Recenti valutazioni sulla robustezza delle password hanno rivelato una tendenza preoccupante: quasi il 90% delle password generate da modelli di intelligenza artificiale (AI) come DeepSeek e Llama sono più suscettibili a sofisticate tecniche di hacking rispetto a quelle create dagli individui. Ciò espone una vulnerabilità significativa nell’affidarsi all’intelligenza artificiale per le misure di sicurezza.
La vulnerabilità delle password generate dall’AI
I test condotti evidenziano un netto contrasto tra le password generate dall’AI e quelle create dall’uomo. Mentre circa il 60% delle password impostate dagli individui può essere violato entro un’ora utilizzando moderni strumenti di cracking basati su GPU o cloud, il tasso di successo sale vertiginosamente all’88% e all’87% per le password generate rispettivamente da DeepSeek e Llama. ChatGPT, un altro modello di AI, si è comportato un po’ meglio, con un tasso di vulnerabilità del 33%.
Questi risultati, rilasciati in una dichiarazione di Kaspersky, servono da monito contro l’adozione acritica di password generate dall’AI. Il fascino di password apparentemente casuali e complesse prodotte da questi modelli può creare un falso senso di sicurezza.
I pericoli degli schemi prevedibili
Il problema con le password generate dall’AI risiede nella loro metodologia sottostante. Anziché creare sequenze veramente casuali, questi modelli imitano i modelli di dati esistenti. Questa prevedibilità li rende vulnerabili agli hacker che comprendono come operano questi modelli.
Secondo Aleksandr Antalov, responsabile del team di data science di Kaspersky, i modelli di AI non generano vera casualità. Invece, imparano da e replicano i modelli che si trovano nei dati esistenti. Ciò significa che gli hacker che comprendono i dati di addestramento e gli algoritmi del modello possono prevedere i tipi di password che è probabile che produca.
Per illustrare questo punto, gli esperti di sicurezza hanno generato 1.000 password utilizzando diversi modelli linguistici di grandi dimensioni (LLM) popolari, tra cui ChatGPT, Llama e DeepSeek. Queste password sono state quindi sottoposte a rigorosi test di resistenza.
Debolezze specifiche di DeepSeek e Llama
I test hanno rivelato specifiche debolezze nelle password generate da DeepSeek e Llama. Mentre la linea guida generale per una password forte include almeno 12 caratteri con un mix di lettere maiuscole e minuscole, numeri e simboli, DeepSeek e Llama a volte generavano password contenenti parole del dizionario o sostituendo le lettere con numeri visivamente simili.
Queste pratiche riducono significativamente la sicurezza delle password. La tecnica di sostituire le lettere con simboli o numeri è una tattica ben nota utilizzata dagli individui che cercano di creare password "forti", ma è facilmente sconfitta dai moderni strumenti di cracking. Al contrario, le password generate da ChatGPT sono apparse più casuali e meno prevedibili.
Incongruenze nella composizione dei caratteri
Ulteriori analisi hanno rivelato incongruenze nella composizione dei caratteri delle password generate dall’AI. Tutti e tre i modelli di AI hanno mostrato preferenze per determinate lettere, numeri e simboli. Inoltre, a volte hanno trascurato di includere simboli speciali o numeri nelle password. ChatGPT non è riuscito a includere questi caratteri nel 26% delle sue password generate, mentre Llama e DeepSeek hanno avuto tassi di omissione del 32% e del 29%, rispettivamente. DeepSeek e Llama a volte generavano anche password più corte dei 12 caratteri raccomandati.
Queste incongruenze e distorsioni forniscono agli aggressori informazioni preziose che possono essere sfruttate per accelerare il processo di cracking delle password. Comprendendo i modelli e le debolezze di queste password generate dall’AI, i criminali informatici possono ridurre significativamente il tempo e le risorse necessarie per compromettere gli account.
L’importanza di una solida gestione delle password
Date le vulnerabilità delle password generate dall’AI, gli esperti raccomandano vivamente che gli individui adottino pratiche di gestione delle password più sicure. Invece di fare affidamento sull’AI, gli utenti dovrebbero prendere in considerazione l’utilizzo di software di gestione delle password professionale per generare e archiviare password forti e univoche.
