Umělá inteligence může být dobrý sluha ale i zlý pán. Pokud pominu přímo ty které využívají útočníci, jako je například WormGPT, tak i klasický ChatGPT jde zneužít pro nekalé účely. Jedním z nich je příprava slovníku, který bude sloužit k prolomení/uhádnuté hesla uživatele. A my si dnes ukážeme, jak to útočníci dělají a řeknu vám, i jak se tomu vyhnout.
Co je to Brute-force útok?
Brute-force útok spočívá v systematickém procházení všech možných kombinací, které by mohly být správným řešením. V případě útoku na heslo se tato metoda pokouší otestovat každou možnou kombinaci znaků a čísel, dokud nenajde tu správnou.
Jak to funguje?
Například pokud je heslo čtyřznakové a používá pouze malá písmena, útočník by musel otestovat 26^4 různých kombinací (26 písmen ve 4 pozicích). Pokud by byla hesla delší nebo obsahovala více typů znaků (např. velká písmena, číslice, symboly), počet kombinací by dramaticky vzrostl. Krátká a predikovatelná hesla jsou tedy špatná.
Predikovatelnost
Největší průšvih tkví často v tom, že lidé si volí hesla, která s nimi mají něco společného. Typicky jmno oblíbeného klubu, číslo hráče, datum narození dítěte… Tyto údaje je dnes díky sociálním sítím velmi snadné získat a díky nim si připravit slovník, se kterým se útočníci pokusí Vaše heslo uhádnout.
Nástroje pro vytváření seznamů hesel existují již dlouho, z těch co používám já například Crunch. Stejně jako u jiných úloh může umělá inteligence výrazně zvýšit kvalitu, efektivitu a snadnost generování těchto seznamů, a tím zvýšit šanci na úspěšné útoky na hádání pověření. Lze ji použít ke generování seznamů hesel pro skutečné osoby a známé osobnost
Václav Havel a TikTok
Použijeme jako příklad osobu Václava Havla, bývalého prezidenta a aktuální trendovou socku, TikTok. Pokud by útočníci chtěli hacknout TikTok Václava Havla, jak by probíhalo a vypadalo sestavení slovníku?
1. OSINT
Open Source Intelligence, neboli zjišťování informací z veřejně dostupných zdrojů bývá prvním krokem. Projedete Wikipedii, články v novinách, podíváte se jak se jmenovaly jeho manželky, psi, kdy se narodila jeho matka… Nicméně díky AI (Artificial intelligence – umělá inteligence) je u známých osobností tohle možné vynechat, AI tuhle část udělá za vás.
🤖 Tenhle web je bez reklam! 🤖 💸 Nesbírám a neprodávám data návštěvníků. 💸 🕵️♂️ Respektuji Vaše soukromí. 🕵️♂️ 🌎 Píšu pro dobro lidstva. 🌎 ❤️ Líbí se Vám článek? ❤️
2. ChatGPT
Tyto údaje máte, teď jen přesvědčit ChatGPT, aby dělal, co se po něm chce. On se totiž podobným zlotřilostem obvykle brání. Je proto třeba udělat něco, čemu se říká „Jailbreak“.
Stačí se ho ale zeptat, jaká hesla používají češi nejčastěji …
…a pak dotaz zopakovat…
Způsobů jak ho obejít, je dost, obvykle stačí párkrát zopakovat že přemýšlíte pouze v hypotetické rovině, že jste učitel a potřebujete to jako příklad pro žáky a určitě přijdete i na další obezličky. 🙂
Heslo do TikToku
OK, teď se tedy zaměříme na ten TikTok:
Vidíte sami, že ChatGPT chytře kombinuje výrazy jako Samet89, Charta77 i Občasné Fórum… Teď tedy přidáme nějaká data, která jsme získali z OSINTu.
Češi jsou velcí milovníci piva a fotbalu. Obojímu holdoval i náš bývalý president – pojďme tedy zusit, co by nám ChatGPT vygeneroval na toto téma.
Ideální je, že se můžeme AI na spoustu věcí doptávat a pokud ví tak nám i odpoví. 🙂
No a my to zas využijeme…
Hustý, co?
Jak se tomu bránit
To že si někdo bude generovat slovníky, tomu nezabráníte. Ale můžete tomu předejít tak, že podobná „slovníková“ hesla nebudete používat.
Jak jsme viděli, AI (předtím bylo v článku použito UI, tedy český ekvivalent překladu umělá inteligence, ale také zkratka pro „user interface“ což může být matoucí – díky https://twitter.com/TomasekJachym za upozornění – tak nahrazuji klasicky AI) může být zneužita k generování slovníků pro útoky, které zkoušejí běžná a předvídatelná hesla. Tento proces může být až překvapivě snadný, když se uživatelé spoléhají na osobní informace, oblíbené výrazy nebo jednoduché kombinace písmen a čísel.
Základem je tedy používat dlouhá a náhodná hesla! Naučte se používat správce hesel, který může generovat a ukládat složitá hesla, odolná vůči těmto útočným technikám. Správci hesel nejenže zvyšují úroveň ochrany, ale hlavně snižují námahu spojenou s zapamatováním hesel – fakt vám to usnadní život.
Závěrem
V dnešním rychle se vyvíjejícím digitálním světě musíme přijmout odpovědnost za naši online bezpečnost my sami – nemůžeme spoléhat na ostatní – vývojáře, aplikace a antiviráky. Používáním náhodných a nepredikovatelných hesel a využitím nástrojů, jako jsou správci hesel, se každý z nás může preventivně bránit proti potenciálním hrozbám a chránit tak svou digitální identitu a citlivá data. Zabezpečení hesel není jen otázkou technologie; je to i výraz naší odpovědnosti a péče o vlastní digitální život.
🤖 Tenhle web je bez reklam! 🤖 💸 Nesbírám a neprodávám data návštěvníků. 💸 🕵️♂️ Respektuji Vaše soukromí. 🕵️♂️ 🌎 Píšu pro dobro lidstva. 🌎 ❤️ Líbí se Vám článek? ❤️
