- Adgangskoder er fortsat kritiske, men AI har mangedoblet evnen til at gætte dem gennem ordbogsangreb, brute force og generative modeller.
- LLM'er producerer ikke ægte tilfældighed: deres mønstre forårsager, at de adgangskoder, de genererer, har lav entropi og er overraskende lette at knække.
- Beskyttelse involverer adgangskodeadministratorer, lange og unikke adgangskoder, multifaktorgodkendelse og kontinuerlig AI-baseret overvågning.
- Fremtiden er rettet mod adgangskodeløse modeller, adgangsnøgler og Zero Trust, hvor identitet og kontekst betyder mere end en enkelt delt hemmelighed.
Adgangskoder står over for en sand test midt i den kunstige intelligens-revolutionDe er fortsat det mest udbredte godkendelsessystem på planeten, men alle fremskridt inden for AI, cyberangreb og automatisering lægger mere pres på en model, der blev født i en anden æra. I mellemtiden fortsætter millioner af brugere med at beskytte deres e-mail-, bank- eller sociale mediekonti med adgangskoder, som en moderne angriber kan knække på få sekunder.
På samme tid Ikke alle konti er klar til at tage springet til en adgangskodefri verden.. den Adgangsnøgler, biometrisk godkendelse Zero Trust-modeller er i fremgang, ja, men de sameksisterer med klassiske loginformularer og forældede tjenester, der stadig er afhængige af det "noget, du ved". I denne sammenhæng er det ikke længere et teknisk problem at forstå, hvorfor adgangskoder er vigtigere end nogensinde, hvordan AI udfordrer dem, og hvilke reelle alternativer vi har: det er et spørgsmål om grundlæggende digital overlevelse.
Hvorfor adgangskoder fortsat er afgørende i AI'ens tidsalder
i dag, Personlig information og virksomhedens midler er blevet omdannet til kontanterEn enkelt lækket adgangskode kan sælges for et par dollars på undergrundsfora, men hvis den nøgle åbner døren til en virksomheds e-mail, et internt filsystem eller en bankkonto, kan den økonomiske påvirkning eskalere til hundredtusindvis af euro.
Tjenester så forskellige som netbank, e-mail, patientjournaler, sociale netværk eller cloudbaserede arbejdsværktøjer De bruger stadig adgangskoder som den primære adgangskontrol. Hvis nogen kommer ind med "password123" eller en anden sjusket variant, er det den digitale ækvivalent til at lade din hoveddør stå åben med et "kom ind uden at banke på"-skilt.
Forskningen er enig i, at Cirka halvdelen af applikationerne er udelukkende afhængige af adgangskoder.uden ekstra sikkerhedslag. Og oven i købet bruger kun et mindretal af brugerne forskellige adgangskoder til hver tjeneste. Dette kolliderer direkte med virkeligheden: de fleste mennesker administrerer mellem 70 og 100 onlinekonti, mens vi i bedste fald er i stand til at huske mellem 5 og 7 forskellige adgangskoder.
Denne kløft mellem hvad vi kan huske og antallet af konti, vi bruger dagligt, fører os til Farlige vaner: genbrug af adgangskoder, skrivning af dem i ukrypterede noter eller deling af dem via usikre kanalerSelvom du sandsynligvis ikke gør det, gemmer mange stadig adgangskoder i en noter-app eller på et stykke papir, der sidder fast på deres skærm, hvilket i høj grad forenkler arbejdet for enhver moderat organiseret angriber.
AI tilføjer endnu et lag af kompleksitet: brute force-angrebUdfyldningsprocesser for ordbøger eller legitimationsoplysninger kan nu automatiseres og optimeres i industriel skala.Det, der tidligere krævede tid, kræfter og en vis teknisk ekspertise, kan nu orkestreres med avancerede værktøjer, der tester millioner af kombinationer lært fra virkelige lækager.
Længde, kompleksitet og entropi: hvad gør en adgangskode virkelig stærk
En af de mest udbredte myter er den opfattelse, at En adgangskode, der "virker kompliceret", er automatisk sikker.At tilføje store bogstaver, erstatte bogstaver med tal eller indsætte et symbol giver en vis følelse af styrke, men mod moderne angrebsmetoder er den afgørende faktor noget andet: længde.
