Vlákno názorů k článku
Nepoužívejte hesla generovaná AI, nejsou bezpečná od xyz - No tohle je krásný příklad na rozdíl mezi...

Kdyz mas domaci generator odstrihnuty od site, tak tam principielni rozdil je. Treba: kostky. Kostky jsou dobry lokalni generator hesel odstrihnuty od site ;)

To asi jo. Domácí kostky asi nebudou mít statisticky úplně pěkné rozložení, ale pro generování hesel by zrovna tohle nemělo vadit.

Takové práce ho poctivě offline vygenerovat... a pak to heslo jednou použiješ, a můžeš ho zahodit. :-) Pokud je generátor ze správce hesel, nebo nějaké knihovny, nedůvěryhodný, tak jak můžeš věřit jakémukoliv rozhraní, kde to heslo předáváš?

Ono samotná "síla hesla" je dost pochybný koncept. Silný může být spíš algoritmus ze kterého ty hesla padají. Ale z jednoho hesla se pozná velké kulové.

A druhá věc je, před čím ta síla hesla chrání, před čím ne a co naopak může zhoršit. Bez bezpečného úložiště jsou silná hesla spíš kontraproduktivní, protože se fakt blbě pamatují.

JSH: "Ale z jednoho hesla se pozná velké kulové." - ale houbeles. Kdyz je heslo 1 znak, tak z neho poznam hned ze je nahouby. A tak dale slovnikova hesla.

Pokud by se heslo generovalo z malých a velkých písmen a číslic a mělo délku až čtyřicet znaků, a útočník by přesně s tímto algoritmem počítal, bylo by jedno, že mi to náhodou vygenerovalo jednoznakové heslo. V praxi je ale potřeba počítat s tím, že útočník bude naivní a bude hesla zkoušet od nejjednodušších, takže praktický algoritmus je „použít silný algoritmus pro vytváření hesel a pak ověřit, že algoritmus náhodou nevytvořil heslo, které by mohlo být produktem slabého algoritmu“. Což se v praxi obvykle řeší tak, že algoritmus prostě negeneruje hesla o maximální délce n znaků, ale o přesné dílce n znaků. Čímž se sice množina možných hesel výrazně zmenší, zároveň s tím se ale vyloučí ta hesla generovaná slabými algoritmy.

Algoritmy na kontrolu síly hesla ověřují právě to, zda heslo nemůže být produktem slabého algoritmu. To, že by takové heslo mohlo být i produktem silného algoritmu, na to nic nemění, protože útočníci budu zkoušet právě ty produkty slabých algoritmů.

Akorát je hloupé, když jen naivní ten algoritmus na kontrolu síly hesel – a třeba za každou chybějící skupiny znaků strhává body. Takže 32znakové heslo z malých a velkých písmen a číslic označí za slabé, protože tam chybí speciální znak.

"Čímž se sice množina možných hesel výrazně zmenší, "
Ve skutečnosti se zmenší jen minimálně. Pokud mám dejmetomu 80 možných znaků na danou pozici, tak o jeden znak kratších hesel je 80x méně, o dva znaky kratších je 1600x méně atd.... Těch hesel, co vyloučím, je tak jen malý zlomek z celého prostoru.

Zmenšení o 1/50 nebo 1/80 považuju v tomto kontextu za výrazné zmenšení množiny. Není to něco nepodstatného, nad čím bych se neměl ani zamyslet. Ano, po zamyšlení zjistím, že jestli tam mám tak malou rezervu, že by mne mohlo ohrozit zmenšení o 1/50 nebo 1/80, velmi jsem podcenil rezervu.

JSH: "Na první pohled náhodná data padají i z úplně odpadních generátorů. A naopak v na první pohled podobných heslech může být stále dost náhody na to, aby byly ok." - obecne to plati, ano.
Ale z ChatGPT na primy dotaz na hesla vypadlo neco extremne podobneho tomu vypisu hesel ve zpravicce. A to by byla fakt neskutecna nahoda aby to vyslo zrovna takhle.
Si to prosimte sam vyzkousej at to vidis.

> Si to prosimte sam vyzkousej at to vidis.

Nemá cenu to zkoušet. Z pár hesel se stejně nic nepozná. Od oka nepoznáte vůbec nic. A ani nemáte jak oveřit, že ta líp vypadající hesla opravdu vypadla z toho pythoního kódu.

Heslům co vypadnou z ChatGPT se prostě nedá věřit i kdyby vůbec nevypadaly jako ty ze zprávičky. A tomu pythonímu kódu taky ne, pokud ho nezkontroluje někdo, kdo tomu rozumí.

Kecy.
Samozrejme ze nemuzu vynaset absolutni soudy, ale od oka poznam ze to rozlozeni neni rovnomerne s jistotou lepsi nez 95 %. Jak rikam - mohlo se stat, ze hesla z primeho dotazu na 50 hesel od ChatGPT byly vysledkem opravdu nahodneho generatoru cisel, ale s takovou uniformitou je ta pravdepodobnost extremne mala.

A jak overit ze to vypadlo z toho pythoniho kodu - tak to jsem jasne napsal vyse ze by to bylo komplikovane a jen za jistych podminek.

Nikde nepisu ze se tem heslum da verit. Brat hesla z online sluzby je samozrejme totalni nesmysl.

Prepadate falosnej iluzii. Od oka nepoznate absolutne nic. To ste fakt tak mimo?

Argumenty by nebyly? Zbytecne a nesmyslne kecy si odpust.

Argument je ze od oka sa neda spoznat ci je nieco nahodne. Na zaciatok skus zistit ako ludia vyhravali v rulete napriklad a potom skus nejake zaklady stochastiky.

Nemyslím si, lepšie by bolo veci pomenúvať správne.

To by bylo hezké, ale když z rádia denně slyším kvičet populárního kikota, že má kulky v revolveru (doufám že skřípnuté), ztrácím naději na zlepšení. A s AI to bude ještě horší.