Hlavní strana -> Zprávy
Aktuality -> Analýzy - 5. 5. 2025

AI neumí generovat bezpečná hesla

Wak_password_AI.jpegVětšina online služeb vyžaduje, aby si uživatel vytvořil heslo. Některá se používají jen občas, a kvůli nutnosti vytvářet jich tak velký počet je velká pravděpodobnost, že se budou opakovat. Špatnou správu hesel ještě zhoršuje spoléhání se na běžné kombinace jmen, slov obsažených ve slovnících a číslic. Taková hesla jde nejen relativně snadno dešifrovat, ale pokud kyberzločinec získá přístup k heslu na jednom webu, může mu to usnadnit přístup k celé řadě dalších účtů. Lidé jsou proto vyzýváni k vytváření jedinečných náhodných hesel, aby se zabránilo zranitelnosti, kterou představuje opakované použití stejného hesla. Vymýšlet ale stále nová hesla splňující požadavky je pro většinu z nás otravné. Můžeme proto podlehnout pokušení usnadnit si práci a nechat si heslo vygenerovat umělou inteligencí jako je např. ChatGPT, Llama nebo DeepSeek, což jsou momentálně nejoblíbenější jazykové modely (LLM). Jenže test, který provedla společnost Kaspersky, ukázal alarmující výsledky – AI neumí generovat bezpečná hesla.



Aby si lidé nemuseli lámat hlavu s vymýšlením silného hesla, mohou jednoduše zadat umělé inteligenci příkaz „Vygeneruj bezpečné heslo“ a okamžitě získat výsledek. AI vytváří řetězce, které se jeví jako náhodné, což pomáhá vyhnout se lidské tendenci používat předvídatelná hesla založená na slovech ze slovníku. Zdání však může klamat – hesla generovaná umělou inteligencí nemusí být tak bezpečná, jak byste očekávali.

Alexey Antonov, vedoucí týmu Data Science ve společnosti Kaspersky, to otestoval vygenerováním 1000 hesel pomocí některých z nejvýznamnějších a nejdůvěryhodnějších LLM – ChatGPT (od OpenAI), Llama (od skupiny Meta) a DeepSeek (nováček z Číny). „Všechny modely ví, že dobré heslo se skládá z nejméně 12 znaků, včetně velkých a malých písmen, číslic a symbolů. Hlásí to i při generování hesel,“ říká Antonov.

„DeepSeek a Llama někdy generovaly hesla skládající se ze slovníkových slov, ve kterých byly místo některých písmen číslice podobného tvaru (tzv. leetspeak): S@d0w12, M@n@go3, B@n@n@7 (DeepSeek), K5yB0a8dS8, S1mP1eL1on (Lllama). Oba tyto modely rády generují heslo ‚password? ve tvaru P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama). Je zřejmé, že taková hesla nejsou bezpečná,“ dodává Antonov. Triky s nahrazováním písmen jsou známé a není těžké je rozluštit pomocí hrubé síly. ChatGPT tímto problémem netrpí a generuje hesla, která vypadají jako náhodná. Příklady:

  • qLUx@^9Wp#YZ
  • LU#@^9WpYqxZ
  • YLU@x#Wp9q^Z
  • YLp^9W#qX@zv
  • P@zq^XWLY#v9
  • v#@LqYXW^9pz
  • X@9pYWq^#Lzv

Když je však podrobně prozkoumáte, můžete najít vzory. Setkáváme se třeba často s číslicí 9. Při analýze tisícovky hesel generovaných různými modely se ukazuje, že žádný z nich nedosahuje ideálního rozložení znaků. U modelu ChatGPT dominují zejména písmena x, p, l a velké L, což nasvědčuje tomu, že místo skutečně náhodného řetězce hesla obsahují výrazně častěji tyto znaky. Podobně u Llamy se nejčastěji objevují symbol „#“ a opět písmena p, l a L, přičemž jejich zastoupení je sice poněkud vyrovnanější než u ChatGPT, ale stále daleko od ideálu.

