Пароль остается одним из главных способов защиты аккаунтов. Но чтобы обезопасить себя от злоумышленников, необходимо придумывать сложные и уникальные комбинации, а также регулярно их обновлять. Чтобы упростить этот процесс, некоторые пользователи прибегают к помощи нейросетей. Эксперты напоминают о том, что использование ИИ в задачах, связанных с безопасностью, сопряжено с рядом рисков. В частности, данные, которые вводит человек, могут обрабатываться сервисом и потенциально становиться доступными третьим лицам.
- Придумать действительно надежный пароль сложно. Кроме того, необходимость постоянно его обновлять и придумывать новые комбинации нередко вызывают у сотрудников раздражение. И здесь на помощь приходят технологии - создать сложную и уникальную комбинацию можно за пару секунд при помощи генераторов паролей, а также специальных менеджеров паролей. ИИ-сервисы тоже могут послужить хорошим вспомогательным инструментом, однако при их использовании необходимо проявлять осторожность. В первую очередь, при создании запроса важно убедиться, что вы не сообщаете модели конфиденциальных корпоративных данных. Например, не стоит указывать название реальных компаний, а также уточнять, для каких сервисов вам необходим пароль. Кроме того, чтобы снизить риск, не стоит использовать комбинацию, которую предложила нейросеть, в исходном виде - лучше попросить ее придумать несколько вариантов, а потом составить из них свою комбинацию, - сообщил старший менеджер по продукту Kaspersky Password Manager для бизнеса Алексей Тодираш.
По словам основателя РадексТех Артура Керимова, сервисов становится все больше, люди постоянно регистрируются на новых платформах и для каждой нужен отдельный пароль. Использовать один и тот же везде небезопасно: если произойдет утечка данных с одного сервиса, злоумышленники смогут получить доступ и к другим аккаунтам. Поэтому человек начинает искать способы быстро создавать новые сложные пароли, в том числе с помощью искусственного интеллекта.
Руководитель группы компаний Андрей Пожаров считает, что большинство организаций использует ИИ для генерации корпоративных паролей из-за современных требований к их длине, уникальности и постоянному обновлению.
- Быстрый способ генерации с помощью LLM (большой языковой модели) или чат-ботов небезопасен: эти ИИ-инструменты не генерируют случайную последовательность, напротив, машина обучена предугадывать каждый последующий токен по уже существующим данным. Тесты показывают, что большинство строчек при массовой генерации дублируются и подвержены взлому менее чем за час, - поясняет Пожаров. - Также возрастает риск утечки конфиденциальных данных. Используя в заданиях для нейросети название компаний, внутренние данные или финансовые показатели, сотрудник неумышленно сообщает информацию третьим лицам. В Сети регулярно появляются сообщения о технических сбоях, когда ИИ-приложения подвергаются хакерской атаке и весь объем данных, в том числе ключи и пароли, уходит в руки злоумышленникам.
По мнению основателя WMT AI и WMT Group Игоря Никитина, желание делегировать генерацию паролей нейросети логично, потому что не так просто создавать надежные и уникальные комбинации вручную. ИИ же справляется с этой задачей быстро и выдает сложные комбинации на заданных условиях. Но назвать это трендом пока нельзя, потому что это скорее один из признаков того, что люди все активнее включают ИИ в ежедневные операции, в том числе там, где раньше думали сами.
Руководитель отдела по информационной безопасности Axiom JDK Дмитрий Карасовский отмечает, что, несмотря на кажущуюся сложность, пароли, сгенерированные LLM, фундаментально небезопасны. Нейросети не генерируют случайные данные, они предсказывают наиболее вероятный следующий символ на основе своего обучения. Это приводит к появлению повторяющихся последовательностей в комбинациях. Он добавил, что пароли, созданные нейросетью, могут обладать низкой энтропией (это показатель, характеризующий их непредсказуемость). В качестве примера комбинации с очень низкой энтропией он привел часто использующийся пароль 12345678, который очень легко угадать.
- Когда человек просит публичный чат-бот придумать пароль, он его своими руками отправляет на чужой сервер, - предупреждает ИИ-инженер, управляющий партнер компании "Зинин, Штурбин и партнеры" Тим Зинин. - Диалог с моделью остается у провайдера, а значит, пароль уже наполовину принадлежит кому-то еще. Хуже, когда в том же окне человек уточняет контекст, например "пароль для входа в 1С нашей бухгалтерии". Тогда он выдает сразу два секрета: сам пароль и то, к чему он открывает доступ.
