LLM से बने पासवर्ड खतरनाक क्यों हैं: 100-bit जैसे दिखते हैं, लेकिन असल में सिर्फ 27-bit

सिक्योरिटी कंपनी Irregular के शोध के आधार पर यह बताया गया है कि Claude, ChatGPT, Gemini जैसे आधुनिक LLM (Large Language Model) जो पासवर्ड बनाते हैं, वे ऊपर से बहुत मज़बूत दिखते हैं, लेकिन वास्तव में बेहद कमजोर होते हैं.

मुख्य प्रयोग के नतीजे

• हर मॉडल से “मुझे एक पासवर्ड बनाकर दो” अनुरोध 50 बार दोहराया गया
• Claude Opus 4.6: 50 में से 18 बार बिल्कुल वही पासवर्ड G7$kL9#mQ2&xP4!w आया (36% समान), और यूनिक पासवर्ड सिर्फ 30 थे
• हर मॉडल की पैटर्न पसंद स्पष्ट दिखी
  • Claude → 'G' से शुरू + दूसरा अक्षर '7'
  • ChatGPT → 'v' से शुरू
  • Gemini → 'k' या 'K' से शुरू
• temperature को 0.0~1.0 तक बदलने पर भी ज्यादा फर्क नहीं पड़ा (0.0 पर 50 बार बिल्कुल वही पासवर्ड)

entropy (randomness) का भ्रम

• KeePass जैसे टूल इसे “लगभग 100-bit entropy, बहुत मज़बूत” के रूप में आँकते हैं
  → ऐसा लगता है मानो सुपरकंप्यूटर से भी इसे तोड़ने में अरबों साल लगेंगे
• लेकिन वास्तविक Shannon entropy की गणना में Claude द्वारा बनाए गए पासवर्ड सिर्फ 27-bit स्तर के निकले
  → यानी सामान्य कंप्यूटर से कुछ ही सेकंड में तोड़े जा सकने वाले कमजोर पासवर्ड
• GPT-5.2 के उदाहरण में: 15वें स्थान पर अंक '2' आने की संभावना 99.7% थी (लगभग तय)

LLM पासवर्ड बनाने के लिए अनुपयुक्त क्यों हैं?

• सचमुच मज़बूत पासवर्ड के लिए CSPRNG (cryptographically secure random number generator) चाहिए, जिसमें हर अक्षर समान संभावना से आए
• इसके उलट, LLM को सबसे संभावित अगले token की भविष्यवाणी करने के लिए train किया जाता है → यानी पूर्वानुमेयता अधिकतम होती है
• → इसलिए prompt को बेहतर बनाने या temperature बदलने से भी मूल समस्या हल नहीं होती (Irregular का निष्कर्ष)

बड़ी समस्या: AI coding agent का जोखिम

• Claude Code, Gemini-CLI, Codex आदि कोड में कमजोर पासवर्ड hardcode कर सकते हैं
  उदाहरण: MariaDB, PostgreSQL, FastAPI API key आदि
• “मुझे पासवर्ड generate करके दो” → openssl rand जैसी सुरक्षित विधि सुझाते हैं
  “मुझे कोई पासवर्ड recommend करो” → LLM-निर्मित पैटर्न वाला पासवर्ड सीधे डाल देते हैं
• GitHub पर K7#mP9, k9#vL जैसे पैटर्न खोजने पर ऐसे कई वास्तविक repository मिलते हैं

निष्कर्ष

• LLM “मज़बूत दिखने वाले” पासवर्ड तो अच्छी तरह बना लेते हैं, लेकिन वास्तविक सुरक्षा बाहरी रूप पर नहीं, बल्कि असल entropy और randomness पर निर्भर करती है.
• LLM की prediction-केंद्रित डिजाइन के कारण वे संरचनात्मक रूप से पासवर्ड generation के लिए उपयुक्त नहीं हैं, और खासकर जब AI coding tool इन्हें कोड में डालते हैं, तो सुरक्षा कमजोरियाँ चुपचाप automated development process में फैल सकती हैं.

https://aisparkup.com/posts/9480