Generare password con l’AI: tutto quello che devi sapere prima di farlo

Uno dei temi più discussi in questi ultimi tempi è l’utilizzo di password sicure e complesse, mai riutilizzate. Un tema caldo viste le minacce costanti ai nostri account e accessi a servizi importanti. Ad ogni modo, molti utenti ad oggi non si sono ancora affidati a un Password Manager scegliendo al suo posto l’AI.

C’è però una domanda che tutti dovrebbero farsi prima di scegliere l’intelligenza artificiale per questo scopo: è davvero sicura la generazione di password complesse affidata all’intelligenza artificiale? In realtà questa domanda non vuole generare un dibattito, ma fornire una risposta capace di aiutare gli utenti nella scelta.

Come si compra l’AI quando genera password

Alexey Antonov, Data Science Team Lead di Kaspersky, ha provato proprio questo. Si è affidato all’AI per generare 1000 password tramite i più importanti e affidabili Large Language Model (LLM) come ChatGPT, Llama o DeepSeek. Il risultato di questo test?

Nonostante “tutti i modelli sanno che una buona password è composta da almeno 12 caratteri, tra cui lettere maiuscole e minuscole, numeri e simboli e lo segnalano quando vengono generate le password“, Antonov ha notato che “DeepSeek e Llama occasionalmente generavano password costituite da parole presenti nel dizionario, in cui al posto di lettere vengono riportati numeri simili“.

Nello specifico, DeepSeek aveva generato @d0w12, M@n@go3, B@n@n@7, mentre Lllama K5yB0a8dS8, S1mP1eL1on. “Inoltre – ha aggiunto Antonov – entrambi questi LLM tendono a generare la password “password”: P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama). Ma ovviamente non si tratta di esempi sicuri“.

Il problema è che chi vuole forzare un accesso conosce bene il trucco di sostituire alle lettere dei numeri. Come si è comportata ChatGPT? Questa AI, anche se non ha manifestato questa lacuna, ha generato password simili tra loro. Nello specifico qLUx@^9Wp#YZ, LU#@^9WpYqxZ, YLU@x#Wp9q^Z, YLp^9W#qX@zv, P@zq^XWLY#v9, v#@LqYXW^9pz, X@9pYWq^#Lzv.

Concludendo, Antonov ha spiegato: “Il problema è che gli LLM non generano password con una vera casualità. Al contrario, imitano i modelli presenti nei dati su cui sono stati creati, rendendo i risultati prevedibili per gli aggressori che comprendono il funzionamento di questi modelli“.