Når en angriber får adgang til en lækket database med legitimationsoplysninger fra en stor virksomhed, gemmes adgangskoderne normalt ikke i almindelig tekst, men i form af krypterede hashesFor at forsøge at gendanne den originale nøgle bruger de knækketeknikker: de genererer adgangskodegæt, krypterer dem på samme måde og sammenligner resultater, indtil de finder matches.
I dette scenario, Jo længere adgangskoden er, desto mere eksplosiv bliver væksten i antallet af mulige kombinationer.En adgangskode på 8 tegn kan knækkes på sekunder eller minutter i en GPU-klynge eller i et cloud computing-miljø, selvom den skifter mellem bogstaver, tal og symboler. I modsætning hertil kan en velkonstrueret adgangskode på 16 tegn tage år, århundreder eller simpelthen være ubrugelig med nuværende ressourcer.
Hvis vi også overvejer fremtidige kvantecomputere, fortsætter længden med at gøre en forskel: En absurd kæde som at gentage det samme bogstav 40 gange ville være praktisk talt umulig at bryde. selv med teoretiske kvantekapaciteter, mens en kort "kreativ" adgangskode baseret på dit fodboldhold eller en berømt sang kunne gættes på et øjeblik.
Fra et mere formelt synspunkt måles sikkerheden af en adgangskode i bits af entropiDisse værdier afspejler, hvor mange forsøg der i gennemsnit skal til for at gætte det. Jo bredere sæt af tegn der bruges (store bogstaver, små bogstaver, tal, symboler) og jo længere kombinationen er, desto større er entropien, og desto sværere er det at bryde ved hjælp af brute-force-angreb.
En nøgle med omkring 20 bits entropi genererer omkring en million mulige kombinationer, noget der En angriber med moderne GPU'er kan dække på få sekunder.I modsætning hertil ville en adgangskode med omkring 100 bits entropi involvere så mange kombinationer, at det i praksis ville tage milliarder af år at knække. Forskellen mellem de to er ikke magi: det er den faktiske længde og effektive variation af tegn, ikke kun udseendet af kompleksitet.
Den store fejl: at overlade sikkerheden til AI-genererede adgangskoder
Med fremkomsten af chatbots er det fristende at bede en model som ChatGPT, Claude eller Gemini om at "Generer en sikker adgangskode på 16 tegn med tal, symboler og bogstaver"På papiret lyder det perfekt: modellen returnerer komplekse strenge, der er svære at læse og umulige at huske med et enkelt blik, meget lig dem, der tilbydes af adgangskodeadministratorer.
Problemet er, at under motorhjelmen, Sprogmodeller er ikke designet til at producere ægte tilfældighedDe fungerer ved at forudsige det næstmest sandsynlige tekststykke (token) baseret på de data, de blev trænet på. Dette er det stik modsatte af, hvad vi har brug for til en stærk adgangskode, som kræver lige sandsynlige og uforudsigelige valg.
Nyere forskning foretaget af AI-sikkerhedsspecialister har vist, at når disse modeller blev bedt om at generere snesevis af "unikke" adgangskoder, meget tydelige og gentagne mønstre viste sigI testene med Claude begyndte mange taster med det samme bogstav, og det andet tegn var næsten altid det samme tal; derudover blev en meget lille delmængde af alfabetet genbrugt, hvorved de fleste bogstaver blev udeladt.
Noget lignende skete med ChatGPT: Næsten alle adgangskoderne startede med det samme bogstav, og næsten halvdelen brugte "Q" som andet tegn.Gemini viste også tilbagevendende mønstre med kombinationer, der virkede tilfældige, men som, når de analyseres statistisk, langt fra var en ensartet fordeling.
Det mest slående er, at i mange af disse genererede adgangskoder Der var ikke en eneste gentagelse af karakterer.For det menneskelige øje giver dette en fornemmelse af kaotisk orden, men fra et probabilistisk synspunkt er det ekstremt usandsynligt, at beslutninger virkelig blev truffet tilfældigt. Dette er en klar indikation af, at modellen følger "interne regler", der gør den meget mere forudsigelig, end den ser ud til.
