Conviene usare l’AI per creare password sicure?

In questi ultimi mesi si sta diffondendo un’abitudine particolare legata alla creazione di password sicure, chiederle all’AI. L’intelligenza artificiale è entrata nelle nostre vite, o meglio in molte vite. Le sue funzionalità sono molto utili e fanno risparmiare parecchio tempo se utilizzate sapientemente. Ed è per questo che tanti utenti la utilizzano chiedendo di generare password complesse.

Questo perché oggigiorno quasi per qualsiasi servizio è necessario registrarsi creando un account e ogni account deve essere protetto da una password di accesso. Tantissimi, aggirando i cosiddetti Password Manager, pensando siano troppo costosi, adesso si affidano ai Large Language Model (LLM) come ChatGPT, Llama o DeepSeek.

Una tendenza che non sempre si sta rivelando sicura. Infatti, nonostante sembri che l’AI generi password sicure da stringhe casuali, questa casualità potrebbe essere solo apparente. In altre parole, le password generate dall’intelligenza artificiale non sono realmente così sicure come invece potrebbero sembrare.

Password generate dall’AI: perché è bene fare attenzione

Alexey Antonov, Data Science Team Lead di Kaspersky, ha deciso di effettuare un test generando 1.000 password tramite alcuni dei più importanti e affidabili LLM di AI. Il risultato? “Tutti i modelli sanno che una buona password è composta da almeno 12 caratteri, tra cui lettere maiuscole e minuscole, numeri e simboli e lo segnalano quando vengono generate le password“.

Tuttavia, “DeepSeek e Llama occasionalmente generavano password costituite da parole presenti nel dizionario, in cui al posto di lettere vengono riportati numeri simili, come: S@d0w12, M@n@go3, B@n@n@7 (DeepSeek), K5yB0a8dS8, S1mP1eL1on (Lllama). Inoltre, ad esempio, entrambi questi LLM tendono a generare la password ‘password’: P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama). Ma ovviamente non si tratta di esempi sicuri“.

Sebbene ChatGPT non presenta il problema del trucco della sostituzione delle lettere con i numeri, scelta nota e facile da scoprire, ha dimostrato alcune lacune. Ecco l’elenco esemplificativo delle password generate da questa AI:

• qLUx@^9Wp#YZ
• LU#@^9WpYqxZ
• YLU@x#Wp9q^Z
• YLp^9W#qX@zv
• P@zq^XWLY#v9
• v#@LqYXW^9pz
• X@9pYWq^#Lzv

Antonov ha notato che in tutte ci sono alcuni elementi comuni, come ad esempio il numero 9. “Un generatore di password casuali ideale non dovrebbe privilegiare nessuna lettera, ma tutti i caratteri dovrebbero comparire approssimativamente con la stessa frequenza“, hanno spiegato gli esperti di Kaspersky.

I consigli

Al momento sembra alquanto rischioso delegare la creazione di password sicure e complesse all’AI. Meglio dotarsi di un Password Manager realizzato proprio per questo scopo, che aggiunge anche una gestione sicura delle credenziali e dei dati sensibili come Documenti d’Identità e Carte di Credito.

Kaspersky ha poi concluso: “Sebbene l’intelligenza artificiale possa supportare numerose attività, la generazione di password sicure non rientra tra queste. La struttura prevedibile delle password generate dai modelli di intelligenza artificiale le rende vulnerabili alle tecniche di cracking“.