Cosa succede se chiedi a un chatbot AI di generare una password (e perché non è sicuro)

Sempre più persone utilizzano i chatbot AI, come ChatGPT o Claude, per creare password per i propri account online. È una buona idea? Secondo vari ricercatori no, e per vari motivi: prevedibilità, risposte ripetute e bassa entropia.

Abbiamo chiesto anche noi a ChatGPT di creare una password sicura e il risultato sembrava perfetto, ma non lo è. In questo post ti spieghiamo perché le password generate con i chatbot AI non sono davvero sicure, come funzionano e come creare e salvare password efficaci per i tuoi account online.

In questo articolo:

• Password generate dai chatbot AI: sono sicure?
• Esperimento con ChatGPT e Gemini
• Perché le password generate con l’AI non sono davvero sicure?
• Perché le password create dall’AI sono un rischio concreto per la sicurezza?
• Come generare password robuste e uniche per i tuoi account online

Buona lettura!

Password generate dai chatbot: sono sicure?

I chatbot AI sono una tecnologia relativamente nuova, ma le persone li usano già per fare moltissime cose, come scrivere un’email dettagliata, la scheda della palestra e perfino creare le password per i propri account online.

Un gruppo di ricercatori affiliati a un’azienda di password manager si è chiesto se gli LLM, cioè i modelli di linguaggio di grandi dimensioni alle spalle dei chatbot, siano effettivamente in grado di generare password sicure e uniche.

La loro conclusione è chiara: no, i chatbot AI non possono creare password davvero sicure. In più, poiché possono ripetere la stessa risposta se interrogati più volte, rischiano di compromettere la sicurezza di più account.

Esperimento: chiediamo a ChatGPT e Gemini di creare una password

Per vederci chiaro, abbiamo voluto ripetere rapidamente l’esperimento chiedendo a ChatGPT e Gemini di creare una password. Per farlo, abbiamo usato questo prompt: “crea una password sicura per un account online”, che simula un’interazione reale con un utente comune.

Abbiamo appositamente evitato di formulare una domanda dettagliata e tecnica – ad esempio “crea una password alfanumerica lunga, complessa, unica ecc.” – per non falsare i risultati. Vediamo cos’hanno risposto:

Risposta di ChatGPT:

“Ecco una password sicura, generata in modo casuale: r7$QvL2!xM9@tZ4#

Perché è robusta:

• 16 caratteri 
• lettere maiuscole e minuscole 
• numeri e simboli 
• nessuna parola riconoscibile 
• alta imprevedibilità”

Risposta di Gemini:

“Certo, ecco una nuova password generata per essere estremamente sicura. È un mix bilanciato di caratteri che segue i migliori standard di sicurezza attuali: X#p9!mQ2*rL4_zT8

Perché questa password è efficace?

• Lunghezza: Ha 16 caratteri (la soglia minima consigliata oggi per l’alta sicurezza).
• Entropia: Mescola maiuscole, minuscole, numeri e simboli, rendendo quasi impossibile un attacco di “forza bruta”.
• Nessun pattern: Non contiene parole di dizionario, date di nascita o sequenze prevedibili (come “123”).”

A prima vista, le password generate da Gemini e ChatGPT sembrano sicure, perché contengono molti caratteri e una combinazione di maiuscole, minuscole, numeri e caratteri speciali.

Tuttavia, ci sono tre problemi:

1. La password non è davvero casuale, perché gli LLM non sono motori crittografici.
2. Una password alfanumerica di questo tipo, anche se fosse sicura, sarebbe molto difficile da ricordare.
3. I chatbot che abbiamo interrogato non propongono passphrase, come Elefante-Zafferano-Pianoforte-42-Luna che, se ben generate, sono più resistenti e contemporaneamente facili da ricordare.

Andiamo a vedere più nel dettaglio cosa succede quando chiediamo a un chatbot AI di creare una password.

Perché le password generate dai chatbot AI non sono sicure?

Ci sono vari motivi per cui non dovresti chiedere al tuo chatbot AI di creare password. L’AI genera password che sembrano casuali, ma non lo sono.

Vediamo cosa succede se chiediamo a ChatGPT di generare 80 password, invece di una:

1. F7!qZ@2mR#9vLp$8Xc
2. K9@mT2#vLpX!8nR$4q
3. vQ7!mZ2#L9@pR4$Xn6
4. G7$kL9#mQ2&xP4!wZ
5. T$9kL#mQ2vX&pN7wR
6. k7#Tm9$xQ2!pL4wZ
7. vN7!qP3#Zt8@Lm2$Xc
8. x7$Km9#pL2@qW4!zN
9. M2@qL9#vX!pR7$kZ8
10. Z8!pL2#mQ@7vX$k9R
11. L9#kQ2@vX!mR7$pZ8
12. pX7!kL9@mQ2#vR$8Z
13. R7!vQ2#mL9@pX$k8Z
14. X!pR7$kL9@mQ2#vZ8
15. vL9@pR7$kQ2#mX!Z8
16. Q2#vX!pR7$kL9@mZ8
17. kL9@mQ2#vX!pR7$Z8
18. pR7$kL9@mQ2#vX!Z8
19. vX!pR7$kL9@mQ2#Z8
20. L9@mQ2#vX!pR7$kZ8
21. a9!K#2Lp@X7mR$5qZ
22. b7@Q!mZ2#L9pR$4Xc
23. c8#v!Q2mL9@pR$7Xk
24. d6$k!Q2Lp9@mR#X7Z
25. e5!vQ2#L9@pR7$XmZ
26. f4@kL9#mQ2!vX$7pZ
27. g3#L9@vQ2!mR7$XpZ
28. h2!Q2#L9@pR7$kXmZ
29. j1@kL9#mQ2!vX$7pZ
30. k9#v!Q2mL8@pR$7Xc
31. L8@pR7$kQ2#mX!Z9v
32. M7#v!Q2mL9@pR$8Xc
33. N6$k!Q2Lp9@mR#X8Z
34. P5!vQ2#L9@pR8$XmZ
35. Q4@kL9#mQ2!vX$8pZ
36. R3#L9@vQ2!mR8$XpZ
37. S2!Q2#L9@pR8$kXmZ
38. T1@kL9#mQ2!vX$8pZ
39. U9#v!Q2mL8@pR$8Xc
40. V8$k!Q2Lp9@mR#X8Z
41. W7!vQ2#L9@pR8$XmZ
42. X6@kL9#mQ2!vX$8pZ
43. Y5#L9@vQ2!mR8$XpZ
44. Z4!Q2#L9@pR8$kXmZ
45. A3@kL9#mQ2!vX$8pZ
46. B2#v!Q2mL8@pR$8Xc
47. C1$k!Q2Lp9@mR#X8Z
48. D9!vQ2#L9@pR8$XmZ
49. E8@kL9#mQ2!vX$8pZ
50. F7#L9@vQ2!mR8$XpZ
51. G6!Q2#L9@pR8$kXmZ
52. H5@kL9#mQ2!vX$8pZ
53. I4#v!Q2mL8@pR$8Xc
54. J3$k!Q2Lp9@mR#X8Z
    
55. K2!vQ2#L9@pR8$XmZ
56. L1@kL9#mQ2!vX$8pZ
57. M9#L9@vQ2!mR8$XpZ
58. N8!Q2#L9@pR8$kXmZ
59. O7@kL9#mQ2!vX$8pZ
60. P6#v!Q2mL8@pR$8Xc
61. Q5$k!Q2Lp9@mR#X8Z
62. R4!vQ2#L9@pR8$XmZ
63. S3@kL9#mQ2!vX$8pZ
64. T2#L9@vQ2!mR8$XpZ
65. U1!Q2#L9@pR8$kXmZ
66. V9@kL9#mQ2!vX$8pZ
67. W8#v!Q2mL8@pR$8Xc
68. X7$k!Q2Lp9@mR#X8Z
69. Y6!vQ2#L9@pR8$XmZ
70. Z5@kL9#mQ2!vX$8pZ
71. a4#L9@vQ2!mR8$XpZ
72. b3!Q2#L9@pR8$kXmZ
73. c2@kL9#mQ2!vX$8pZ
74. d1#v!Q2mL8@pR$8Xc
75. e9$k!Q2Lp9@mR#X8Z
76. f8!vQ2#L9@pR8$XmZ
77. g7@kL9#mQ2!vX$8pZ
78. h6#L9@vQ2!mR8$XpZ
79. j5!Q2#L9@pR8$kXmZ
80. k4@kL9#mQ2!vX$8pZ

Se guardi bene, noterai che i simboli utilizzati sono sempre gli stessi (! @ # $), ma soprattutto le password hanno una struttura ricorrente. Ad esempio finiscono con gruppi di caratteri simili o iniziano con una combinazione di lettera minuscola + numero + simbolo, tra l’altro creati in modo incrementale. (Le lettere sono in ordine alfabetico e i numeri in ordine crescente).

Questo succede perché l’AI non è un algoritmo di crittografia e non può realmente generare una password alfanumerica casuale. L’AI risponde in base alla probabilità che una parola sia seguita da un’altra, per cui le risposte tendono a essere ripetitive e prevedibili.

Bassa entropia

La complessità di una password è definita dalla sua entropia, cioè da quanto è difficile indovinarla con un attacco di forza bruta, a dizionario o con un generatore casuale.

Più è complessa la password, più aumenta l’entropia e più sarà difficile indovinarla. Ad esempio, una password alfanumerica composta da 16 caratteri è molto più difficile da indovinare rispetto a una che ne contiene solo 10.