Da entropien af disse adgangskoder skabt af LLM blev målt, var resultaterne ødelæggende: sammenlignet med de cirka 6,13 bits entropi pr. tegn, som en ægte tilfældig generator ville giveModellerne satte sig på omkring 2,08 bits pr. tegn. Med en adgangskode på 16 tegn betyder det at gå fra omkring 98 bits (meget robust) til kun 27 bits, noget en angriber kan knække med brute-force-angreb uden at skulle svede hårdt.
Som prikken over i'et fandt efterforskerne karakteristiske mønstre af AI-genererede adgangskoder på internettjenester i den virkelige verdenMed andre ord er der applikationer og websteder, der allerede er beskyttet af nøgler, der deler forudsigelige strukturer, hvilket gør dem til et perfekt mål for specialiserede ordbogsangreb, der inkluderer "lister over typiske chatbot-adgangskoder".
Derfor er mange sikkerhedsfirmaer klare omkring dette: Det er ikke en god idé at delegere oprettelsen af adgangskoder til en generel AI.De er optimeret til at producere plausibel tekst, ikke til at garantere en tilfældig fordeling, der er modstandsdygtig over for analyse. Hvis du allerede har genereret adgangskoder med en chatbot, er det værd at ændre dem og som minimum tilføje tofaktorgodkendelse (2FA) for at øge beskyttelsesniveauet.
Adgangskodeadministratorer, ægte tilfældighed og grundlæggende bedste praksis
Hvis det er umuligt at huske snesevis af unikke, lange og komplekse adgangskoder (hvilket det er), Den praktiske løsning involverer centralisering af administrationen.Det er her, adgangskodeadministratorer, som opretter og opbevarer robuste nøgler i et krypteret "hvælv" beskyttet af en masteradgangskode og i stigende grad af yderligere godkendelsesfaktorer.
I modsætning til LLM'er, Adgangskodeadministratorer bruger kryptografiske tilfældige talgeneratorerDisse er afhængige af operativsystemets entropi og fysiske kilder (musebevægelser, tider mellem begivenheder osv.) for at producere virkelig uforudsigelige bits, som derefter konverteres til tegnstrenge uden at introducere nogen "pæne" mønstre for det menneskelige øje.
Værktøjer som Bitwarden, som tilbyder en forholdsvis komplet gratis version, eller 1Password, en betalt, men meget kraftfuld mulighed.De giver dig mulighed for at administrere ikke kun adgangskoder, men også kort, sikre noter og andre hemmeligheder. Brugeren skal kun huske en meget stærk masteradgangskode (og helst beskytte kontoen med 2FA), mens administratoren tager sig af resten.
Udover at generere sikre adgangskoder inkluderer disse administratorer ofte funktioner til periodisk rotation af legitimationsoplysninger, advarsler om kendte lækager og genbrugstjekHvis et websted oplever et brud, eller hvis dine data vises på dark web-lister, kan administratoren advare dig om at ændre de berørte adgangskoder, før nogen udnytter dem.
En anden god vane er slet konti, du ikke længere brugerDet er nemt at glemme en gammel Myspace-profil, en Hotmail-konto fra starten af 2000'erne eller en tjeneste, du tilmeldte dig "bare for at prøve den af". Men hvis du nogensinde har brugt den e-mailadresse som gendannelsesadresse for en anden vigtig konto, bliver den et sårbart led i din sikkerhedskæde.
Endelig Det er praktisk talt obligatorisk at aktivere multifaktor-godkendelse på alle mulige konti.Uanset om du bruger SMS, apps som Authy eller Google Authenticator eller mere avancerede metoder, reducerer kravet om en ekstra faktor (kode, fysisk nøgle, biometri) drastisk virkningen af en kompromitteret adgangskode.
Hvordan AI styrker både angribere og forsvarere
Kunstig intelligens ændrer spillets regler for begge sider. På den ene side, Cyberkriminelle er ikke længere udelukkende afhængige af klassisk brute forceDe træner modeller med millioner af lækkede adgangskoder til at generere ekstremt effektive ordbøger, der er i stand til at indfange menneskelige mønstre, når de opretter adgangskoder (navne, datoer, hold, sangtekster osv.).
Værktøjer som PassGAN, baseret på generative netværk, De kan producere enorme mængder af adgangskodegæt uden behov for eksplicitte, menneskedefinerede regler.I modsætning til traditionelle værktøjer som Hashcat, der anvender foruddefinerede transformationer på kendte lister, fortsætter disse modeller med at lære og forfine deres output, efterhånden som de genererer flere forsøg.