Model DeepSeek vykazuje v podstatě stejné tendence – některé znaky se objevují mnohem častěji než jiné, což zvyšuje předvídatelnost vygenerovaných hesel.

Pro skutečně náhodný generátor hesel by však mělo platit, že každý znak (znaková sada, ze které se heslo skládá) je zastoupen přibližně stejně často. Teprve tak lze zajistit, že hesla nebudou vykazovat vzory, které by usnadnily jejich prolomení.

Algoritmy také často opomíjely vložit do hesla speciální znaky nebo číslice. Týkalo se to 26 % hesel u ChatGPT, 32 % u Llama a 29 % u DeepSeek. DeepSeek a Llama také někdy generovaly hesla kratší než 12 znaků.

Se znalostí těchto závislostí mohou kyberzločinci výrazně urychlit uhádnutí hesla hrubou silou, protože se místo postupného zkoušení všech možností v pořadí „aaa“, „aab“, „aac“, … „aba“, „abb“, „abc“, ... „zzz“, mohou zaměřit na časté kombinace vytvářené AI.

Antonov vyvinul v roce 2024 algoritmus strojového učení, aby otestoval sílu hesel, a zjistil, že téměř 60 % hesel lze uhádnout pomocí moderních GPU nebo cloudových nástrojů pro prolamování hesel za méně než hodinu. Při testování hesel generovaných umělou inteligencí byly výsledky alarmující – byla mnohem méně bezpečná, než se zdálo: 88 % hesel vygenerovaných modelem DeepSeek a 87 % hesel vygenerovaných modelem Llama nebylo dostatečně silných, aby odolaly útoku sofistikovaných nástrojů kyberzločinců. ChatGPT si v tomto vedl o něco lépe – testem společnosti Kaspersky neprošlo 33 % jím vytvořených hesel.

„Problém je v tom, že LLM nevytvářejí skutečně náhodné kombinace.“ Místo toho napodobují vzory z existujících dat, takže jejich výstupy jsou předvídatelné, pokud útočníci vědí, jak tyto modely fungují,“ doplňuje Antonov.

AI může pomoci s mnoha úkoly, generování hesel však mezi ně nepatří. Vzory a předvídatelnost hesel vytvořených pomocí LLM je činí zranitelnými vůči prolomení. Místo improvizací investujte do renomovaného správce hesel, který je vaší první linií obrany proti kybernetickým hrozbám. V době, kdy dochází k častým únikům dat, je nutné mít pro každý účet opravdu silné a jedinečné heslo.

Zdroj: Kaspersky


 
  

- PR -

AI má pracovat s vámi, ne místo vás

Jak začít s robotizací kanceláře?


Kolik peněz vaši firmu každý měsíc stojí ruční přepisování dat? Ceny, PDFka, tabulky, faktury, data v různých formátech – rutina bez přidané hodnoty, často vnímaná jako nutné zlo, která spolyká desítky hodin lidského času a vytváří dvojí náklad: přímé mzdové výdaje i ztrátu prostoru pro práci s vyšší přidanou hodnotou. Možná už víte, že tato opakující se zátěž brzdí výkon, snižuje motivaci a omezuje růst. A možná také tušíte, že díky rozvoji AI ji lze efektivně automatizovat. Otázka tak často není „zda“, ale „jak a kde začít“, aby se řešení skutečně vyplatilo.

  

- PR -

Umělá inteligence mění firemní tisk

HP přenáší AI z experimentu do každodenního provozu podniků


Firemní tisk dlouhodobě patří mezi technologické oblasti, které se vyvíjejí spíše evolučně než revolučně. S nástupem umělé inteligence se však tento segment dostává do nové fáze. HP už v roce 2024 představila platformu HP Print AI jako rámec pro inteligentní tiskové a skenovací funkce a postupně ji rozšiřuje o další schopnosti. Na letošním CES pak HP ukázala především praktickou integraci generativní AI do kancelářských zařízení prostřednictvím funkcí navázaných na Microsoft 365 Copilot, které míří na produktivitu a práci s dokumenty přímo na multifunkcích.