Usare l'AI per creare password è un errore che può costarti caro
Topic
Approfondimenti
Trending
tutti

Usare l'AI per creare password è un errore che può costarti caro

Codici apparentemente complessi nascondono pattern ripetitivi e un'entropia troppo bassa: attenzione all'uso dell'AI per generare password.
Usare l'AI per creare password è un errore che può costarti caro
Sicurezza Business AI
Codici apparentemente complessi nascondono pattern ripetitivi e un'entropia troppo bassa: attenzione all'uso dell'AI per generare password.
Google AI Studio

Meglio non utilizzare l’AI per generare le password, si rischia di semplificare il lavoro dei cybercriminali. È la conclusione a cui sono giunti i ricercatori di Irregular, eseguendo un test piuttosto semplice: hanno chiesto a ChatGPT, Gemini e Claude di creare codici segreti da 16 caratteri con simboli, numeri, lettere e in alcuni casi una sequenza di parole. Nonostante la loro apparente complessità, sono risultati estremamente facili da craccare.

Non far creare le tue password all’AI

Il motivo è semplice. I modelli di intelligenza artificiale sono ormai molto abili in tante operazioni, ma non nella randomizzazione. Tendono a seguire pattern piuttosto precisi, che rendono inevitabilmente più semplice indovinare gli output restituiti.

Chiedendo a Claude Opus 4.6 (appena lanciato da Anthropic) di generare 50 password uniche, ha ripetuto a grandi linee lo stesso schema. Ogni codice di autenticazione ha una struttura ben definita: inizia con una lettera, nella maggior parte dei casi G, poi c’è quasi sempre un 7. I caratteri L, 9, m, 2, $ e # sono sempre presenti, mentre gran parte dell’alfabeto non compare mai.

Non è andata meglio con ChatGPT che inizia molto spesso con v e include quasi sempre una Q in seconda posizione. Gemini piazza invece frequentemente k o K all’inizio, seguita da #, P o 9. Insomma, ci sono tutti gli strumenti adatti per rendere più agevole un attacco brute force.

Apparente complessità, sicurezza illusoria

Con riferimento al concetto di entropia di un codice segreto (approfondimento), secondo i ricercatori dovrebbe attestarsi intorno ai 98 bit per essere considerato sicuro. Per quelli creati con l’AI, la stima è di circa 27.

Appurato che chiedere a un’intelligenza artificiale di farlo è meglio rispetto a scegliere 123456, potrebbe nascondere insidie. Per certi versi, il rischio è ancora più subdolo: l’apparente complessità ci dà una sensazione di sicurezza, ma a conti fatti è un’illusione. Verrebbe da suggerire che digitare casualmente sulla tastiera sia più efficace.

Restando in tema, proprio ieri abbiamo segnalato lo studio di ETH Zürich che ha dimostrato la vulnerabilità dei password manager più utilizzati: Bitwarden, LastPass e Dashlane sono potenzialmente esposti ad attacchi.

Fonte: Irregular

Pubblicato il 19 feb 2026

Link copiato negli appunti

Ti potrebbe interessare

GDPR e ePrivacy: critiche alle modifiche proposte

GDPR e ePrivacy: critiche alle modifiche proposte
Le email segrete di Ring: dalla ricerca dei cani ai criminali

Le email segrete di Ring: dalla ricerca dei cani ai criminali
Router TP-Link usati per spiare gli utenti, denuncia in Texas

Router TP-Link usati per spiare gli utenti, denuncia in Texas
Google Gruppi, Drive e Docs usati per distribuire malware

Google Gruppi, Drive e Docs usati per distribuire malware
GDPR e ePrivacy: critiche alle modifiche proposte

GDPR e ePrivacy: critiche alle modifiche proposte
Le email segrete di Ring: dalla ricerca dei cani ai criminali

Le email segrete di Ring: dalla ricerca dei cani ai criminali
Router TP-Link usati per spiare gli utenti, denuncia in Texas

Router TP-Link usati per spiare gli utenti, denuncia in Texas
Google Gruppi, Drive e Docs usati per distribuire malware

Google Gruppi, Drive e Docs usati per distribuire malware
Cristiano Ghidotti
Pubblicato il
19 feb 2026
Link copiato negli appunti