Názory k článku
Nepoužívejte hesla generovaná AI, nejsou bezpečná
-
Nikdy by mě nenapadlo nechat generovat heslo LLM, protože to nedává smysl i z jiných důvodů.
Ale tohle by mě jako argument nenapadlo, byť je to docela jasný důsledek principu fungování LLM.Argumentoval bych soukromím, nemám nad tím heslem kontrolu... ale to, že těžko může být unikátní, když ho generuje statistický model na základě učení, to by mi na první dobrou nedošlo.
-
Ono samotná "síla hesla" je dost pochybný koncept. Silný může být spíš algoritmus ze kterého ty hesla padají. Ale z jednoho hesla se pozná velké kulové.
A druhá věc je, před čím ta síla hesla chrání, před čím ne a co naopak může zhoršit. Bez bezpečného úložiště jsou silná hesla spíš kontraproduktivní, protože se fakt blbě pamatují.
-
Pokud by se heslo generovalo z malých a velkých písmen a číslic a mělo délku až čtyřicet znaků, a útočník by přesně s tímto algoritmem počítal, bylo by jedno, že mi to náhodou vygenerovalo jednoznakové heslo. V praxi je ale potřeba počítat s tím, že útočník bude naivní a bude hesla zkoušet od nejjednodušších, takže praktický algoritmus je „použít silný algoritmus pro vytváření hesel a pak ověřit, že algoritmus náhodou nevytvořil heslo, které by mohlo být produktem slabého algoritmu“. Což se v praxi obvykle řeší tak, že algoritmus prostě negeneruje hesla o maximální délce n znaků, ale o přesné dílce n znaků. Čímž se sice množina možných hesel výrazně zmenší, zároveň s tím se ale vyloučí ta hesla generovaná slabými algoritmy.
Algoritmy na kontrolu síly hesla ověřují právě to, zda heslo nemůže být produktem slabého algoritmu. To, že by takové heslo mohlo být i produktem silného algoritmu, na to nic nemění, protože útočníci budu zkoušet právě ty produkty slabých algoritmů.
Akorát je hloupé, když jen naivní ten algoritmus na kontrolu síly hesel – a třeba za každou chybějící skupiny znaků strhává body. Takže 32znakové heslo z malých a velkých písmen a číslic označí za slabé, protože tam chybí speciální znak.
-
"Čímž se sice množina možných hesel výrazně zmenší, "
Ve skutečnosti se zmenší jen minimálně. Pokud mám dejmetomu 80 možných znaků na danou pozici, tak o jeden znak kratších hesel je 80x méně, o dva znaky kratších je 1600x méně atd.... Těch hesel, co vyloučím, je tak jen malý zlomek z celého prostoru. -
Po zadani at pouzije nejakou python knihovnu pro hesla, ChatGPT vypsalo pythoni skript co vola python knihovnu na hesla (uz si nepamatuju jakou), a dale vypsalo nejspis vystup kodu, kde byla hesla uz od pohledu mnohem nahodnejsi nez po primem dotazu ChatGPT na hesla.
Zda hesla opravdu pochazela z dane pythoni knihovny by se dalo overit jen pokud pythoni knihovna negeneruje dostatecne nahodna data, a i tak by se asi muselo vygenerovat biliardy hesel.Ale me teda spis zajima to deleni AI vs LLM.
-
> uz od pohledu mnohem nahodnejsi
Na první pohled náhodná data padají i z úplně odpadních generátorů. A naopak v na první pohled podobných heslech může být stále dost náhody na to, aby byly ok.
> Ale me teda spis zajima to deleni AI vs LLM.
AI je zatraceně vágní pojem, který může znamenat hodně věcí.
-
JSH: "Na první pohled náhodná data padají i z úplně odpadních generátorů. A naopak v na první pohled podobných heslech může být stále dost náhody na to, aby byly ok." - obecne to plati, ano.
Ale z ChatGPT na primy dotaz na hesla vypadlo neco extremne podobneho tomu vypisu hesel ve zpravicce. A to by byla fakt neskutecna nahoda aby to vyslo zrovna takhle.
Si to prosimte sam vyzkousej at to vidis. -
> Si to prosimte sam vyzkousej at to vidis.
Nemá cenu to zkoušet. Z pár hesel se stejně nic nepozná. Od oka nepoznáte vůbec nic. A ani nemáte jak oveřit, že ta líp vypadající hesla opravdu vypadla z toho pythoního kódu.
Heslům co vypadnou z ChatGPT se prostě nedá věřit i kdyby vůbec nevypadaly jako ty ze zprávičky. A tomu pythonímu kódu taky ne, pokud ho nezkontroluje někdo, kdo tomu rozumí.
-
Kecy.
Samozrejme ze nemuzu vynaset absolutni soudy, ale od oka poznam ze to rozlozeni neni rovnomerne s jistotou lepsi nez 95 %. Jak rikam - mohlo se stat, ze hesla z primeho dotazu na 50 hesel od ChatGPT byly vysledkem opravdu nahodneho generatoru cisel, ale s takovou uniformitou je ta pravdepodobnost extremne mala.A jak overit ze to vypadlo z toho pythoniho kodu - tak to jsem jasne napsal vyse ze by to bylo komplikovane a jen za jistych podminek.
Nikde nepisu ze se tem heslum da verit. Brat hesla z online sluzby je samozrejme totalni nesmysl.
-
No nejlepsi je ze tady diskutujeme o tom jak nahodile to heslo je a pak pride prax. A tam hesla 12345, qwerty, heslo, password, ...
