(问题) 随着各类生成式工具加速进入办公与生活,一些用户开始用它们生成账号密码、密钥短语等敏感信息,认为“字符够复杂、长度够长”就意味着安全。研究机构Irregular近日公布的测试结果提醒,这种做法可能带来新的隐患:多款大模型生成的“随机密码”并不是真正的随机序列,存在可重复、可预测的倾向,不同会话中也可能出现相同或高度相似的结构。测试显示,对某模型进行50次“随机密码”生成时,多次出现完全相同的结果;对另一些模型的同类测试中,生成结果呈现明显的字符偏好,以及固定的开头、结尾规律。例如,部分结果频繁以某个特定字母开头或结尾;对数概率分析也显示,特定字符位置的可预测性显著偏高。这意味着,外观“复杂”的密码,可能仍落在相对狭窄的组合空间内。
口令安全的关键不在“看上去多复杂”,而在是否具备可验证的随机性,以及可控的管理流程;生成式模型擅长组织语言与提供建议,但不应被当作安全随机源。对个人与机构而言,守住口令生成、存储、使用三道关口,配合多因素认证与流程化审计,才能在效率与安全之间取得更稳妥的平衡。