Aby si lidé nemuseli lámat hlavu s vymýšlením silného hesla, mohou jednoduše zadat umělé inteligenci příkaz „Vygeneruj bezpečné heslo“ a okamžitě získat výsledek. AI vytváří řetězce, které se jeví jako náhodné, což pomáhá vyhnout se lidské tendenci používat předvídatelná hesla založená na slovech ze slovníku. Zdání však může klamat – hesla generovaná umělou inteligencí nemusí být tak bezpečná, jak byste očekávali.

Alexey Antonov, vedoucí týmu Data Science ve společnosti Kaspersky, to otestoval vygenerováním 1000 hesel pomocí některých z nejvýznamnějších a nejdůvěryhodnějších LLM – ChatGPT (od OpenAI), Llama (od skupiny Meta) a DeepSeek (nováček z Číny). „Všechny modely ví, že dobré heslo se skládá z nejméně 12 znaků, včetně velkých a malých písmen, číslic a symbolů. Hlásí to i při generování hesel,“ říká Antonov.

„DeepSeek a Llama někdy generovaly hesla skládající se ze slovníkových slov, ve kterých byly místo některých písmen číslice podobného tvaru (tzv. leetspeak): S@d0w12, M@n@go3, B@n@n@7 (DeepSeek), K5yB0a8dS8, S1mP1eL1on (Lllama). Oba tyto modely rády generují heslo ‚password? ve tvaru P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama). Je zřejmé, že taková hesla nejsou bezpečná,“ dodává Antonov. Triky s nahrazováním písmen jsou známé a není těžké je rozluštit pomocí hrubé síly. ChatGPT tímto problémem netrpí a generuje hesla, která vypadají jako náhodná. Příklady:

• qLUx@^9Wp#YZ
• LU#@^9WpYqxZ
• YLU@x#Wp9q^Z
• YLp^9W#qX@zv
• P@zq^XWLY#v9
• v#@LqYXW^9pz
• X@9pYWq^#Lzv

Když je však podrobně prozkoumáte, můžete najít vzory. Setkáváme se třeba často s číslicí 9. Při analýze tisícovky hesel generovaných různými modely se ukazuje, že žádný z nich nedosahuje ideálního rozložení znaků. U modelu ChatGPT dominují zejména písmena x, p, l a velké L, což nasvědčuje tomu, že místo skutečně náhodného řetězce hesla obsahují výrazně častěji tyto znaky. Podobně u Llamy se nejčastěji objevují symbol „#“ a opět písmena p, l a L, přičemž jejich zastoupení je sice poněkud vyrovnanější než u ChatGPT, ale stále daleko od ideálu.

Model DeepSeek vykazuje v podstatě stejné tendence – některé znaky se objevují mnohem častěji než jiné, což zvyšuje předvídatelnost vygenerovaných hesel.

Pro skutečně náhodný generátor hesel by však mělo platit, že každý znak (znaková sada, ze které se heslo skládá) je zastoupen přibližně stejně často. Teprve tak lze zajistit, že hesla nebudou vykazovat vzory, které by usnadnily jejich prolomení.

Algoritmy také často opomíjely vložit do hesla speciální znaky nebo číslice. Týkalo se to 26 % hesel u ChatGPT, 32 % u Llama a 29 % u DeepSeek. DeepSeek a Llama také někdy generovaly hesla kratší než 12 znaků.

Se znalostí těchto závislostí mohou kyberzločinci výrazně urychlit uhádnutí hesla hrubou silou, protože se místo postupného zkoušení všech možností v pořadí „aaa“, „aab“, „aac“, … „aba“, „abb“, „abc“, ... „zzz“, mohou zaměřit na časté kombinace vytvářené AI.

Antonov vyvinul v roce 2024 algoritmus strojového učení, aby otestoval sílu hesel, a zjistil, že téměř 60 % hesel lze uhádnout pomocí moderních GPU nebo cloudových nástrojů pro prolamování hesel za méně než hodinu. Při testování hesel generovaných umělou inteligencí byly výsledky alarmující – byla mnohem méně bezpečná, než se zdálo: 88 % hesel vygenerovaných modelem DeepSeek a 87 % hesel vygenerovaných modelem Llama nebylo dostatečně silných, aby odolaly útoku sofistikovaných nástrojů kyberzločinců. ChatGPT si v tomto vedl o něco lépe – testem společnosti Kaspersky neprošlo 33 % jím vytvořených hesel.

„Problém je v tom, že LLM nevytvářejí skutečně náhodné kombinace.“ Místo toho napodobují vzory z existujících dat, takže jejich výstupy jsou předvídatelné, pokud útočníci vědí, jak tyto modely fungují,“ doplňuje Antonov.

AI může pomoci s mnoha úkoly, generování hesel však mezi ně nepatří. Vzory a předvídatelnost hesel vytvořených pomocí LLM je činí zranitelnými vůči prolomení. Místo improvizací investujte do renomovaného správce hesel, který je vaší první linií obrany proti kybernetickým hrozbám. V době, kdy dochází k častým únikům dat, je nutné mít pro každý účet opravdu silné a jedinečné heslo.

Zdroj: Kaspersky