Ecco perché usare l’AI per generare le tue password è una pessima idea
Usi chatbot come Claude e ChatGPT per generare le tue password? Abbiamo una gran brutta notizia da darti: quella stringa infinita di caratteri e simboli è sicura solo all'apparenza.
Le password generate direttamente dagli LLM (senza l’uso di strumenti crittograficamente sicuri) possono sembrare robuste, ma sono strutturalmente insicure (proprio come le password di questa lista). Il motivo è semplice: i modelli linguistici sono progettati per prevedere token probabili, non per produrre caratteri casuali distribuiti uniformemente. Questo è l’opposto di ciò che serve per creare password realmente sicure.
Le password generate dall’AI sono troppo deboli
Nonostante ciò, password generate dalle AI vengono già utilizzate nel mondo reale. Alcuni utenti le chiedono direttamente a chatbot, mentre agenti di coding le inseriscono automaticamente nel codice durante attività di sviluppo, spesso senza che il programmatore se ne accorga. Questo fenomeno è particolarmente insidioso perché tali password “sembrano” complesse — del resto, includono maiuscole, minuscole, numeri e simboli — ma in realtà seguono schemi prevedibili.
I test condotti su modelli avanzati come GPT, Claude e Gemini mostrano pattern evidenti: caratteri ricorrenti, distribuzioni non uniformi, assenza di ripetizioni interne e, in molti casi, password identiche generate più volte. In un campione di 50 password prodotte da Claude Opus 4.6, solo 30 erano uniche, e una singola password è comparsa nel 36% dei casi. Questo è incompatibile con l’idea di una password da 100 bit di entropia.
L’entropia — che viene usata per misurare la resistenza a un attacco brute-force — è drasticamente inferiore rispetto a quella stimata dai comuni password checker. Mentre una password casuale di 16 caratteri potrebbe offrire circa 98–120 bit di entropia, le password generate dagli LLM analizzati mostrano valori reali intorno ai 20–30 bit. In pratica, ciò significa che potrebbero essere indovinate con circa un milione di tentativi, un numero gestibile anche con hardware modesto.
Nemmeno aumentare il parametro “temperature” risolve il problema: i modelli rimangono vincolati a distribuzioni probabilistiche interne fortemente sbilanciate.
Inoltre, l’accesso ai log-probability mostra che alcuni caratteri hanno probabilità superiori al 99%, rendendo intere posizioni della password quasi deterministiche.
Il rischio aumenta con la diffusione degli agenti di coding: molti preferiscono generare password tramite LLM anziché usare generatori sicuri come openssl rand o CSPRNG. I ricercatori hanno comunque notato che alune piccole variazioni nel prompt (ad esempio usare la parola “generate” invece di “suggest”) influenzano il comportamento del chatbot, rendendo il problema difficile da controllare.
