Usi l'AI per generare le tue password? È un problema, più di quanto pensi
Le password create con chatbot sembrano complesse, ma seguono schemi ripetuti. Una ricerca mostra perché possono essere scoperte in poche ore.
Usare ChatGPT, Claude o Gemini per farsi suggerire una password apparentemente sicura può sembrare la scorciatoia perfetta. Stringhe lunghe, costellate di numeri e simboli, capaci di superare senza difficoltà i tradizionali test online di complessità. Eppure, secondo una ricerca del team di cybersecurity Irregular, confermata da test indipendenti, quelle stesse password risultano molto meno solide di quanto lascino intendere e possono essere individuate in tempi sorprendentemente brevi.
La conclusione degli esperti è chiara: se hai chiesto a un chatbot di generare una password, è opportuno cambiarla.
Le password generate da AI sono sicure?
Irregular ha messo alla prova diversi modelli di intelligenza artificiale generativa chiedendo di creare password “forti”, ad esempio di 16 caratteri con maiuscole, minuscole, numeri e simboli. A una prima analisi i risultati appaiono convincenti. Strumenti come KeePass e altri misuratori online hanno stimato per queste stringhe un’entropia prossima ai 100 bit, con tempi di attacco teoricamente nell’ordine dei secoli.
Un esame più approfondito ha però ribaltato l’impressione iniziale. In un campione di 50 password generate da Claude, una singola stringa è comparsa 18 volte, mentre molte altre condividevano struttura e caratteri quasi identici. In un altro test, 50 richieste hanno prodotto poco più di venti password realmente diverse, con una ripetuta dieci volte. Dinamiche analoghe sono emerse anche con ChatGPT e Gemini: prefissi ricorrenti e un insieme ristretto di simboli utilizzati in modo ripetitivo.
Dietro un’apparente casualità si nascondono dunque schemi riconoscibili. Per un criminale informatico che conosce questi pattern, lo spazio di ricerca si restringe in modo drastico.
Perché l’AI genera password prevedibili?
Il tema centrale riguarda il funzionamento stesso dei modelli linguistici. Un password manager affidabile si basa su generatori di numeri casuali crittografici, progettati per produrre sequenze imprevedibili. Un LLM, al contrario, opera stimando il “token” più probabile in base ai dati di addestramento.
I ricercatori di Irregular hanno calcolato l’entropia delle password con due metodi: un’analisi statistica dei caratteri e la valutazione delle probabilità interne del modello. I risultati sono coerenti. Invece dei circa 6 bit di entropia per carattere attesi da un generatore realmente casuale, molte password create dall’AI si fermano intorno ai 2 bit per carattere. Su una lunghezza di 16 caratteri si traduce in una ventina di bit complessivi, ben lontani dai 98–120 bit associati a una password robusta.
In termini pratici significa che una password generata da un LLM potrebbe essere individuata anche in poche ore. Alcuni esperti hanno sottolineato che persino computer datati possono affrontare con successo questo tipo di attacco quando la sequenza segue schemi prevedibili.
Cosa fare se hai usato l’AI per la tua password?
Il messaggio dei ricercatori è chiaro: se hai utilizzato un chatbot per creare la password di un account importante, è consigliabile sostituirla quanto prima. La soluzione indicata è adottare un gestore di password basato su generatori casuali crittografici, oppure scegliere passphrase lunghe composte da parole non ovvie. Dove possibile, resta fondamentale attivare anche l’autenticazione a più fattori.
Password generate direttamente dall’output di un Large Language Model (LLM) sono “fondamentalmente deboli” e questo limite non si risolve con prompt più furbi.
