赖那几个老掉牙的密码。
但网络上充斥着恶意行为和诈骗,用强密码保护你的在线账户比以往任何时候都更重要。不幸的是,如今我们拥有的在线账户数量庞大,密码堆积如山,管理起来非常困难。人们很容易想用简单易记的密码,甚至可能向你最喜欢的人工智能聊天机器人求助。但网络安全公司Irregular的一份新报告表明,这可能是个非常糟糕的主意。
继续往下看,了解为什么你不应该依赖人工智能来帮助你的在线安全,并获取实际创建好密码的技巧。
Irregular的团队让三个流行的大型语言模型——ChatGPT、Google Gemini和Claude——创建包含数字、字母和特殊字符的16位密码。然后,研究人员将这些输出与标准随机密码生成器创建的密码进行比较,以揭示AI生成密码的任何缺陷。
乍一看,大型语言模型创建的密码看起来很安全,很像密码生成器可能生成的密码。但这恰恰是问题所在:尽管AI生成的密码看起来很复杂,似乎可以安全地用于保护在线账户,但仔细检查后会发现它们实际上相当可预测。所有三个大型语言模型在创建这些密码时都表现出清晰可辨的模式。
这些模式包括重复的字符串、可预测的密码结构、频繁重复使用相似的字符、明显偏向某些数字和字母,甚至在某些情况下出现重复的密码。尽管AI生成的密码看起来是随机的,但实际上并非如此。如果你将这些可预测的密码用于你的在线账户,很容易产生一种虚假的安全感。
风险很大,原因如下:真正的密码安全依赖于随机性。但与标准密码生成器不同,AI的设计目的不是创造随机性——它是预测模式的。
这实际上是这些大型语言模型设计和学习方式的核心。因为它们是预测机器,当被要求生成随机密码时,AI聊天机器人创建(或者更准确地说,预测)了它们认为“典型”的随机密码应该是什么样子。但它们一点也不随机。
而且,你的密码不需要是一个容易识别的单词、短语或字符串(比如生日)才会被黑客破解。如今的黑客可以使用技术辅助的方法,比如暴力破解攻击,在几秒钟内输入数千次“猜测”。要使这种攻击成功,他们只需要你的密码具有可预测的模式——而这正是这些AI生成密码的特点。
攻击者甚至可以使用大型语言模型生成密码,只是为了分析其中的模式和结构,然后用来训练他们自己的暴力破解软件。而且可以肯定,黑客们非常清楚人们在日常生活中越来越依赖AI聊天机器人,并会在开发新的网络犯罪策略时利用这一点。
仅仅因为AI不太擅长创建安全密码,并不意味着没有其他方法。在你重新使用孩子的名字和生日作为密码之前,考虑一下这些方法来创建密码,以保护你的账户免受窥探。
一个简单的方法是使用一个好的免费密码管理器,比如1Password或NordPass。这些应用程序专门设计用来为你的所有账户创建强大、独特的密码,并为你组织管理它们(甚至跨不同设备),这样你就不必自己记住所有密码。
与AI聊天机器人不同,密码管理器可以创造真正的随机性。每个密码都是使用现代密码学从头生成的,这使得它们比AI生成的密码安全得多。
可以说,通行密钥甚至比密码更好——即使是使用密码管理器生成的密码。通行密钥使用基于设备的身份验证,这意味着你的身份由你的设备本身验证,而不是通过输入的密码。这对黑客来说更难破解。首先,黑客无法猜测你的通行密钥;他们需要访问你的设备才能绕过它。此外,通行密钥能抵御钓鱼攻击,因为你无法像泄露密码那样泄露通行密钥。
许多现代设备,如iPhone、安卓手机和笔记本电脑,已经内置了通行密钥系统。苹果的FaceID和Windows的Hello就是两个例子。在线服务,尤其是银行和其他金融机构运营的服务,也越来越要求使用通行密钥而非密码。原因很简单:它们更难被黑客攻击。
当你需要一个能记住的密码,而通行密钥又不可用时,考虑使用一个长的密码短语,而不是一串字符。请注意,“短语”这个词并不意味着这应该是一个常见的句子或其他容易记住的东西,因为“容易记住”通常意味着“容易猜到”。
相反,一个安全的密码短语应该由随机串联在一起的单词组成。长度极大地提高了安全性,因为更多的字符使得你的密码短语对暴力破解攻击者来说更难猜测。然而,由于它是由单词而不是随机字符组成的,你仍然可以记住它。但请记住:密码短语必须是随机单词,而不是你最喜欢的书或电影中的引语!
这与拥有强密码没有直接关系,但多因素认证(MFA),或双因素认证,是保护你账户的一种额外且越来越必要的方式。MFA的工作原理是,当你尝试用密码登录账户时,需要额外的验证。
如果你曾经登录过某个东西,然后收到一条短信或电子邮件,里面有一个验证码来确认你的登录,那么你已经使用了多因素认证。除了短信,MFA还可能要求使用第三方认证应用或硬件密钥,你必须与密码一起使用才能完成登录。
当与强大、安全的密码结合使用时,MFA增加了一层非常强大的安全保护,使得恶意行为者更难访问你的账户。