- Поручать нейросети создание пароля для рабочего аккаунта - крайне плохая идея, так делать нельзя, - считает директор по технологической экспертизе аналитического центра Университета "Синергия" Артем Аксянов. - Для корпоративного доступа сегодня разумнее использовать менеджер паролей в сочетании с многофакторной аутентификацией, а там, где это возможно, ключи доступа, но никак не прямую генерацию пароля в чат-боте.
Как добавляет Артур Керимов, существуют более эффективные способы защиты аккаунтов, чем сложный пароль. В первую очередь это двухфакторная аутентификация, когда помимо пароля требуется дополнительный код, который приходит на телефон или электронную почту. Еще один современный вариант - passkey, когда доступ к аккаунту привязывается к устройству пользователя и подтверждается, например, с помощью Face ID или пароля самого устройства.
А аналитик SOC Security Vision Иван Костенко отмечает еще один тренд, пришедший из мира криптовалюты, - использование в качестве пароля seed-фраз (последовательность случайных слов). Внешне они кажутся надежными из-за длины, но их безопасность держится только на случайном выборе каждого слова. А злоумышленник, зная статистику модели, может сузить перебор до нескольких вероятных цепочек, и длина тут уже не спасет.
- Надежнее всего - довериться встроенным генераторам менеджеров паролей. Если все же решите прибегнуть к нейросети, берите не готовый ответ, а несколько предложенных вариантов и смешивайте их между собой, - добавил Костенко. - К тому же иностранные сервисы (ChatGPT, Claude, Gemini) отправляют данные за рубеж, и в России уже обсуждают ограничения на их использование. Разумнее ориентироваться на отечественные модели - недавний закон Госдумы как раз стимулирует их разработку и технологический суверенитет. Но суть неизменна: нейросеть хороша для творчества, а за надежность паролей отвечает только криптография.
Алексей Неживой, руководитель оперативного штаба Независимого профсоюза "Новый труд":
- Использование искусственного интеллекта для создания корпоративных паролей имеет как преимущества, так и существенные риски. Нейросети анализируют большие объемы данных и могут создавать комбинации, исключая некоторые предсказуемые паттерны. Например, сервисы вроде Aliviy или AiBro позволяют задавать длину пароля, включать прописные и строчные буквы, цифры, специальные символы. Некоторые ИИ-генераторы создают пароли, сочетая вымышленные слова с числами и символами, что делает их более запоминающимися, но при этом надежными.
Однако риски использования ИИ в этой сфере весьма серьезны: прежде всего, это недостаточная криптографическая случайность. В 2025 году тесты Kaspersky показали: 88 процентов паролей DeepSeek, 87 процентов паролей Llama и 33 процента паролей ChatGPT - недостаточно надежны, причем в ряде случаев отсутствовали спецсимволы или цифры, несмотря на явные инструкции их включить.
Даже если нейросеть сгенерировала пароль, нет никакой гарантии, что он ранее не встречался в базах утечек. Для корпоративных нужд все же надежнее применять специализированные криптографически стойкие генераторы паролей на основе CSPRNG или корпоративные менеджеры паролей, обеспечивающие централизованное хранение и высокий уровень защиты. Важно внедрять строгие политики парольной гигиены - регулярную смену, уникальность для каждого сервиса и запрет на повторное использование старых паролей.
Сергей Толкачев, профессор Финансового университета при Правительстве РФ:
- Очень сложные, сгенерированные ИИ-пароли зачастую почти невозможно запомнить. Это способно привести к тому, что пользователи будут сохранять их в небезопасных местах (например, в текстовом файле без шифрования). Стоит помнить еще и о том, что мошенники могут создавать поддельные сервисы для генерации паролей, чтобы украсть учетные данные пользователей.
Для обычного пользователя, который хочет обеспечить разумный уровень безопасности, предпочтительнее использовать проверенные менеджеры паролей. Они генерируют сложные, случайные пароли, безопасно хранят их в зашифрованном виде, автоматически подставляют при входе на сайты, что снижает риск фишинга, помогают управлять уникальными паролями для каждого сервиса. Делегирование нейросети, если это правильно реализовано, может быть хорошим вариантом, если вы используете специализированный, надежный и проверенный ИИ-инструмент (или функцию в менеджере паролей), который гарантирует конфиденциальность, а также строго соблюдаете правила, то есть не вводите личную информацию.