Le password generate con l’intelligenza artificiale sembrano complesse. Lettere maiuscole, minuscole, numeri, simboli. A prima vista rispettano tutte le regole della sicurezza. Il problema è che non sono davvero casuali.
Una ricerca condotta dalla società di cybersecurity Irregular ha analizzato le credenziali prodotte da modelli linguistici come ChatGPT, Claude e Gemini, scoprendo un elemento critico: molte password seguono schemi ricorrenti e prevedibili.
E quando si parla di sicurezza, la prevedibilità è il nemico principale.
Il test: password “complesse”, ma non davvero casuali
I ricercatori hanno chiesto ai modelli di generare password di sei caratteri contenenti lettere maiuscole e minuscole, numeri e simboli speciali. Formalmente, le credenziali rispettavano i criteri di complessità.
Ma analizzando cinquanta password generate da Claude Opus 4.6, solo 30 risultavano effettivamente diverse. Le altre erano duplicate. In 18 casi, la stringa era identica.
Non solo. Molte combinazioni iniziavano con la stessa lettera — spesso una G maiuscola — seguita dal numero 7. Alcuni simboli ricorrevano con frequenza elevata, mentre ampie porzioni dell’alfabeto non venivano mai utilizzate.
Uno schema che riduce drasticamente lo spazio di ricerca per un eventuale attacco automatizzato.
Perché l’AI non è davvero “casuale”
Il motivo è strutturale. I modelli linguistici non generano numeri casuali nel senso matematico del termine. Producono sequenze basate su probabilità statistiche apprese durante l’addestramento.
In altre parole, puntano alla plausibilità, non all’imprevedibilità.
Questo approccio funziona perfettamente per generare testi coerenti. Ma quando si tratta di password, è proprio l’imprevedibilità assoluta a garantire sicurezza.
La robustezza di una credenziale si misura infatti in termini di entropia, cioè il livello di casualità della stringa. Se le combinazioni seguono pattern ripetitivi, l’entropia diminuisce e aumenta la vulnerabilità.
ChatGPT e Gemini: stessi limiti
Secondo l’analisi, anche ChatGPT e Gemini mostrano tendenze simili: preferenze per determinate lettere iniziali, simboli ricorrenti in specifiche posizioni e una distribuzione non uniforme dei caratteri.
Il risultato è un insieme di password che appaiono sicure, ma che in realtà riducono la complessità effettiva.
In uno scenario reale, strumenti di brute force o attacchi mirati potrebbero sfruttare queste regolarità per restringere drasticamente il numero di tentativi necessari.
Cosa usare davvero per creare password sicure
Affidarsi a un modello AI per generare password non è la scelta più prudente. La soluzione resta utilizzare:
- Password manager con generatori crittograficamente sicuri
- Algoritmi basati su vera casualità matematica
- Lunghezze superiori a 12–16 caratteri
L’AI può aiutare a scrivere email, riassunti o codice. Ma quando si tratta di proteggere account bancari, email o servizi cloud, serve casualità reale, non plausibilità statistica.
Le password non devono sembrare casuali. Devono esserlo davvero.
