Usar Inteligência Artificial (IA) para gerar as suas palavras-passe é uma má ideia. É provável que isso dê essa palavra-passe a um criminoso, que poderá então usá-la num ataque de dicionário — que é quando um invasor percorre uma lista preparada de palavras-passe prováveis (palavras, frases, padrões) com ferramentas automatizadas até que uma delas funcione, em vez de tentar todas as combinações possíveis.
A empresa de segurança cibernética de IA Irregular testou o ChatGPT, o Claude e o Gemini e descobriu que as senhas geradas por eles são «altamente previsíveis» e não verdadeiramente aleatórias. Quando testaram o Claude, 50 prompts produziram apenas 23 senhas únicas. Uma sequência apareceu 10 vezes, enquanto muitas outras compartilhavam a mesma estrutura.
Isso pode vir a ser um problema.
Tradicionalmente, os invasores criam ou descarregam listas de palavras compostas por senhas comuns, vazamentos do mundo real e variantes padronizadas (palavras mais números e símbolos) para usar em ataques de dicionário. Não é preciso quase nenhum esforço para adicionar cerca de mil senhas comumente fornecidas por chatbots de IA.
Os chatbots de IA são treinados para fornecer respostas com base no que aprenderam. Eles são bons a prever o que vem a seguir com base no que já têm, mas não a inventar algo completamente novo.
Como afirmam os investigadores:
«Os LLMs funcionam prevendo o próximo token mais provável, o que é exatamente o oposto do que a geração segura de senhas exige: aleatoriedade uniforme e imprevisível.»
No passado, explicámos porque é que os computadores não são muito bons em aleatoriedade. Os gestores de palavras-passe contornam este facto utilizando geradores de números aleatórios criptográficos dedicados que misturam entropia do mundo real, em vez da geração de texto baseada em padrões que se vê com os LLMs.
Em outras palavras, um bom gestor de palavras-passe não «invente» a sua palavra-passe da mesma forma que uma IA faz. Ele solicita ao sistema operativo bits aleatórios criptográficos e transforma-os diretamente em caracteres, para que não haja nenhum padrão oculto que os invasores possam descobrir.
Um site ou plataforma onde submete essas palavras-passe pode dizer que elas são fortes, mas o mesmo raciocínio básico sobre por que não se deve reutilizar palavras-passe se aplica. De que serve uma palavra-passe forte se os cibercriminosos já a têm?
Como sempre, preferimos chaves de acesso em vez de palavras-passe, mas sabemos que isso nem sempre é possível. Se tiver de usar uma palavra-passe, não deixe que uma IA a crie para si. Não é seguro. E se já o fez, considere alterá-la e adicionar autenticação multifatorial (2FA) para tornar a conta mais segura.
Não nos limitamos a informar sobre a privacidade - oferecemos-lhe a opção de a utilizar.
Os riscos para Privacy nunca devem ir além de uma manchete. Mantenha a sua privacidade online utilizando o Malwarebytes Privacy VPN.