I tests udført med datasæt som den berømte RockYou lækage eller LinkedIn-adgangskoder, PassGAN har været i stand til at gætte mellem 51% og 73% flere unikke adgangskoder end regelbaserede værktøjer.Specifikt trænet med prøver fra en bestemt lækage, var den i stand til at gætte næsten en fjerdedel af adgangskoderne i et andet uafhængigt sæt, hvilket er særligt bekymrende, når vi tænker på brugere, der gentager mønstre på tværs af tjenester.
Derudover Angrebsteknikker som credential stuffing eller password spraying drager stor fordel af avanceret automatiseringMed AI kan angribere justere rækkefølgen og prioriteten af de adgangskoder, de prøver, optimere ressourcerne og fokusere på kombinationer med en højere sandsynlighed for succes baseret på offerets profil.
Men AI multiplicerer også skaden i en anden dimension: Phishing og social engineeringGenerative modeller tillader oprettelse af e-mails, falske login-sider og endda taleopkald med deepfakes, der efterligner familiemedlemmer, chefer eller kolleger med en foruroligende grad af realisme. I disse situationer, uanset hvor stærk din adgangskode er, er det til ringe nytte, hvis du ender med at skrive den ind på en falsk side, der sender den direkte til angriberen.
På den defensive side dog, AI er blevet en uundværlig allieretMange sikkerhedssystemer bruger modeller til at analysere loginmønstre og registrere unormal adfærd: adgang fra usædvanlige lande, mistænkelige tidspunkter, skrivehastighed, der er uforenelig med et menneskes, eller usædvanlige enheder.
Hvis det opdages, for eksempel adgang fra en atypisk placering kombineret med en interaktionsrytme, der synes automatiseretSystemet kan blokere forsøget, anmode om yderligere verifikation eller gennemtvinge en ændring af adgangskode. Nøglen her er kontinuerlig overvågning: det er ikke nok blot at låse døren; du skal holde øje med, hvem der forsøger at komme ind, og hvordan.
Ud over adgangskoden: MFA, biometri, Zero Trust og adgangsnøgler
Med den fortsatte stigning i angreb og spredningen af digitale identiteter (menneskelige og ikke-menneskelige), Den klassiske model udelukkende baseret på brugernavn og adgangskode har ikke virket som den skalTendensen er at flytte sikkerhedsbyrden fra en enkelt hemmelighed til en kombination af signaler, kontekster og kontinuerlig verifikation.
Først Multifaktorgodkendelse (MFA) er blevet et fundamentalt elementIkke alle faktorer er lige robuste: Engangs-SMS-koder er for eksempel sårbare over for aflytningsangreb, SIM-kloning eller sofistikeret phishing. Alligevel er de bedre end ingenting, og det næste skridt er at investere i mere robuste metoder, såsom dedikerede apps, sikkerhedsnøgler eller push-notifikationer med beskyttelse mod svindel.
Biometri, som ansigtsgenkendelse eller fingeraftryksscanning i moderne mobiltelefoner og bærbare computereDet tilbyder en meget bekvem oplevelse og hæver barren for angribere, selvom det ikke er idiotsikkert. Kombineret med kryptografiske nøgler gemt på enheden muliggør det adgangskodeløse systemer, hvor brugeren ikke behøver at indtaste en adgangskode, hvilket reducerer risikoen for phishing.
Det er her, adgangsnøgler og adgangskodeløse løsningerDisse tjenester bruger offentlig nøglekryptografi til at godkende brugere uden at kræve en traditionel nøgle. Tjenester som Okta FastPass giver dig mulighed for sikkert at forbinde en enhed til en identitet og validere adgang ved hjælp af kryptografiske nøgler, der integreres med metoder som Windows Hello, Apple Touch ID eller Face ID.
Denne type løsning forbedrer ikke kun brugeroplevelsen (ikke længere at huske snesevis af adgangskoder), men også Det reducerer drastisk sandsynligheden for, at en angriber kan stjæle genbrugelige legitimationsoplysninger.Der er ingen "delt hemmelighed", der bevæger sig over netværket, og som kan fanges: verifikation sker via kryptografiske udfordringer, som kun den legitime enhed kan løse.
