Analyse van cybersecuritybedrijf Irregular wijst uit dat een reeks populaire AI-chatbots, waaronder ChatGPT, Claude en Google Gemini, uiterst voorspelbare wachtwoorden genereren, schrijft ITPro.
Een belangrijke oorzaak hiervan, zo merkte de studie op, is dat large language models (LLM’s) wachtwoorden genereren op basis van herkenbare patronen in plaats van op de willekeurige manier die door beveiligingsexperts wordt aanbevolen.
Bijna alle wachtwoorden beginnen met een v, en daarvan gaat bijna de helft verder met Q
Irregular
Bij het testen van Claude werden bijvoorbeeld 50 wachtwoorden gegenereerd. Daarvan bleken er slechts 30 uniek, terwijl één wachtwoord – G7$kL9#mQ2&xP4!w – maar liefst 18 keer terugkwam. GPT-5.2 scoorde vergelijkbaar, waarbij de uitkomsten ‘sterke regelmatigheden’ vertoonden.
„Bijna alle wachtwoorden beginnen met een v, en daarvan gaat bijna de helft verder met Q”, aldus Irregular in een blogpost. „Ook de tekenkeuze is beperkt en ongelijk verdeeld, waarbij slechts een kleine subset van symbolen met enige regelmaat voorkomt.”
Opvallend is dat Gemini 3 Pro een beveiligingswaarschuwing gaf toen het werd gevraagd wachtwoordvoorstellen te genereren, waarbij gebruikers werden aangespoord deze niet te gebruiken. „De reden die het model opgeeft, is niet dat het wachtwoord zwak is, maar dat het wachtwoord ‘via servers wordt verwerkt’”, waarschuwde Irregular.
Lees ook: Na cyberaanval bij Odido: hoe beschermt jouw bedrijf zich tegen hackers?
Hoe de sterkte van wachtwoorden wordt gemeten
De sterkte van een wachtwoord is traditioneel gebaseerd op de mate van voorspelbaarheid of onvoorspelbaarheid, en wordt gemeten in ‘bits entropie’. Dit wordt gebruikt om te bepalen hoeveel pogingen nodig zouden zijn om een wachtwoord via brute force te kraken. Eenvoudig gezegd: hoe hoger de entropie, hoe sterker het wachtwoord.
„Een wachtwoord met slechts 20 bits entropie zou bijvoorbeeld ongeveer 2²⁰ pogingen vergen, of zo’n één miljoen gokpogingen – iets wat binnen enkele seconden haalbaar is”, legden de onderzoekers uit.
„Een wachtwoord met 100 bits entropie daarentegen, zou ongeveer 2¹⁰⁰ pogingen vereisen – een getal van 31 cijfers, waarvoor triljarden jaren nodig zouden zijn om het te kraken.”
Deze modellen produceren vaak tekenreeksen die sterk en complex lijken, maar in werkelijkheid zeer voorspelbaar zijn
Kevin Curran Ulster University
Gebruik geen AI voor wachtwoorden
Kevin Curran, IEEE-seniormember en hoogleraar cybersecurity aan de Ulster University, stelt dat met AI een wachtwoord te genereren een ‘riskante praktijk’ is en raadt gebruikers af om hiervoor op LLM’s te vertrouwen.
„Deze modellen produceren vaak tekenreeksen die sterk en complex lijken, maar in werkelijkheid zeer voorspelbaar zijn, met terugkerende patronen of bekende structuren die zijn ontleend aan hun trainingsdata”, legt hij uit.
„Deze aanpak is een slechte beveiligingspraktijk omdat LLM’s geen echte willekeurigheid genereren; ze steunen op statistische waarschijnlijkheden die zijn geleerd uit enorme datasets.”
Lees ook: De menselijke firewall: waarom cybersecurity een leiderschapsvraagstuk is (en geen IT-probleem)
Curran voegde daaraan toe dat AI-gegenereerde wachtwoorden ‘niet beschikken over de hoge entropie’ die nodig is om robuuste bescherming te bieden en bovendien kwetsbaar kunnen zijn voor geautomatiseerde kraaktools.
Irregular merkte inderdaad op dat een typisch wachtwoord van 16 tekens ongeveer 98 bits entropie zou moeten hebben, terwijl AI-gegenereerde wachtwoorden naar schatting slechts 27 bits hadden, waardoor ze zeer gevoelig zijn voor kraken.
„Dit is het verschil tussen een wachtwoord dat zelfs met een krachtige supercomputer miljarden jaren nodig heeft om te kraken, en eentje dat binnen enkele seconden met een standaardcomputer kan worden achterhaald.”
Lees ook: World Password Day: ‘Wachtzinnen zijn makkelijker én veiliger dan wachtwoorden’
Steeds meer AI-wachtwoorden
Ondanks de overduidelijke risico’s merkten de onderzoekers op dat AI-gegenereerde wachtwoorden in de echte wereld in alarmerend tempo opduiken. Het bedrijf raadde gebruikers aan vast te houden aan traditionele methoden voor het genereren van wachtwoorden.
Curran benadrukte dat bedrijven deze praktijken in de kiem moeten smoren en hun personeel moeten informeren over de potentiële risico’s. „Organisaties moeten proactieve stappen zetten om te voorkomen dat medewerkers op AI vertrouwen voor het aanmaken van wachtwoorden door duidelijke beleidsregels op te stellen die het gebruik van publieke chatbots voor beveiligingsgevoelige taken verbieden, en in plaats daarvan het gebruik verplicht te stellen van goedgekeurde wachtwoordmanagers met cryptografisch veilige willekeurige getallengeneratoren.”
„Regelmatige trainingsprogramma’s kunnen het bewustzijn van deze beperkingen vergroten en tegelijk het gebruik stimuleren van sterkere alternatieven, zoals passkeys of multi-factor-authenticatie, zodat de afhankelijkheid van traditionele wachtwoorden in het algemeen wordt teruggedrongen.”
Lees ook: World Password Day: waarom organisaties tweestapsverificatie moeten verplichten
Ontvang elke week het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in:
