L’intelligenza artificiale è ormai diventata un assistente onnipresente nelle nostre vite, pronto a redigere email, analizzare testi complessi o pianificare viaggi.
Con una simile versatilità a disposizione, potrebbe sembrare del tutto naturale affidare a questi sofisticati strumenti anche la creazione delle nostre chiavi di accesso digitali.
Tuttavia, delegare la propria sicurezza a un chatbot rappresenta un grave errore di valutazione che rischia di esporre i vostri dati sensibili ai criminali informatici.
Password generata dall’IA: l’illusione della casualità e il problema dell’entropia
I modelli linguistici di grandi dimensioni (LLM), per la loro stessa natura ingegneristica, sono addestrati per calcolare e prevedere il termine successivo in una sequenza, attingendo a sterminate quantità di dati pregressi.
Questa precisa caratteristica li rende dei conversatori eccezionali, ma si rivela disastrosa quando viene richiesta la generazione di sequenze realmente imprevedibili. La vera sicurezza informatica necessita di un’entropia assoluta e di una casualità uniforme, proprietà fondamentali che i sistemi conversazionali semplicemente non sono in grado di simulare.
A confermare questa grave vulnerabilità è un’indagine condotta dall’azienda specializzata in sicurezza Irregular. I ricercatori hanno messo alla prova i sistemi più diffusi, tra cui ChatGPT, Claude e Gemini, scoprendo che le sequenze alfanumeriche restituite agli utenti sono altamente ripetitive.
I risultati parlano chiaro: sottoponendo a Claude cinquanta richieste distinte, il sistema ha elaborato solamente ventitré chiavi univoche. Durante i test, una specifica stringa è stata proposta ben dieci volte, mentre le restanti presentavano architetture logiche e strutture testuali estremamente simili tra loro.
Un regalo inaspettato per i pirati informatici
Questa marcata prevedibilità consegna un vantaggio strategico inestimabile ai malintenzionati.
Gli hacker utilizzano quotidianamente software automatizzati per sferrare i cosiddetti attacchi a dizionario, una tecnica che consiste nel tentare l’accesso forzato provando in rapida successione enormi archivi di parole comuni e combinazioni già compromesse in passato.
Per un aggressore, aggiornare i propri database malevoli inserendo le limitate varianti standard proposte dai chatbot richiede uno sforzo praticamente nullo.
Di conseguenza, anche se il sito web su cui vi state registrando dovesse valutare la vostra nuova chiave di accesso come complessa e sicura, la sua efficacia reale verrebbe annientata dal fatto che i pirati informatici la possiedono già nei loro elenchi pronti all’uso. In sostanza, equivale a riciclare una password bucata.
La crittografia reale contro i modelli linguistici
Per proteggersi adeguatamente è necessario comprendere la differenza tra un testo generato da un modello linguistico e la vera generazione crittografica.
I gestori di password tradizionali non “inventano” i caratteri seguendo schemi probabilistici o cognitivi. Al contrario, comunicano direttamente con il sistema operativo per estrarre bit generati attraverso rigorosi processi matematici.
Questi meccanismi si basano su elementi di entropia reale proveniente dall’hardware, garantendo in questo modo la totale assenza di schemi rintracciabili dai software d’attacco.
La strada verso una protezione autentica e impenetrabile passa unicamente attraverso strumenti progettati per quello specifico scopo. Laddove le piattaforme web e le applicazioni lo consentano, le passkey rappresentano l’alternativa moderna ed ermetica per eccellenza.
