یک لحظه تصور کنید عجله دارید، وارد چتبات محبوبتان میشوید و میگویید: «یه رمز خیلی قوی بساز.» چند ثانیه بعد، یک رشته شلوغ از حرف و عدد و کاراکتر ویژه تحویل میگیرید و با خیال راحت همان را برای ایمیل یا شبکه اجتماعیتان میگذارید. شیک به نظر میرسد، نه؟ مشکل دقیقاً همینجاست: ظاهرِ پیچیده الزاماً به معنی امن بودن نیست.
سالهاست توصیههای پایه امنیت حسابهای آنلاین تکرار میشوند: برای هر حساب یک رمز جدا، تکرارنکردن پسوردها، و فعالکردن احراز هویت دومرحلهای. اینها ستونهای اصلیاند. اما یک نکته کمتر گفته میشود: روش ساختن پسورد، به اندازه «قوی بودن» آن مهم است. و اینجا همان نقطهای است که استفاده از مدلهای زبانی مثل ChatGPT، Claude یا Gemini میتواند شما را بیدلیل وارد زمین مینگذاریشده کند.
پژوهشهایی که از سوی تیمهای امنیتی مثل Malwarebytes Labs بازتاب پیدا کرده، نشان میدهد پسوردهای تولیدشده توسط چتباتها آنقدرها هم «تصادفی» نیستند. محققان با یک سری درخواست مشابه، خروجی چند مدل معروف را بررسی کردند و به نتیجهای رسیدند که برای امنیت شخصی خبر خوبی نیست: بسیاری از رمزها قابل پیشبینیاند، الگو دارند و حتی گاهی تکرار میشوند. در یک نمونه، Claude از ۵۰ درخواست فقط ۲۳ رمز منحصربهفرد ساخت و یک رمز را ۱۰ بار تکرار کرد. گزارشهایی هم از نتایج مشابه در مدلهای دیگر منتشر شده؛ حتی بعضی سیستمها خودشان هشدار دادهاند این رمزها برای حسابهای «حساس» مناسب نیست.
این تناقض آدم را گول میزند: از بیرون، پسوردهای AI معمولاً ترکیبی از حروف کوچک و بزرگ، عدد و نماد هستند و خیلی از ابزارهای سنجش قدرت رمز هم ممکن است به آنها چراغ سبز بدهند. اما در امنیت، چیزی که فرق را رقم میزند «غیرقابل حدس بودن» است؛ همان چیزی که با مفهومی به نام آنتروپی یا میزان غیرقابلپیشبینیبودن اندازهگیری میشود. در بررسیها، آنتروپی برخی رمزهای تولیدشده توسط مدلهای زبانی به اعدادی مثل ۲۰ تا ۲۷ بیت گزارش شده، در حالی که ارزیابیهای استاندارد برای رمزهای واقعاً قوی معمولاً اعداد بسیار بالاتری را هدف میگیرند. لازم نیست متخصص رمزنگاری باشید تا بفهمید این فاصله یعنی ریسک.
حالا چرا این موضوع خطرناک است؟ چون مهاجمها دقیقاً عاشق «الگو» هستند. اگر یک چتبات در پاسخ به درخواستهای مشابه، خروجیهای تکراری یا نزدیک به هم بدهد، ساختن یک بانک پسوردهای رایج از همان خروجیها کار سختی نیست. کافی است افراد زیادی همان مسیر ساده را بروند—«بساز یه پسورد قوی»—و بعد بخشی از کاربران ناخواسته وارد یک باشگاه مشترک شوند: باشگاه کسانی که رمزهایشان شبیه هم است. در حملههای حدس رمز یا credential stuffing، داشتن چنین بانکهایی میتواند شانس نفوذ را بالا ببرد، مخصوصاً وقتی کاربر همان رمز را برای چند سرویس هم تکرار کرده باشد.
شاید بپرسید مگر یک مدل «خیلی پیشرفته» چرا نتواند رمز تصادفی بسازد؟ چون اساس کار مدلهای زبانی با «تصادفیسازی امن» فرق دارد. LLMها برای پیشبینی توکن بعدی آموزش میبینند؛ یعنی تلاش میکنند محتملترین ادامه را بسازند. این یعنی تمایل به تولید چیزهایی که «معنادارتر» یا «محتملتر» هستند، نه چیزهایی که از نظر آماری کاملاً تصادفی و غیرقابل پیشبینیاند. اگر در دادههای آموزشیشان الگوهای مشابه وجود داشته باشد، احتمال نشتی همان الگوها در خروجی هم بیشتر میشود. خلاصهاش این است: این ابزارها برای نوشتن، خلاصهکردن و پاسخدادن عالیاند؛ برای ساختن رمزِ واقعاً تصادفی ساخته نشدهاند.
در مقابل، پسورد منیجرها فلسفه دیگری دارند. آنها معمولاً با مولدهای تصادفیسازی امن و فرآیندهای رمزنگاری، رشتههایی تولید میکنند که متکی به «حدسِ محتمل» نیست. خروجیشان قرار نیست خوشقیافه باشد؛ قرار است غیرقابل پیشبینی باشد. به همین دلیل هم احتمال اینکه شخص دیگری دقیقاً همان رمز را داشته باشد (یا در یک بانک رمزهای قابل حدس ذخیره شده باشد) به شکل معناداری پایین میآید. اگر قرار است از ابزار کمک بگیرید، ابزار درست همینجاست: یک پسورد منیجر معتبر با مولد رمز داخلی.
با این حال، ساختن یک رمز خوب لزوماً به نرمافزار هم وابسته نیست. یک روش انسانی و مؤثر وجود دارد که سالهاست توصیه میشود: چند کلمه نامعمول و بیربط را کنار هم بچینید، کمی در حروف بزرگ و کوچک بازی کنید، یکی دو نماد اضافه کنید و تمام. نه قرار است قابل حدس باشد، نه شبیه بقیه رمزها. فقط یک قانون طلایی را فراموش نکنید: برای هر حساب، یک نسخه کاملاً جدا. همین.
و اگر میخواهید یک پله جلوتر بروید، کلید عبور یا Passkey را هر جا امکانش هست جدی بگیرید. ایدهاش ساده و جذاب است: دستگاه شما تبدیل به کلید ورود میشود و بهجای تایپ کردن رمز، با اثر انگشت، تشخیص چهره یا PIN وارد میشوید. یعنی چیزی برای لو رفتن یا حدس زدن وجود ندارد. بدون دستگاه مورد اعتماد، نفوذکننده عملاً دستش بسته است.
البته هنوز همه سرویسها از Passkey پشتیبانی نمیکنند و تا مدتها هم رمز عبور از زندگی ما حذف نمیشود. اما همین که بخشی از حسابهای مهمتان را به Passkey منتقل کنید، هم امنیت بالاتر میرود هم دردسرهای مدیریت رمز کمتر میشود. فقط یک کار را نکنید: از چتباتی که برای «پیشبینی» ساخته شده، انتظار «تصادفیِ امن» نداشته باشید.
