AI ile Oluşturulan Şifreler Rastgele Değil: Neden 'Görünüşte' Rastgele Görünüyor?
AI ile Oluşturulan Şifreler Rastgele Değil: Neden 'Görünüşte' Rastgele Görünüyor?
Yapay zeka tabanlı şifre üreticileri, kullanıcıların güvenini kazanmak için karmaşık, rastgele gibi görünen karakter dizileri sunuyor. Ancak yeni bir araştırmaya göre, bu şifreler tamamen rastgele değil — sadece rastgele görünüyor. Bu durum, siber güvenlik alanındaki en temel varsayımlardan birini sarsıyor: 'AI şifre üretiyor, bu yüzden güvenli' inancı.
Neden AI Şifreleri 'Rastgele' Görünüyor?
AI modelleri, özellikle büyük dil modelleri (LLM'ler), milyonlarca şifre örneğiyle eğitildi. Bu verilerdeki örüntüleri öğrenerek, kullanıcıların tercih ettiği yapıları — örneğin, büyük harfle başlayan, sayı ve sembol içeren, 12 karakter uzunluğunda şifreler — taklit ediyor. Sonuç? Kullanıcılar, 'Harika, bu çok karmaşık!' diye düşünüyor ama aslında AI, geçmiş verilerdeki en sık kullanılan şifre yapılarını yeniden üretiyor. Bu, rastgelelik değil, istatistiksel taklit.
Örneğin, bir AI modeli 'Password123!' gibi yaygın şifrelerin yapısını öğrenir. Ardından, bu yapıyı hafifçe değiştirerek 'P@ssw0rd2024!' üretir. Bu şifre, bir insana rastgele gelir ama bir saldırganın brute-force veya dictionary saldırıları için çok daha kolay tahmin edilebilir hale gelir. Gerçek rastgelelik, hiçbir örüntüye sahip olmamaktır. AI ise, örüntüleri en iyi şekilde taklit eder — ama asla yok edemez.
Arka Planda Ne Çalışıyor?
AI şifre üreticileri, kullanıcıların 'güvenli' olduğunu düşündüğü şifrelerin nasıl oluşturulduğunu bilmeden kullanılıyor. Özellikle mobil uygulamalar, şifre yöneticileri ve hatta bazı bankacılık platformları, kullanıcıya 'Otomatik Şifre Oluştur' butonu sunuyor. Kullanıcı, bu butona tıkladığında, bir LLM (örneğin GPT-4, Claude, Gemini) arka planda çalışır ve 'karmaşık' bir şifre üretir.
Ancak bu modeller, şifre üretirken doğruluk yerine doğallık hedefler. Yani, şifre insanca görünmeli, okunaklı olmalı, yazım kurallarına uygun olmalı. Bu nedenle, AI şifreler genellikle şu yapıları içerir:
- Büyük harfle başlama (özellikle ilk karakter)
- Son karakterde sayı veya sembol
- İki veya üç karakter aralıklarla büyük harf ve sayı
- '!', '@', '#', '$' gibi sık kullanılan semboller
- 'pass', 'word', '123', 'abc' gibi kök kelimelerin varyasyonları
Bu yapılar, insanlar tarafından oluşturulan şifrelerdeki örüntüleri yansıtır. Yani AI, rastgelelik yerine insan psikolojisinin şifre alışkanlıklarını öğreniyor.
Siber Güvenlikteki Tehdit: Saldırganlar İçin Kolay Yol
Bu durum, siber güvenlik dünyasında korkutucu bir sonuç doğuruyor. Saldiranlar, AI şifrelerinin üretim algoritmalarını analiz ederek, bu şifrelerin olası yapılarını önceden hesaplayabiliyor. Bu, hedefli dictionary saldırıları için mükemmel bir veri kaynağı oluşturuyor.
Örneğin, bir saldırgan, bir bankanın AI şifre üreticisini kullanarak 10.000 farklı şifre üretip, bunların ortak örüntülerini çıkarabilir. Sonra bu örüntüleri kullanarak, binlerce kullanıcıya yönelik saldırılar yapabilir. Bu saldırılar, geleneksel brute-force saldırılarından çok daha verimli olur — çünkü saldırgan, 10^12 olasılık yerine sadece 10^6 olası yapıyı denemek zorunda kalır.
2025 yılında yapılan bir Stanford araştırmasına göre, AI tarafından üretilen şifrelerin %63'ü, 100 bin en yaygın şifre örüntüsüne uyuyordu. Bu oran, insanlar tarafından oluşturulan şifrelerin %48'lik oranından bile yüksek. Yani, AI'nın 'güvenli' şifre üretme iddiası, aslında daha hızlı ve daha kolay kırılabilir şifreler üretiyor.
Peki Ne Yapmalıyız?
Çözüm, AI'yı tamamen reddetmek değil — onu doğru şekilde kullanmaktır. Güvenli şifre üretimi için şu adımlar öneriliyor:
- AI şifre üreticilerini sadece taslak olarak kullanın. Oluşturulan şifreyi bir şifre yöneticisine (Bitwarden, 1Password) yapıştırın ve orada rastgeleleştirin.
- Doğrudan şifre yöneticilerinden şifre oluşturun. Bu araçlar, kriptografik rastgelelik (CSPRNG) kullanır — AI değil, matematiksel rastgelelik.
- AI üretimi şifreleri 2FA ile tamamlayın. Şifre kırılsa bile, ikinci faktör koruma sağlar.
- Şifre üreticilerinin arka plandaki algoritmasını sorgulayın. 'Rastgele mi?' diye sormak yerine, 'CSPRNG mi kullanıyor?' diye sorun.
Şifreler, dijital kimliğimizin anahtarlarıdır. AI'nın bu anahtarları 'görünüşte' güzel yapması, onları daha da değerli hale getirmez — tam tersine, onları daha da kırılgan hale getirir. Gerçek güvenlik, görünüşe değil, matematiğe dayanır.
Gelecekte, AI şifre üreticileri, sadece insanlara şifre önermekten ziyade, şifre güvenliğini nasıl ölçebileceğimizi öğretmeli. Çünkü en büyük tehdit, 'güvenli' olduğuna inandığımız şeyin aslında zayıf olmasıdır.
