Исследование: сгенерированные ИИ пароли выглядят сложными, но взламываются за несколько часов

[ZmeY]

сгенерить пароль (случайную строку) без ИИ уже никак?

[pda0]

Не современно.

Пакет is-odd-ai, реализующий проверку чётности числа через обращение к языковой модели.

[K0styan]

Гспд. Нафига сжигать кучу ресурсов на LLM, когда простой генератор псевдослучайных чисел - общедоступная функция, могущая работать даже там, где Doom не запустили?

Это даже если действительно не брать в расчёт то, что генератор наиболее вероятной последовательности токенов - в целом не лучший выбор для паролей.

[dumbaq]

Эммм лично я считаю что ИИ это инструмент и надо им пользоваться иначе останетесь на обочине истории. Любой профессионал не имеет права в современном обществе оставаться луддитом и должен усиливать себя и свои навыки помощью актуальных инструментов коим искуственный интеллект и является

aka. "Мне-нужно-сжечь-угля-на-1гв-чтобы-сделать-то-что-человеческий-мозг-может-за-пачку-орехов-и-кофе"

[vdudouyt]

Осталось разобраться, зачем нужен ИИ конкретно для генерации паролей ) Ну кроме как если совсем уж сходить с ума на хайпе.

[severgun]

Чтобы получить такой же пароль как у таких же пользователей ИИ которые бояться оказаться на обочине.

[khulster]

нет, это aka - "в топу это вашу таблицу умножения. 5 на 5 на калькуляторе посчитаю".

Любым инструментом нужно пользоваться с умом а не бездумно тыкать им во все подряд.

[dumbaq]

Судя по минусам не каждый выкупил, что это /s

Даже в карму прилетело. Или всё это от вайбкодеров?

[0x22]

Попытка оправдаться также не увенчалась успехом.

[dumbaq]

Было бы зачем оправдываться, ибо по одному только «ака» понятно над чем иронизирую. Ну а если это и правда минусы от нейросетевых сектантов, то не обидно даже. Их борьба.

[Diaboliko]

Добавьте хоть про LLM в заголовок... А то кликбейт.

[RKrop]

А если добавить LLM в заголовок, то это уже хайп!

[yahooyaks]

Нейросеть небось ищет пароль, с которым максимально ассоциируется понятие надежность и выдает пароль из какого нибудь мема.

[EmCreatore]

Самое замечательное что с ИИ такие эксперименты можно делать за 5 мин, пока чистишь зубы.

Вот что ответил Claude Opus 4.6

Но я вижу проблемы в своих паролях:

1. ❌ Цифра 0 вообще не используется — алфавит фактически 67, а не 68

2. ❌ Некоторые буквы (e, i, o) почти не встречаются — распределение неравномерное

3. ❌ Спецсимволы всегда ровно 4 на пароль — предсказуемая структура

4. ❌ Паттерны в позициях — спецсимволы тяготеют к определённым местам

5. ❌ Прописные буквы встречаются чаще строчных — перекос

Реалистичная оценка:

Из-за неравномерного распределения и паттернов, энтропия Шеннона будет примерно ~5.5–5.8 бит/символ, что даёт:

H_total ≈ 88–93 бита вместо теоретических 97.4

Меня устраивает.
Еще удобство в том что с ИИ структуру паролей можно кастомизировать
Типа такие

1. koShka-Oblako-42-zamOk

2. ryBa-molNiya-Lev-noch7

3. Veter-knIga-soLnce-19

4. gorOd-Ptica-rEka-sNeg3

5. Kamen-zvEzda-dOzhd-81

6. More-deRevo-Ogon-lUna5

7. Pesok-grOza-Trava-zIma

8. holOd-Muzyka-sVet-Dom2

9. Rybak-Oblako-klYuch-77

10. Zamok-tiGr-Volna-Les49

Рекомендации:

• 4 слова (~52 бита) — достаточно для большинства сайтов

[AndreyDmitriev]

энтропия 16-символьных паролей, сгенерированных с помощью LLM, составляет около 27 и 20 бит соответственно. Для действительно случайного пароля метод статистики символов ожидает энтропию в 98 бит, в то время как метод, использующий логарифмические вероятности самого LLM, ожидает энтропию в 120 бит.

Любопытно, как можно получить 120 бит энтропии из 16 символьной строки в предположении, что используются только печатабельные ASCII символы, там вроде больше 105 не получить. Вот если взять юникод, то можно и сильно больше, но не везде такие символы можно ввести.

[paperwork]

При этом ни в одном из 50 паролей не было повторяющихся символов, и это указывает на то, что они не были по-настоящему случайными.

Ну вот, есть же в выдаче LLM хоть что-то детерминированное )

[izuck3n]

Людям и программистам не следует полагаться на стиральную машину для готовки пельменей. Пельмени, приготовленные с помощью прямого ввода в стиральную машину, разваливаются и сырые, и это нельзя исправить с помощью выбора других настроек режима стирки: стиральные машины оптимизированы для получения предсказуемо чистых одежд, что несовместимо с готовкой вкусных пельменей.

[paperwork]

Учитывая, что языковые модели по своему определению должны, казалось бы, вполне нативно решать задачи с манипуляцией строками и символами, аналогия не совсем подходящая, имхо... (минус не мой, если что)

[dumbaq]

Честно говоря звучит заманчиво. Теперь хочется проверить.

[Spyman]

Использовать машину изначально спроектированную для предсказывания наиболее вероятного, среднего по больнице, ответа, для генерации пароля - это прямо смешно. Примерно как маскироваться под спец агента на основе маскировки спец агентов из фильмов.

Но учитывая что многие сейчас будут использовать llm для поиска ответов на любые вопросы, проблема даже может быть актуальна(

[a3or]

А ещё нейронка с лёгкостью втыкает в такие пароли длинное тире, вместо минуса/дефиса.

Юзер недавно сгенерил себе и не мог понять почему кописаста пароля работает, а напечатанный руками пароль нет >_< такой бредик генерить пароль нейронкой

[Axelaredz]

Опять эти люди, которые не умеют правильно пользоваться инструментом)

Им нужно было всего лишь спросить, как создать самый сложный пароль, который трудно взломать и с помощью чего генерировать)