Voor iedereen die vreest hun ChatGPT En Codex accounts kunnen het doelwit zijn van aanvallers, Open AI heeft donderdag aangekondigd dat het een optioneel nieuw niveau van accountbescherming toevoegt dat een extra beveiligingslaag toevoegt. Deze functie, genaamd Advanced Account Security, dwingt strikte toegangscontroles af die aanvallen op accountovername erg moeilijk zouden maken.
Dergelijke maatregelen zijn geen nieuw idee op het gebied van accountbeveiliging. Googlenheeft bijvoorbeeld zijn Advanced Protection-accountbeveiligingsniveau aangeboden bijna een decennium. Maar nu reguliere AI-diensten zich snel over de hele wereld verspreiden, is er een dringende behoefte aan een reeks basisbeschermingen. OpenAI zegt dat de lancering daar deel van uitmaakt bredere cyberbeveiligingsstrategie eerder deze maand aangekondigd.
Met dank aan OpenAi
“Mensen wenden zich tot AI voor zeer persoonlijke vragen en werk waarbij steeds meer op het spel staat”, zei het bedrijf donderdag in een blogpost. “In de loop van de tijd kan een ChatGPT-account een gevoelige persoonlijke en professionele context bevatten en centraal staan in verbonden tools en workflows. Voor sommige mensen, zoals journalisten, gekozen functionarissen, politieke dissidenten, onderzoekers en mensen die bijzonder veiligheidsbewust zijn, is de inzet zelfs nog groter.”
Mensen die Geavanceerde accountbeveiliging inschakelen, kunnen niet langer gewone wachtwoorden voor hun accounts gebruiken. In plaats daarvan moeten ze er twee toevoegen fysieke beveiligingssleutels of toegangscodes om het risico op succesvolle phishing-aanvallen aanzienlijk te verminderen. De functie elimineert ook e-mail- en sms-berichten en routes voor accountherstel. In plaats daarvan moeten gebruikers herstelsleutels, back-upsleutels of fysieke beveiligingssleutels gebruiken. OpenAI zegt dat het samenwerkt met Yubico om goedkopere YubiKey-bundels aan te bieden aan gebruikers van Advanced Account Security.
Cruciaal is dat wanneer een gebruiker Advanced Account Security inschakelt, hij of zij niet langer hulp kan zoeken bij het ondersteuningsteam van OpenAI voor accountherstel, omdat ondersteuning niet langer toegang of controle heeft over de herstelopties. Op deze manier kunnen aanvallers niet proberen in te breken in accounts door zich te richten op ondersteuningsportals met social engineering-aanvallen.
Advanced Account Security dwingt ook kortere inlogperioden en sessies af voordat een gebruiker opnieuw moet inloggen op een apparaat. En het produceert waarschuwingen wanneer iemand inlogt op het vergrendelde account, verwijzend naar het dashboard voor het bekijken van actieve ChatGPT- en Codex-sessies. Hoewel OpenAI elke gebruiker de optie biedt om zich af te melden voor het gebruik van zijn ChatGPT-gesprekken voor modeltraining, is deze uitsluiting standaard ingeschakeld voor gebruikers van Advanced Account Security.
Leden van OpenAI’s Trusted Access for Cyber-programma, dat cybersecurityprofessionals, onderzoekers en anderen geavanceerde toegang geeft tot nieuwe modellen, zullen vanaf 1 juni Advanced Account Security moeten inschakelen of een alternatief attest moeten indienen dat ze phishing-bestendige authenticatie implementeren via een single sign-on-mechanisme voor bedrijven.