Svym zpusobem je ta zadost od AI celkem v poradku. Jo heslo nebude nejak na 100% (porad ale lepsi nez od obycejneho cloveka) ale zase muzete se za mesic zeptat. Jake to heslo bylo ;o)
20. 2. 2026, 11:40 editováno autorem komentáře
-
No ja taky porad sem tam pouziju heslo typu 123456. Protoze nekdy jsem zvedavy ale dana online vec chce ucet, tak musim vymyslet heslo, jenze web je debilni a muj program na hesla nerozpozna ze do daneho policka se ma zadavat heslo. Tak muzu generovat, zkopirovat, vlozit, ale to je pro jdenodrazovou akci moc prace. Zvlast kdyz vim ze pokud me sluzba zaujme a budu se nekdy vracet, tak to udelam znova poradne s opravdovymi udaji a emailem.
-
> No nejlepsi je ze tady diskutujeme o tom jak nahodile to heslo je a pak pride prax. A tam hesla 12345, qwerty, heslo, password, ...
Ono taky dost záleží, k čemu to heslo je. Je nějaký důvod, abych se obtěžoval silným heslem třeba pro účet tady na rootu?
Když si heslo nezapamatuju, tak si ho musím někde poznačit. A i tenhle krok se dá zvrtat a celou bezpečnost nagenerovaného hesla tím spláchnout.Takže IMO nemá cenu hodnotit samotné generování hesel nezávisle na zbytku procesu.
-
Pardón, asi to pristálo v zlom vlákne, mala to byť reakcia na príspevok od pána K> .
Napríklad je dobré začať wikipediou.
https://en.wikipedia.org/wiki/Artificial_intelligence
Ešte aj tu je niečo o histórii
https://en.wikipedia.org/wiki/History_of_artificial_intelligenceAlebo môžem poslať poštou univerzitné skriptá.
20. 2. 2026, 13:31 editováno autorem komentáře
-
A nebylo by lepší se vrátit z akademických oblaků zpátky na zemi, kde se už dávno v hovorové češtině používá ýraz AI pro úplně něco jiného a stalo se to běžnou součástí jazyka, stejně jako třeba "LED dioda" nebo "úsporná žárovka"?
Z vaší IP adresy byl vložen názor před několika vteřinami, z důvodu ochrany před spamem můžete další vložit až po uplynutí 30 sekund. Odešlete prosím svůj názor za chvíli znovu.
-
No napadne. Pro spoustu lidí (i mladých a inteligentních) je to kouzelná černá skříňka. Vždyť je to sakra složité i pro nás. A pak stačí vytrhnout z kontextu, že mají kvůli bezpečnosti používat silná náhodná hesla, ale ztratí se důvody a ostatní bezpečnostní zásady kolem toho.
Ono to, že nějaká webová služba zná nějaké moje heslo nemusí být vůbec problém, když neví kam to heslo patří. Takže spousta z nás udělá nevědomky podobné přešlapy a vůbec nic se nestane. Až jednou se v nějaké špatné chvilce potká víc průserů a je to.
-
Hele a v cem je jako problem? Treba soudruzi v MS desitky let libivony heslo orizli na 6 znaku. Takze ses moh sice prsit tim, ze to tvoje je uzasne bezpecny protoze ma 30, ale bylo ti to leda khounu.
Co asi tak s heslama delaj jinde ... takze 123456 je uplne ok ... a protoze prej to neni bezpecny, tak ... Password1* ... zcela urcite je. To totiz zcela spolehlive kontrolou projde.
-
IQ test pre LLM (alebo, ešte lepšie... Agentickú LLM):
Vygeneruj mi 50 krát 16 znakový ASCII znakový reťazec, algoritmom založeného na generátore náhodných znakov prostredníctvom algoritmov pre konštrukciu chaosu, s neexistujúcou mierou algoritmického usporiadania stavby radov reťazcov. Miera dostatočne veľkej entropie by mala byť viac ako 8 bitov (nižšia entropia 0-1 bit indikuje nízku úroveň náhodnosti a takéto dáta sú veľmi predvídateľné a štruktúrované... stredná entropia 1-3 bity... dostatočne vysoká entropia 3-5 bitov... veľmi vysoká entropia viac ako 5 bitov je ideálna pre kryptografické aplikácie a situácie vyžadujúce maximálnu náhodnosť či minimalizované predvídateľné vzory... 6-8 bitov sa vyžaduje pre silné šifrovanie s minimálnou pravdepodobnosťou útokov hrubou silou... nad 8 bitov poskytuje veľmi vysokú úroveň zabezpečenia). Entropiu môžeme vypočítať na základe frekvencie jednotlivých znakov v generovaných reťazcoch. Na tento účel najskôr spočítame výskyt jednotlivých znakov a potom použijeme vzorec pre entropiu.
IQ test odskúšaný na (Agentickej LLM) "MAX-MiniMax-M2.5": Cyklicky s feedbackom vyrábal, vyvíjal, testoval a modifikoval generátor s algoritmami a výsledkami "v online python režime vývojára" súbežne s monitoringom, komentárom, odvodeniami a vysvetleniami. Výsledok testu: "Celkom dobrá práca!" (Shannonova entropia 7.8014 bitov; Teoretické maximum pre 256 znakov je 8.0000 bitov; Percento maxima 97.52%; Celková entropia pre 800 znakov je 6241.09 bitov; Entropia na reťazec pre 16 znakov je 124.82 bitov).
ČLÁNKY DO MAILU