World Password Day: i consigli di Kaspersky sulla generazione di password tramite l’AI
Quante password usate? Probabilmente più di quante pensiate. La maggior parte dei servizi e delle applicazioni online richiede all’utente di creare una password. È probabile che molte di queste non vengano utilizzate quotidianamente e, a causa dell’eccessiva quantità, può succedere che molte di esse vengano riutilizzate.
Una gestione inadeguata delle password è aggravata dall’uso di combinazioni comuni, come nomi, parole presenti nel dizionario o sequenze numeriche. Queste password, non solo sono relativamente facili da decifrare, ma se un criminale informatico riesce ad accedere a una password di un sito, potrebbe avere accesso a moltissimi altri.
Per tutelarsi, è fondamentale creare password uniche e casuali per ogni account. Tuttavia, la loro creazione e gestione può risultare complessa, motivo per cui molti utenti si affidano ai Large Language Model (LLM) come ChatGPT, Llama o DeepSeek per generare le proprie password.
La motivazione è chiara: anziché sforzarsi di trovare una password forte, gli utenti possono semplicemente chiedere all’intelligenza artificiale di “generare una password sicura” per ottenere un risultato immediato. L’intelligenza artificiale produce stringhe che sembrano casuali, evitando così la tendenza degli utenti di creare password prevedibili e basate su termini esistenti. Tuttavia, spesso questa casualità è solo apparente: le password generate dall’AI potrebbero non essere così sicure come sembrano.
Alexey Antonov, Data Science Team Lead di Kaspersky ha condotto un test generando 1.000 password tramite alcuni dei più importanti e affidabili LLM, tra cui ChatGPT (di OpenAI), Llama (del gruppo Meta) e DeepSeek (nuovo arrivato dalla Cina). “Tutti i modelli sanno che una buona password è composta da almeno 12 caratteri, tra cui lettere maiuscole e minuscole, numeri e simboli e lo segnalano quando vengono generate le password”, ha spiegato Antonov.
“DeepSeek e Llama occasionalmente generavano password costituite da parole presenti nel dizionario, in cui al posto di lettere vengono riportati numeri simili, come: S@d0w12, M@n@go3, B@n@n@7 (DeepSeek), K5yB0a8dS8, S1mP1eL1on (Lllama). Inoltre, ad esempio, entrambi questi LLM tendono a generare la password “password”: P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama). Ma ovviamente non si tratta di esempi sicuri”, ha aggiunto Antonov.
Utilizzare il trucco della sostituzione delle lettere con i numeri è un’operazione nota e non difficile da “scoprire”. ChatGPT invece non presenta questo problema e genera password molto simili a quelle casuali. Ad esempio:
- qLUx@^9Wp#YZ
- LU#@^9WpYqxZ
- YLU@x#Wp9q^Z
- YLp^9W#qX@zv
- P@zq^XWLY#v9
- v#@LqYXW^9pz
- X@9pYWq^#Lzv
Tuttavia, osservando attentamente queste password, si possono notare alcuni elementi comuni. Ad esempio, il numero 9 viene utilizzato spesso.
Il seguente istogramma riporta tutti i simboli presenti in 1000 password generate da ChatGPT, in cui si può notare che quasi tutte, contengono i simboli x, p, l, L …, quindi non si tratta di lettere casuali.
Numero di caratteri utilizzati nelle password generate da ChatGPT
Per Llama il discorso migliora leggermente: vengono spesso utilizzati il simbolo # e le lettere p, l, L.
Numero di caratteri utilizzati nelle password generate da Llama
Anche DeepSeek presenta delle tendenze simili:
Numero di caratteri utilizzati nelle password generate da DeepSeek
Un generatore di password casuali ideale non dovrebbe privilegiare nessuna lettera, ma tutti i caratteri dovrebbero comparire approssimativamente con la stessa frequenza.
Inoltre, in questo test gli algoritmi hanno spesso omesso l’inserimento di caratteri speciali o numeri nelle password: questo è accaduto nel 26% delle password generate da ChatGPT, nel 32% di quelle generate da Llama e nel 29% di quelle generate da DeepSeek. In alcuni casi, DeepSeek e Llama hanno anche generato password più corte di 12 caratteri.
