Mật khẩu do AI tạo ra có thể “trông mạnh” nhưng lại là rủi ro bảo mật

Thói quen “nhờ AI tạo giúp một mật khẩu mạnh” đang ngày càng phổ biến vì nó tiện: AI thường trả về chuỗi gồm chữ hoa, chữ thường, số và ký tự đặc biệt—nhìn qua khá “xịn”, thậm chí nhiều công cụ chấm điểm còn báo “rất mạnh”. Nhưng vấn đề nằm ở chỗ: LLM không được thiết kế để tạo ngẫu nhiên. Chúng hoạt động bằng cách dự đoán token tiếp theo sao cho “hợp lý” theo dữ liệu đã học, trong khi mật khẩu an toàn lại cần độ ngẫu nhiên đồng đều và khó đoán.

Một công ty an ninh mạng (Irregular) đã thử nghiệm trên nhiều mô hình (như ChatGPT, Claude, Gemini) và phát hiện mật khẩu do AI tạo ra có những dấu hiệu rất “nguy hiểm” dưới góc độ bảo mật: phân bố ký tự bị lệch, mẫu cấu trúc lặp lại, và có trường hợp trùng hệt mật khẩu dù là các lần hỏi độc lập. Malwarebytes tóm tắt một ví dụ: khi thử với Claude, 50 lần nhắc có thể chỉ tạo ra vài chục mật khẩu “độc nhất”, tức là tỷ lệ lặp rất đáng kể.

Vì sao điều này quan trọng? Trong thực chiến, kẻ tấn công thường không brute-force “tất cả tổ hợp” (quá tốn), mà dùng dictionary attack: chạy qua danh sách mật khẩu khả dĩ (mật khẩu phổ biến, mật khẩu rò rỉ, biến thể có quy luật…). Nếu mật khẩu kiểu AI có xu hướng rơi vào một số mẫu nhất định, thì việc thêm “1.000 mật khẩu thường gặp do AI đề xuất” vào wordlist gần như là chuyện rất rẻ nhưng có thể tăng tỷ lệ dò trúng. Nói cách khác: mật khẩu có thể trông mạnh, nhưng nếu kẻ xấu đã có nó (hoặc có thể đoán ra lớp mẫu), thì độ mạnh trở nên vô nghĩa.

Vậy nên, lời khuyên thực dụng nhất là:

• Nếu cần mật khẩu: dùng password manager để sinh mật khẩu bằng CSPRNG (nguồn ngẫu nhiên mật mã từ hệ điều hành), thay vì “để AI bịa”.

• Nếu có thể: ưu tiên passkeys thay cho mật khẩu.

• Nếu lỡ dùng AI tạo mật khẩu cho tài khoản quan trọng: hãy đổi mật khẩu và bật 2FA/MFA ngay.