Una gestione inadeguata delle password è aggravata dall’uso di combinazioni comuni, come nomi, parole presenti nel dizionario o sequenze numeriche. Queste password, non solo sono relativamente facili da decifrare, ma se un criminale informatico riesce ad accedere a una pass di un sito, potrebbe avere accesso a moltissimi altri.
Come tutelarsi con password sicure?
Per tutelarsi, è fondamentale creare password uniche e casuali per ogni account. Tuttavia, la loro creazione e gestione può risultare complessa, motivo per cui molti utenti si affidano ai Large Language Model (LLM) come ChatGPT, Llama o DeepSeek per generare le proprie parole pass.
La motivazione è chiara: anziché sforzarsi di trovare una parola forte, gli utenti possono semplicemente chiedere all’intelligenza artificiale di “generare una pass sicura” per ottenere un risultato immediato. L’intelligenza artificiale produce stringhe che sembrano casuali, evitando così la tendenza degli utenti di creare parole prevedibili e basate su termini esistenti. Tuttavia, spesso questa casualità è solo apparente: le pass generate dall’AI potrebbero non essere così sicure come sembrano.
Alexey Antonov, Data Science Team Lead di Kaspersky ha condotto un test generando 1.000 password tramite alcuni dei più importanti e affidabili LLM, tra cui ChatGPT (di OpenAI), Llama (del gruppo Meta) e DeepSeek (nuovo arrivato dalla Cina). “Tutti i modelli sanno che una buona parola pass è composta da almeno 12 caratteri, tra cui lettere maiuscole e minuscole, numeri e simboli e lo segnalano quando vengono generate le password”, ha spiegato Antonov.
“DeepSeek e Llama occasionalmente generavano parole pass costituite da parole presenti nel dizionario, in cui al posto di lettere vengono riportati numeri simili, come: S@d0w12, M@n@go3, B@n@n@7 (DeepSeek), K5yB0a8dS8, S1mP1eL1on (Lllama). Inoltre, ad esempio, entrambi questi LLM tendono a generare la password “password”: P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama). Ma ovviamente non si tratta di esempi sicuri”, ha aggiunto Antonov.
Utilizzare il trucco della sostituzione delle lettere con i numeri è un’operazione nota e non difficile da “scoprire”. ChatGPT invece non presenta questo problema e genera espressioni molto simili a quelle casuali. Ad esempio:
- qLUx@^9Wp#YZ
- LU#@^9WpYqxZ
- YLU@x#Wp9q^Z
- YLp^9W#qX@zv
- P@zq^XWLY#v9
- v#@LqYXW^9pz
- X@9pYWq^#Lzv
Tuttavia, osservando attentamente queste pass, si possono notare alcuni elementi comuni. Ad esempio, il numero 9 viene utilizzato spesso.
Il seguente istogramma riporta tutti i simboli presenti in 1000 password generate da ChatGPT, in cui si può notare che quasi tutte, contengono i simboli x, p, l, L …, quindi non si tratta di lettere casuali.
Numero di caratteri utilizzati nelle password generate da ChatGPT
Per Llama il discorso migliora leggermente: vengono spesso utilizzati il simbolo # e le lettere p, l, L.
Numero di caratteri utilizzati nelle pass generate da Llama
Anche DeepSeek presenta delle tendenze simili:
Numero di caratteri utilizzati nelle pass generate da DeepSeek
Un generatore di password casuali ideale non dovrebbe privilegiare nessuna lettera, ma tutti i caratteri dovrebbero comparire approssimativamente con la stessa frequenza.
Inoltre, in questo test gli algoritmi hanno spesso omesso l’inserimento di caratteri speciali o numeri nelle parole di pass: questo è accaduto nel 26% delle password generate da ChatGPT, nel 32% di quelle generate da Llama e nel 29% di quelle generate da DeepSeek. In alcuni casi, DeepSeek e Llama hanno anche generato password più corte di 12 caratteri.
Da questi risultati è facile intuire come i cybercriminali possano velocizzare in modo significativo le operazioni di ricerca delle password: ad esempio, anziché tentare combinazioni in ordine sequenziale come “aaa”, “aab”, “aac”, … “aba”, “abb”, “abc”, … “zzz”, potrebbero iniziare direttamente con le combinazioni più frequenti.
Nel 2024, Antonov ha sviluppato un algoritmo di Machine Learning per testare la sicurezza delle password, scoprendo che quasi il 60% delle pass può essere decifrato in meno di un’ora utilizzando moderne GPU o strumenti di cracking basati su cloud. Applicando questo test alle password generate dall’intelligenza artificiale, sono emersi risultati allarmanti: le password si sono rivelate molto meno sicure di quanto apparissero. Circa l’88% delle password generate da DeepSeek e l’87% di quelle generate da Llama non sono risultate abbastanza forti da resistere agli attacchi di cybercriminali sofisticati. ChatGPT ha ottenuto risultati leggermente migliori, ma comunque preoccupanti: il 33% delle password generate non è riuscito a superare il test di sicurezza di Kaspersky.
“Il problema è che gli LLM non generano chiavi di accesso con una vera casualità. Al contrario, imitano i modelli presenti nei dati su cui sono stati creati, rendendo i risultati prevedibili per gli aggressori che comprendono il funzionamento di questi modelli”, ha dichiarato Antonov.
I consigli di Kaspersky per una gestione delle chiavi di accesso più sicura
Anziché affidarsi all’intelligenza artificiale, gli utenti dovrebbero utilizzare software dedicati alla gestione delle password, in grado di offrire numerosi vantaggi significativi.
Innanzitutto, questi software impiegano generatori crittograficamente sicuri per creare password prive di schemi rilevabili, garantendo una vera casualità. Inoltre, tutte le credenziali vengono archiviate in uno spazio protetto, accessibile dall’utente tramite un’unica password principale. In questo modo, non è necessario ricordare decine o centinaia di password diverse, e si riduce sensibilmente il rischio di violazioni o furti di dati.
Inoltre, i password manager offrono funzionalità come il riempimento automatico dei campi di login e la sincronizzazione tra dispositivi, semplificando l’accesso agli account senza compromettere la sicurezza. Molti di questi strumenti includono anche il monitoraggio delle violazioni, avvisando tempestivamente l’utente nel caso in cui le proprie credenziali compaiano in una fuga di dati.
Sebbene l’intelligenza artificiale possa supportare numerose attività, la generazione di password sicure non rientra tra queste. La struttura prevedibile delle password generate dai modelli di intelligenza artificiale le rende vulnerabili alle tecniche di cracking. Prima di ricorrere a scorciatoie poco sicure, Kaspersky consiglia di affidarsi a un password manager affidabile, uno degli strumenti più efficaci nella difesa contro le minacce informatiche. Utilizzare una password forte e unica per ogni account è oggi più che mai fondamentale, in un contesto in cui le violazioni dei dati sono sempre più frequenti.
