Usar Inteligência Artificial (IA) para gerar suas senhas é uma má ideia. É provável que isso forneça essa senha a um criminoso, que poderá então usá-la em um ataque de dicionário — que é quando um invasor percorre uma lista preparada de senhas prováveis (palavras, frases, padrões) com ferramentas automatizadas até que uma delas funcione, em vez de tentar todas as combinações possíveis.
A empresa de segurança cibernética de IA Irregular testou o ChatGPT, o Claude e o Gemini e descobriu que as senhas geradas por eles são “altamente previsíveis” e não verdadeiramente aleatórias. Quando testaram o Claude, 50 prompts produziram apenas 23 senhas únicas. Uma sequência apareceu 10 vezes, enquanto muitas outras compartilhavam a mesma estrutura.
Isso pode acabar se tornando um problema.
Tradicionalmente, os invasores criam ou baixam listas de palavras compostas por senhas comuns, vazamentos do mundo real e variantes padronizadas (palavras mais números e símbolos) para usar em ataques de dicionário. Não é necessário nenhum esforço para adicionar cerca de mil senhas comumente fornecidas por chatbots de IA.
Os chatbots com IA são treinados para fornecer respostas com base no que aprenderam. Eles são bons em prever o que virá a seguir com base no que já possuem, mas não em inventar algo completamente novo.
Como afirmam os pesquisadores:
Os LLMs funcionam prevendo o próximo token mais provável, o que é exatamente o oposto do que a geração segura de senhas exige: aleatoriedade uniforme e imprevisível.
No passado, explicamos por que os computadores não são muito bons em aleatoriedade. Os gerenciadores de senhas contornam esse fato usando geradores de números aleatórios criptográficos dedicados que misturam entropia do mundo real, em vez da geração de texto baseada em padrões que você vê nos LLMs.
Em outras palavras, um bom gerenciador de senhas não “invente” sua senha da mesma forma que uma IA faz. Ele solicita ao sistema operacional bits aleatórios criptográficos e os transforma diretamente em caracteres, para que não haja nenhum padrão oculto que os invasores possam descobrir.
Um site ou plataforma onde você insere essas senhas pode dizer que elas são fortes, mas o mesmo raciocínio básico sobre por que você não deve reutilizar senhas se aplica. De que adianta uma senha forte se os cibercriminosos já a possuem?
Como sempre, preferimos chaves de acesso em vez de senhas, mas sabemos que isso nem sempre é possível. Se você precisar usar uma senha, não deixe que uma IA a crie para você. Isso simplesmente não é seguro. E se você já fez isso, considere alterá-la e adicionar autenticação multifatorial (2FA) para tornar a conta mais segura.
Não nos limitamos a informar sobre privacidade - oferecemos a você a opção de usá-la.
Os riscos Privacy nunca devem ir além de uma manchete. Mantenha sua privacidade on-line usando o Malwarebytes Privacy VPN.
