Creare una password complessa è più difficile di quanto pensi.
Il cervello umano fatica a pensare a un insieme veramente casuale di lettere e numeri, quindi quella che ti sembra una buona password potrebbe essere facilmente indovinata.
I gestori di password possono generare password per te, ma queste stringhe casuali sono difficili da ricordare.
Non è un problema se utilizzi un dispositivo che ha accesso al tuo gestore di password, ma se ne sei sprovvisto non potrai accedere.
Quindi cosa fare?
Una soluzione a cui le persone si sono rivolte è chiedere all’IA di generare una password per loro, ma secondo una ricerca condotta dalla società di sicurezza informatica Irregular, questo è uno dei modi peggiori per generare una password per proteggere i tuoi account.
Gli LLM generano ripetutamente password prevedibili
I chatbot AI non sono un metodo affidabile per proteggere i tuoi account
In uno studio di Irregular (via Notizie dal cielo), l’azienda ha scoperto che ChatGPT, Claude e Gemini producevano password prevedibili che sembravano forti ma che in realtà lo erano tutt’altro.
Nello studio, Irregular ha chiesto a Claude AI di Anthropic di generare 50 password. Di questi, solo 23 erano unici.
La parola d’ordine K9#mPx$vL2nQ8wR è stato utilizzato 10 volte. Altre password contenevano blocchi identici, mentre altre avevano strutture identiche.
Durante i nostri test, utilizzando il semplice messaggio “Generami una password complessa”, Gemini ha prodotto una serie di password che utilizzavano regolarmente le stesse parole.
Nelle 10 volte in cui ho eseguito il messaggio, le parole “Solar”, “Thunder”, “Panda” e “Jacket” sono apparse più volte.
Sebbene la stringa di cifre che seguiva i tre nomi nelle password fosse ogni volta diversa, utilizzavano la stessa struttura.
Ciò che rende deboli queste password non è la struttura.
Una stringa casuale di cifre è quasi impossibile da indovinare, e il sistema di Gemini di tre nomi non correlati seguiti da una stringa di cifre casuali è altrettanto difficile pur avendo il vantaggio di essere più facile da ricordare.
Tuttavia, mentre un controllore di password confermerebbe che queste password sono complesse, un essere umano noterebbe rapidamente gli schemi.
Generando una password tramite Gemini più volte e costruendo una libreria di lettere, cifre e strutture utilizzate di frequente, un essere umano potrebbe restringere rapidamente le opzioni.
Prompt diversi possono generare diversi tipi di password, ma tutti soffrono di una mancanza di casualità.
Sebbene alcuni chatbot fossero più forti di altri (ChatGPT sembrava generare i più forti), non potevano fare a meno di ricadere negli stessi schemi.
Nei miei test, ho scoperto che ogni chatbot generava un elenco più casuale se gli chiedevo di generare più password contemporaneamente. Ma se gli chiedessi di generarli uno alla volta, riscontrerei gli stessi problemi di Irregular.
L’intelligenza artificiale può insegnarti come generare una password complessa, ma non può farlo per te
Non può trasformare una teoria in una pratica
Mi piace particolarmente il metodo di Gemini di generare una password con tre nomi e una stringa di numeri casuale. È molto più facile da ricordare rispetto a una stringa casuale, ma è impossibile indovinarla.
Ma poiché Gemini è un LLM, e quindi basato sul riconoscimento di modelli, non può generare tre parole e stringhe veramente casuali. Tuttavia, la teoria è valida.
Quando ho chiesto a ChatGPT di “Generarmi una password casuale complessa”, mi ha fornito una stringa di 20 caratteri di lettere, cifre e simboli “casuali”, ma si è anche offerto di creare password alternative basate su diversi metodi di generazione di password complesse. Ciascuno di questi metodi è efficace.
Quindi l’intelligenza artificiale può insegnarti come creare password complesse, ma non puoi fare affidamento su di essa per generarne una per te. Prova invece questi metodi.
Crea password complesse senza intelligenza artificiale o, meglio ancora, utilizza un altro metodo di sicurezza
Le passkey e l’autenticazione a due fattori sono modi fantastici per proteggere i tuoi account
Uno dei miei modi preferiti per creare una password casuale è trovare quattro parole.
Genero ogni parola utilizzando un metodo diverso, ad esempio selezionando una parola su una pagina senza guardare o selezionando il colore della maglietta della prima persona che vedo fuori dalla finestra.
Non provo mai a pensare alla parola da solo e faccio sempre affidamento su un fattore caotico (leggo sempre un libro diverso e non riesco a controllare cosa indossano le persone).
Il problema è che, non importa quanto ci provi, le password non possono fornire da sole una sicurezza affidabile. Le password vengono divulgate, riutilizziamo le password e persino i gestori di password non sono sicuri al 100%..
L’utilizzo dell’autenticazione a due fattori protegge i tuoi account anche se qualcuno conosce la tua password e chiavi di accesso sono più sicure delle password, eliminando la necessità di memorizzarle come effetto collaterale.
Non usare mai l’intelligenza artificiale per qualcosa che deve essere casuale
Quando dai un suggerimento a un chatbot AI, produce quella che ritiene sia la risposta più probabile.
Per testarlo, chiedi a qualsiasi chatbot AI di creare un numero casuale. Anche se non dovrebbe creare numeri casuali all’interno della chat se lo chiedi più volte, chiedere di nuovo in una nuova chat potrebbe creare lo stesso messaggio.
Nei miei test, Gemini mi ha dato lo stesso numero (42) ogni volta che glielo chiedevo (ho smesso di provare dopo 15 tentativi). Mi ha anche dato l’opzione alternativa di 73 nella maggior parte di quelle risposte.
I LLM non possono generare pensieri originali o casuali. La sua tendenza a creare password prevedibili non è un problema significativo (la soluzione è semplicemente non usarla), ma evidenzia il limiti dell’intelligenza artificiale. Quindi, se devi generare un risultato casuale, non utilizzare mai l’intelligenza artificiale.