Da questi risultati è facile intuire come i cybercriminali possano velocizzare in modo significativo le operazioni di ricerca delle password: ad esempio, anziché tentare combinazioni in ordine sequenziale come “aaa”, “aab”, “aac”, … “aba”, “abb”, “abc”, … “zzz”, potrebbero iniziare direttamente con le combinazioni più frequenti.
Nel 2024, Antonov ha sviluppato un algoritmo di Machine Learning per testare la sicurezza delle password, scoprendo che quasi il 60% delle password può essere decifrato in meno di un’ora utilizzando moderne GPU o strumenti di cracking basati su cloud. Applicando questo test alle password generate dall’intelligenza artificiale, sono emersi risultati allarmanti: le password si sono rivelate molto meno sicure di quanto apparissero. Circa l’88% delle password generate da DeepSeek e l’87% di quelle generate da Llama non sono risultate abbastanza forti da resistere agli attacchi di cybercriminali sofisticati. ChatGPT ha ottenuto risultati leggermente migliori, ma comunque preoccupanti: il 33% delle password generate non è riuscito a superare il test di sicurezza di Kaspersky.
“Il problema è che gli LLM non generano password con una vera casualità. Al contrario, imitano i modelli presenti nei dati su cui sono stati creati, rendendo i risultati prevedibili per gli aggressori che comprendono il funzionamento di questi modelli”, ha dichiarato Antonov.
I consigli di Kaspersky per una gestione delle password più sicura
Anziché affidarsi all’intelligenza artificiale, gli utenti dovrebbero utilizzare software dedicati alla gestione delle password, come Kaspersky Password Manager, in grado di offrire numerosi vantaggi significativi.
Innanzitutto, questi software impiegano generatori crittograficamente sicuri per creare password prive di schemi rilevabili, garantendo una vera casualità. Inoltre, tutte le credenziali vengono archiviate in uno spazio protetto, accessibile dall’utente tramite un’unica password principale. In questo modo, non è necessario ricordare decine o centinaia di password diverse, e si riduce sensibilmente il rischio di violazioni o furti di dati.
Inoltre, i password manager offrono funzionalità come il riempimento automatico dei campi di login e la sincronizzazione tra dispositivi, semplificando l’accesso agli account senza compromettere la sicurezza. Molti di questi strumenti includono anche il monitoraggio delle violazioni, avvisando tempestivamente l’utente nel caso in cui le proprie credenziali compaiano in una fuga di dati.
Sebbene l’intelligenza artificiale possa supportare numerose attività, la generazione di password sicure non rientra tra queste. La struttura prevedibile delle password generate dai modelli di intelligenza artificiale le rende vulnerabili alle tecniche di cracking. Prima di ricorrere a scorciatoie poco sicure, Kaspersky consiglia di affidarsi a un password manager affidabile, uno degli strumenti più efficaci nella difesa contro le minacce informatiche. Utilizzare una password forte e unica per ogni account è oggi più che mai fondamentale, in un contesto in cui le violazioni dei dati sono sempre più frequenti.
Informazioni su Kaspersky
Kaspersky è un’azienda globale di cybersecurity e privacy digitale fondata nel 1997. Con oltre un miliardo di dispositivi protetti dalle minacce informatiche emergenti e dagli attacchi mirati, la profonda esperienza di Kaspersky in materia di sicurezza e di Threat Intelligence si trasforma costantemente in soluzioni e servizi innovativi per la sicurezza di aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. Il portfolio completo dell’azienda comprende una protezione Endpoint leader, prodotti e servizi di sicurezza specializzati e soluzioni Cyber Immune per contrastare le minacce digitali sofisticate e in continua evoluzione. Aiutiamo milioni di persone e oltre 200.000 aziende a proteggere ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/company/kaspersky-lab-italia
https://www.instagram.com/kasperskylabitalia/
https://t.me/KasperskyItalia
