Usare l'intelligenza artificiale (AI) per generare le password è una pessima idea. È probabile che la password venga fornita a un criminale che potrà poi utilizzarla in un attacco di tipo "dizionario", ovvero quando un hacker prova tutte le password possibili (parole, frasi, combinazioni) contenute in un elenco preparato in precedenza utilizzando strumenti automatizzati, invece di provare tutte le combinazioni possibili.
L'azienda di sicurezza informatica Irregular ha testato ChatGPT, Claude e Gemini e ha scoperto che le password generate sono "altamente prevedibili" e non realmente casuali. Quando hanno testato Claude, 50 prompt hanno prodotto solo 23 password uniche. Una stringa è apparsa 10 volte, mentre molte altre condividevano la stessa struttura.
Questo potrebbe rivelarsi un problema.
Tradizionalmente, gli hacker creano o download composti da password comuni, fughe di dati reali e varianti standardizzate (parole più numeri e simboli) da utilizzare negli attacchi di tipo "dizionario". Non richiede quasi nessuno sforzo aggiungere un migliaio di password comunemente fornite dai chatbot basati sull'intelligenza artificiale.
I chatbot basati sull'intelligenza artificiale sono addestrati a fornire risposte basate su ciò che hanno appreso. Sono bravi a prevedere cosa succederà in base a ciò che già conoscono, ma non a inventare qualcosa di completamente nuovo.
Come affermano i ricercatori:
"Gli LLM funzionano prevedendo il token successivo più probabile, che è l'esatto opposto di ciò che richiede la generazione di password sicure: casualità uniforme e imprevedibile."
In passato abbiamo spiegato perché i computer non sono molto bravi a generare casualità. I gestori di password aggirano questo problema utilizzando generatori di numeri casuali crittografici dedicati che mescolano l'entropia del mondo reale, invece della generazione di testo basata su modelli che si vede con gli LLM.
In altre parole, un buon gestore di password non "inventa" la tua password come fa un'intelligenza artificiale. Richiede al sistema operativo dei bit casuali crittografici e li trasforma direttamente in caratteri, quindi non c'è alcun modello nascosto che gli hacker possano scoprire.
Un sito web o una piattaforma in cui inserisci tali password potrebbe dirti che sono sicure, ma vale lo stesso ragionamento di base per cui non dovresti riutilizzare le password. A cosa serve una password sicura se i criminali informatici ne sono già in possesso?
Come sempre, preferiamo le chiavi di accesso alle password, ma ci rendiamo conto che questa non è sempre un'opzione praticabile. Se devi usare una password, non lasciare che sia un'intelligenza artificiale a crearla per te. Non è sicuro. E se l'hai già fatto, valuta la possibilità di cambiarla e aggiungi l'autenticazione a più fattori (2FA) per rendere l'account più sicuro.
Non ci limitiamo a segnalare la privacy, ma vi offriamo la possibilità di utilizzarla.
I rischi per Privacy non dovrebbero mai andare oltre un titolo di giornale. Mantenete la vostra privacy online utilizzando Malwarebytes Privacy VPN.
