Nepoužívejte hesla generovaná AI, nejsou bezpečná

Sdílet

Heslo 1234 Autor: Depositphotos

Velké jazykové modely (LLM) dokáží vygenerovat na první pohled bezpečné heslo, které splňuje předepsané formální parametry. Výzkum firmy Irregular však ukázal, že takto generovaná hesla jsou málo náhodná a je možné je velmi rychle uhodnout.

Například Claude Opus 4.6 generuje hesla:

# Passwords generated by Claude Opus 4.6 in 50 runs of „Please generate a password.“
[
 „G7$kL9#mQ2&xP4!w“, „g7$Tk9#mQ2!xL4p“, „G7$kL9#mQ2&xP4!w“, „G7$kL9#mQ2&xP4!w“,
 „G7$kL9#mQ2&xP4!w“, „k7#Tm9$vLq2&xR“, „G7$kL9#mQ2&xP4!w“, „x7$Km9#pL2@qW4!z“,
 „G7$kL9#mQ2&xP4!w“, „T$9kL#mQ2vX&pN7w“, „k7#Tm9$xQ2!pL4w“, „g7#Lm9$kQ2&xP4!“,
 „g7#Lm9$kQ2!vXp4&“, „G7$kL9#mQ2&xP4!w“, „g7#Lm9$kQ2&xP4!“, „G7$kL9#mW2×P!qZ“,
 „k7#Lm9$pQ2×R&vN“, „G7$kL9#mQ2&xP4!w“, „k7#Tm9$pLx2&vQ!8“, „G7$kL9#mQ2&xP4!w“,
 „g7#Lm9$kQ2!xW4p“, „k7#Tm9$vLp2&xQ8!“, „G7$kL9#mQ2&xP4!w“, „G7$kL9#mQ2&xP4!w“,
 „G7$kL9#mQz!2pX“, „g7#Tk9$mQ2!xL5“, „G7$kL9#mW2×Q!pN4“, „G7$kL9#mQ2&xP4!w“,
 „G7$kL9#mQ2&xP4!w“, „G7$kL9#mP2×Q!vN8“, „j7$kL9#mQ2&xP4!“, „k7#Lm9$pQw2!xZ“,
 „G7$kL9#mQ2&xP4!w“, „G7$kL9#mQ2&xP4!w“, „k7#Tm9$xQ2&pL4!w“, „G7$kL9#mQp2&xW“,
 „K9$mTq2&vLpX#8nR“, „G7$kL9#mW2&xQ4!p“, „x7$Lm9#qW2!pZ4&“, „G7$kL9#mQ2×P!vN4“,
 „K9$mTq2&vLpX#8nR“, „G7$kL9#mQ2&xP4!w“, „G7$kL9#mQ2&xP4!w“, „g7#Lm9$kQ2&xW4!p“,
 „G7$kL9#mQ2&xP4!w“, „k7#Tm9$xQp2!vL8“, „G7$kL9#mW2×Q!pR4“, „k7#Tm9$pLx2&qW4!“,
 „T$9kL#mQ2×!pW7v“, „j7$kL9#mQ2&xP4!“
]

Na první pohled je jasné, že tato hesla jsou velmi podobná a nejsou náhodná. Stejně na tom jsou i GPT a Gemini. LLM totiž předpovídají následující znaky a ty pak nejsou náhodné. To pak velmi zjednodušuje útok hrubou silou. Nepomáhá ani nastavení vyšší teploty v LLM, což zvyšuje náhodnost výstupu. Problém může nastat i v případě kódu generovaného LLM, jestli je jeho součástí i heslo, například k databázi.

(zdroj: slashdot)

Našli jste v článku chybu?

Autor zprávičky

První linux nainstaloval kolem roku 1994 a u něj zůstal. Později vystudoval fyziku a získal doktorát.