Utiliser l'intelligence artificielle (IA) pour générer vos mots de passe est une mauvaise idée. Cela risque de fournir ce mot de passe à un criminel qui pourra alors l'utiliser dans le cadre d'une attaque par dictionnaire, c'est-à-dire lorsqu'un pirate parcourt une liste préétablie de mots de passe potentiels (mots, phrases, modèles) à l'aide d'outils automatisés jusqu'à ce que l'un d'entre eux fonctionne, au lieu d'essayer toutes les combinaisons possibles.
La société de cybersécurité IA Irregular a testé ChatGPT, Claude et Gemini et a constaté que les mots de passe qu'ils génèrent sont « hautement prévisibles » et ne sont pas vraiment aléatoires. Lorsqu'ils ont testé Claude, 50 invites n'ont produit que 23 mots de passe uniques. Une chaîne est apparue 10 fois, tandis que beaucoup d'autres partageaient la même structure.
Cela pourrait poser problème.
Traditionnellement, les pirates créent ou téléchargent des listes de mots composées de mots de passe courants, de fuites réelles et de variantes structurées (mots plus chiffres et symboles) à utiliser dans des attaques par dictionnaire. Il ne faut pratiquement aucun effort pour ajouter un millier de mots de passe couramment fournis par les chatbots IA.
Les chatbots IA sont formés pour fournir des réponses basées sur ce qu'ils ont appris. Ils sont doués pour prédire ce qui va se passer ensuite en se basant sur ce qu'ils ont déjà, mais pas pour inventer quelque chose de complètement nouveau.
Comme l'ont dit les chercheurs :
« Les LLM fonctionnent en prédisant le token suivant le plus probable, ce qui est exactement le contraire de ce qu'exige la génération de mots de passe sécurisés : un caractère aléatoire uniforme et imprévisible. »
Dans le passé, nous avons expliqué pourquoi les ordinateurs ne sont pas très doués pour générer des nombres aléatoires. Les gestionnaires de mots de passe contournent ce problème en utilisant des générateurs de nombres aléatoires cryptographiques dédiés qui intègrent l'entropie du monde réel, au lieu de la génération de texte basée sur des modèles que l'on trouve dans les LLM.
En d'autres termes, un bon gestionnaire de mots de passe n'« invente » pas votre mot de passe comme le ferait une IA. Il demande au système d'exploitation des bits aléatoires cryptographiques et les transforme directement en caractères, de sorte qu'il n'y a pas de modèle caché que les pirates pourraient découvrir.
Un site Web ou une plateforme où vous soumettez ces mots de passe peut vous dire qu'ils sont forts, mais le même raisonnement de base qui explique pourquoi vous ne devriez pas réutiliser vos mots de passe s'applique ici aussi. À quoi sert un mot de passe fort si les cybercriminels l'ont déjà ?
Comme toujours, nous préférons les clés d'accès aux mots de passe, mais nous sommes conscients que ce n'est pas toujours possible. Si vous devez utiliser un mot de passe, ne laissez pas une IA en créer un pour vous. Ce n'est tout simplement pas sûr. Et si vous l'avez déjà fait, pensez à le changer et à ajouter une authentification multifactorielle (2FA) pour sécuriser davantage votre compte.
Nous ne nous contentons pas de faire des rapports sur la protection de la vie privée, nous vous offrons la possibilité de l'utiliser.
Les risques liés Privacy ne devraient jamais dépasser le titre d'un article. Préservez votre vie privée en ligne en utilisant Malwarebytes Privacy VPN.