Se le password generate dai chatbot AI si ripetono o hanno una struttura simile, l’entropia reale si abbassa, anche se a prima vista sembrano sequenze casuali e incomprensibili di caratteri.

Ripetitività

Le password generate con l’AI sono pericolose anche per un altro motivo. Il chatbot può consigliare la stessa password che ha già fornito in precedenza.

Questo significa che, senza saperlo, un utente potrebbe usare la stessa password – o una molto simile – per proteggere due o tre account diversi. In questo modo, se le credenziali di uno di questi account venissero trafugate, i criminali informatici potrebbero usarle per violare anche gli altri account (infatti è una delle prime cose che fanno, quando trovano una password che funziona).

Illusione di sicurezza

Le password generate con l’AI sembrano casuali ed efficaci, per cui possono indurre molte persone a usarle, amplificando ancora di più la vulnerabilità. Come vedremo a breve, il problema sta proprio nell’illusione di sicurezza che creano, che porta perfino programmatori e sviluppatori web a usarle.

Perché le password generate con l’AI sono un rischio concreto per la sicurezza?

Ci sono vari motivi per cui creare le password con l’AI rende più vulnerabili gli account e i sistemi online, e hanno a che vedere con chi usa le password:

• Utenti non esperti. La maggior parte delle persone che chiede a ChatGPT di creare una password non è in grado di valutare la complessità e la robustezza di una password, né di sapere se è simile o addirittura uguale a una password che gli è stata suggerita in precedenza.
• Sviluppatori web e programmatori. Molti usano i chatbot AI per il vibe coding, cioè per programmare in modo intuitivo tramite i chatbot. In queste interazioni, gli sviluppatori possono anche chiedere all’AI di generare coppie di credenziali e distribuirle agli utenti di reti e sistemi.
• Agenti AI. Infine, un browser con funzioni AI potrebbe avere l’autorizzazione per creare e configurare account per conto dell’utente, ad esempio per accedere a un sito e acquistare prodotti. Qui, il chatbot potrebbe usare una password poco robusta e prevedibile, rendendo il nuovo account più facile da violare.

I ricercatori che hanno notato questo problema di sicurezza dei chatbot AI sostengono che presto torneranno gli attacchi di forza bruta di venti anni fa. Quando i cybercriminali usavano dei programmini per provare ad accedere agli account online con migliaia di credenziali rubate o generate automaticamente.

In realtà non si tratta di una situazione così drammatica, ma è importante sottolineare che i chatbot AI come ChatGPT o Gemini non sono gli strumenti giusti per creare password.

Come creare password sicure per i tuoi account online

Nel corso degli anni abbiamo dedicato molti articoli del nostro blog a questo argomento, e siamo certi che ormai molti di voi sanno cosa vuol dire una “password sicura”.

Questa volta vogliamo concentrarci su alcuni consigli pratici, per aiutarti a proteggere i tuoi account online:

• Crea le password con un password manager dedicato. I chatbot AI sono strumenti versatili e potenti, ma non vanno bene per tutto. Per le password, ci vuole un password manager, come Panda Dome Passwords o quello integrato nel browser. Questi programmi generano password realmente casuali e uniche, a differenza di quelle create dai chatbot che ne hanno solo l’apparenza.
• Salva le password con un password manager. Questi programmi sono utili non solo perché creano password robuste, ma anche perché le memorizzano al posto tuo. Non serve a niente avere una password alfanumerica complessissima, se poi non te la ricordi.
• Usa una passphrase come master password. I password manager hanno bisogno di una password principale e unica, con cui puoi accedere a tutte le credenziali salvate. Qui, ti consigliamo di usare una passphrase, perché è molto più facile da ricordare e anche più resistente rispetto alle tipiche password alfanumeriche casuali.
• Non riutilizzare mai le password per più account. Ricorda che se qualcuno riuscisse a rubarti una password, potrebbe accedere a tutti gli altri account su cui la usi.
• Imposta l’autenticazione a due fattori e le passkey. Le password da sole ormai non sono più sufficienti: è indispensabile impostare l’autenticazione a 2 fattori e una passkey, ad esempio sul telefono personale.

In questo post abbiamo visto che i chatbot AI come Gemini, Claude o Grok non sono bravi a creare password davvero casuali, robuste e uniche, per cui è meglio usare i software specializzati in questo campo: i password manager.

Per concludere, vogliamo ricordare che l’intelligenza artificiale generativa è potentissima e può aiutarci in tantissimi campi, ma dobbiamo sempre tenere a mente che non pensa davvero come un essere umano e non può sostituire i software specializzati.

CONTINUA A LEGGERE: 7 errori di autenticazione delle aziende e come evitarli

Buona navigazione e buona gestione sicura delle password senza AI!