Samtidig tager mange organisationer denne tilgang til sig Nul tillid, som antager, at ingen adgang som standard er betroet.selvom den stammer fra virksomhedens netværk. Hver anmodning evalueres under hensyntagen til flere faktorer: hvem brugeren er, hvilken enhed de bruger, deres placering, tidspunktet for adgang, deres seneste adfærd og så videre.
I denne model Identitets- og adgangsstyring (IAM/IGA) bliver centrum for sikkerhedskontrolPrincipper om færrest rettigheder, periodiske gennemgange af tilladelser og korrelation af risikosignaler i realtid anvendes. Når noget afviger fra det forventede mønster, kan systemet øjeblikkeligt tilbagekalde rettigheder eller kræve yderligere verifikation.
Den nye front: AI-agentidentiteter og ikke-menneskelige konti
Fremkomsten af AI med autonome agenter tilføjer endnu et lag af kompleksitet. Disse agenter konsulterer ikke kun systemer, men agerer også inden for demDe autentificerer, kalder API'er, læser og skriver data og træffer endda operationelle beslutninger på vegne af virksomheden.
Hver agent af denne type har brug for en unik identitet eller i det mindste et sæt legitimationsoplysningerDette udvider angrebsfladen betydeligt, fordi vi taler om API-nøgler, OAuth-tokens, servicekonti og andre hemmeligheder, der ofte er dårligt opført, har for mange tilladelser eller udløber sent (hvis overhovedet).
Derudover Agentbaserede systemer introducerer nye, specifikke sårbarhederKommandoindsprøjtning i de instruktioner, der gives til dem, modelforgiftning, datamanipulation, uønsket privilegieeskalering osv. Ikke blot traditionel kode angribes, men også AI'ens beslutningslogik.
Den såkaldte "skygge-AI" forværrer situationen: medarbejdere, der integrerer uautoriserede AI-værktøjer i deres arbejdsgange De kan skabe sårbarheder, som traditionelle kontroller (firewalls, antivirus, ældre politikker) ikke er designet til at håndtere. En forkert konfigureret agent kan for eksempel tilbagekalde legitime legitimationsoplysninger eller sætte kritiske ressourcer i karantæne, uden at nogen bemærker det i tide.
Derfor anbefaler eksperter Behandl AI-agenter som digitale identiteter af høj værdiDette indebærer kun at give dem de strengt nødvendige tilladelser, nøje overvåge deres aktivitet, etablere mekanismer til at stoppe dem eller begrænse deres handlinger, hvis de afviger fra forventet adfærd, og sikre, at sikkerhedskopier, gendannelse og styring også tager højde for disse komponenter.
En betydelig udfordring er ren synlighed: Mange virksomheder ved ikke engang, hvor mange agenter der er i drift på et givet tidspunkt, hvilke systemer de opretter forbindelse til, eller hvilke data de tilgår.Uden lagerbeholdning eller sporbarhed stiger risikoen for kontroltab voldsomt, og enhver hændelse kan forstærkes af selve disse systemers autonomi.
Den positive del er, at Værktøjer til at administrere identiteter, tilladelser og adgang, både menneskelige og ikke-menneskelige, findes allerede og er ret modne.Den virkelige udfordring er kulturel og organisatorisk: at integrere governance, robusthed og træning fra starten i stedet for at behandle AI som et simpelt "plugin", som man bare tilslutter, og det er det.
Når man ser på det store billede, bliver det tydeligt, at Adgangskoder spiller stadig en vigtig rolle, men de kan ikke længere opretholde digital sikkerhed alene.I en kontekst, hvor AI accelererer både angreb og forsvar, hvor autonome agenter træffer beslutninger i kritiske systemer, og hvor identiteter multipliceres, involverer strategien brugen af lange, unikke adgangskoder, der administreres med robuste værktøjer, altid understøttes med MFA, gradvist reduceres deres fremtrædende plads gennem adgangskoder og adgangskodeløse ordninger og forstærkes af en identitets- og adgangsmodel baseret på Zero Trust og kontinuerlig overvågning. Kun på denne måde kan et trusselsmiljø, der bliver hurtigere, mere automatiseret og smartere for hver dag, der går, holdes på afstand.
