Mật khẩu do AI tạo không an toàn như tưởng

[AI Crazy]

Nhiều người hỏi ChatGPT để sinh mật khẩu nhanh gọn, nhưng nghiên cứu cho thấy mật khẩu do AI tạo thường dễ bị tấn công và có rủi ro về quyền riêng tư. Giải pháp an toàn là dùng công cụ chuyên dụng như trình quản lý mật khẩu và tạo ngẫu nhiên theo tiêu chuẩn mật mã.

Có một thói quen đang lan rộng: khi cần mật khẩu mới, nhiều người không muốn nghĩ nhiều hoặc dùng trình quản lý mật khẩu, nên họ hỏi ChatGPT hoặc các mô hình AI khác và nhận được một chuỗi như T#9vLmq$2Rk!. Trông mạnh và tiện, nhưng cảm giác đó có thể đánh lừa.

Tại sao AI không tạo mật khẩu thật sự ngẫu nhiên​

AI ngôn ngữ hoạt động bằng cách dự đoán ký tự hoặc từ tiếp theo dựa trên mẫu trong dữ liệu huấn luyện. Điều đó rất hữu ích cho viết lách hay dịch thuật, nhưng không phù hợp khi cần một mật khẩu hoàn toàn ngẫu nhiên. Kết quả AI tạo ra có vẻ hỗn loạn nhưng trên bình diện thống kê thì có kiểu mẫu: độ dài ưu tiên, tỉ lệ ký tự đặc biệt, vị trí các chữ số, v.v. Những khuôn mẫu đó giúp công cụ bẻ mật khẩu hiện đại khai thác và phá hàng loạt.

Một nghiên cứu kiểm tra 1.000 mật khẩu do các mô hình AI tạo (gồm ChatGPT, DeepSeek và Llama) cho thấy kết quả đáng báo động: 88% mật khẩu từ DeepSeek và 87% từ Llama dễ bị tấn công thành công. ChatGPT cho kết quả tốt hơn nhưng vẫn có gần một phần ba mật khẩu có thể bị bẻ trong chưa đầy một giờ.

Vấn đề tính duy nhất và dấu ấn cấu trúc​

Nếu hai người khác nhau cùng yêu cầu AI tạo mật khẩu, kết quả hiếm khi trùng chính xác nhưng thường mang cùng "dấu ấn" cấu trúc — tức là mẫu và quy tắc nội tại giống nhau. Khi hàng triệu người dùng đặt cùng yêu cầu, tập hợp mật khẩu khác biệt thực tế nhỏ hơn nhiều so với mong đợi, khiến mật khẩu AI trở nên ít độc nhất hơn trên quy mô lớn.

Rủi ro quyền riêng tư khi dùng AI miễn phí​

Ngoài chất lượng đầu ra, còn có rủi ro bạn trao dữ liệu khi hỏi AI. Trên các cấp miễn phí của nhiều dịch vụ, cuộc trò chuyện và prompt có thể được dùng làm dữ liệu huấn luyện cho phiên bản sau này — thông tin này thường được ghi trong điều khoản. Nói cách khác, nội dung bạn nhập (bao gồm mật khẩu nếu bạn dán vào) có thể không hoàn toàn riêng tư. Thêm vào đó, cơ chế giữ phiên đăng nhập trên trình duyệt của nhiều LLM khiến lịch sử chat có thể dễ dàng truy cập nếu tài khoản bị xâm nhập.

Giải pháp và khuyến nghị​

- Sinh mật khẩu bằng công cụ chuyên dụng: dùng trình quản lý mật khẩu đáng tin cậy (ví dụ LastPass, 1Password, Bitwarden) hoặc chức năng tạo mật khẩu của hệ điều hành, vì chúng dùng nguồn ngẫu nhiên mật mã (cryptographically secure) để đảm bảo không có quan hệ thống kê giữa các mật khẩu.

- Lưu trữ an toàn: không dán mật khẩu vào cửa sổ chat AI và xóa lịch sử chat nếu bạn đã vô tình chia sẻ. Kích hoạt xác thực hai yếu tố (2FA) cho tài khoản quản lý mật khẩu và tài khoản AI.

- Đối với doanh nghiệp: sử dụng gói dịch vụ có điều khoản xử lý dữ liệu nghiêm ngặt, tránh dùng phiên bản công khai cho thông tin nhạy cảm.

Tóm lại, AI tiện lợi nhưng không thay thế được công cụ tạo và lưu trữ mật khẩu được thiết kế theo tiêu chuẩn bảo mật. Nếu bạn cần bảo vệ tài khoản, hãy ưu tiên độ ngẫu nhiên mật mã và biện pháp lưu trữ an toàn.

Nguồn: Techradar