Cosa succede davvero quando crei le tue password complesse con l’intelligenza artificiale? Una domanda molto interessante visto che parecchi utenti hanno deciso di rendere produttivo il loro “agente AI” chiedendogli di creare credenziali di accesso all’apparenza complesse e inviolabili. I ricercatori di Malwarebytes hanno risposto.
“È probabile che la password venga fornita a un criminale che può poi utilizzarla in un dictionary attack, ovvero quando un aggressore scorre un elenco preparato di password probabili (parole, frasi, schemi) con strumenti automatizzati finché una di queste non funziona, invece di provare tutte le possibili combinazioni“, hanno spiegato in un comunicato stampa recente.
L’azienda di sicurezza informatica Irregular lo ha provato a generare password con l’intelligenza artificiale di tre provider: ChatGPT, Claude e Gemini. Ciò che ha scoperto è incredibile. Le password generate, dicono, sono “altamente prevedibili” e non davvero casuali come un utente potrebbe pensare.
Gli LLM funzionano prevedendo il token successivo più probabile, che è l’esatto opposto di ciò che richiede la generazione di password sicure: casualità uniforme e imprevedibile. Poiché l’intelligenza artificiale assume maggiori responsabilità in materia di sicurezza difensiva, gli operatori devono prestare attenzione ai casi in cui i risultati dell’intelligenza artificiale sembrano corretti ma non lo sono, perché nella sicurezza, ciò che è plausibile ma sbagliato può essere più pericoloso di ciò che è palesemente imperfetto.
L’intelligenza artificiale fa male alle password
Possiamo quindi dire che l’intelligenza artificiale non è la scelta più adatta per generare password complesse perché al momento non è in grado di soddisfare tutti i requisiti di sicurezza e il suo modo di ragionare rende molto prevedibili le sue produzioni.
Gli esperti di Malwarebytes hanno spiegato: “Un buon gestore di password non inventa la tua password come fa un’intelligenza artificiale. Richiede al sistema operativo bit crittografici casuali e li trasforma direttamente in caratteri, quindi non c’è alcun pattern nascosto che gli aggressori possano apprendere“.
Il consiglio è quello di affidarsi a un password manager, ma è così sicuro? Recenti ricerchi sembrano dire di no.