I gestori di password offrono diversi vantaggi rispetto alle password generate dall’AI. Possono creare password veramente casuali che sono difficili da indovinare o violare. Archiviano anche le password in modo sicuro, eliminando la necessità per gli utenti di ricordare più password complesse. Inoltre, molti gestori di password offrono funzionalità come il riempimento automatico delle password e il monitoraggio delle violazioni, migliorando ulteriormente la sicurezza e la comodità.
Raccomandazioni chiave per una solida sicurezza delle password
Per proteggersi dalle minacce informatiche, è fondamentale seguire queste raccomandazioni per una solida sicurezza delle password:
Crea password univoche: evita di riutilizzare la stessa password su più account. Se un account viene compromesso, tutti gli account che utilizzano la stessa password diventano vulnerabili.
Utilizza password forti: le password devono essere lunghe almeno 12 caratteri e includere un mix di lettere maiuscole e minuscole, numeri e simboli.
Evita parole del dizionario e informazioni personali: non utilizzare parole del dizionario, nomi, date di nascita o altre informazioni facilmente intuibili nelle password.
Abilita l’autenticazione a più fattori (MFA): MFA aggiunge un ulteriore livello di sicurezza richiedendo una seconda forma di verifica, come un codice inviato al tuo telefono, oltre alla tua password.
Utilizza un gestore di password: un gestore di password può generare e archiviare password forti e univoche per tutti i tuoi account.
Aggiorna regolarmente le password: cambia periodicamente le tue password, soprattutto per gli account sensibili.
Fai attenzione agli attacchi di phishing: e-mail e siti web di phishing possono indurti a rivelare le tue password. Fai attenzione alle e-mail e ai siti web sospetti che richiedono le tue credenziali di accesso.
Monitora i tuoi account per attività sospette: controlla regolarmente i tuoi account per eventuali segni di accesso non autorizzato.
Comprendere i rischi dell’AI nella sicurezza
Sebbene l’AI offra molti potenziali vantaggi nella sicurezza informatica, è essenziale comprenderne i limiti e i potenziali rischi. I modelli di AI sono validi solo quanto i dati su cui sono addestrati e possono essere vulnerabili agli attacchi avversari.
Nel caso della generazione di password, i modelli di AI possono inavvertitamente creare schemi prevedibili che rendono le password più facili da violare. Pertanto, è fondamentale utilizzare gli strumenti di AI in modo responsabile e integrarli con altre misure di sicurezza.
Il futuro della sicurezza delle password
Il futuro della sicurezza delle password probabilmente coinvolgerà una combinazione di AI e altre tecnologie. L’AI può essere utilizzata per analizzare la robustezza delle password e identificare potenziali vulnerabilità. Può anche essere utilizzata per rilevare e prevenire attacchi basati su password.
Tuttavia, è essenziale ricordare che l’AI non è una panacea. È solo uno strumento in una strategia di sicurezza completa. Per stare al passo con le minacce informatiche, gli individui e le organizzazioni devono adottare un approccio a più livelli alla sicurezza che includa password forti, MFA, gestori di password e altre misure di sicurezza.
Il ruolo dell’istruzione e della consapevolezza
In definitiva, il modo più efficace per migliorare la sicurezza delle password è attraverso l’istruzione e la consapevolezza. Gli individui devono comprendere i rischi delle password deboli e l’importanza di adottare solide pratiche di gestione delle password.
Le organizzazioni devono anche educare i propri dipendenti sulla sicurezza delle password e fornire loro gli strumenti e le risorse di cui hanno bisogno per proteggere i propri account. Aumentando la consapevolezza e promuovendo le migliori pratiche, possiamo collettivamente ridurre il rischio di attacchi basati su password e creare un ambiente online più sicuro.
Alternative alle password tradizionali
Oltre a una migliore gestione delle password, anche l’esplorazione di alternative alle password tradizionali sta guadagnando terreno. L’autenticazione biometrica, come il riconoscimento delle impronte digitali e del viso, offre un’alternativa comoda e sicura. Anche i metodi di autenticazione senza password, che si basano su chiavi crittografiche e dispositivi invece di password, stanno emergendo come una soluzione promettente.
Questi metodi di autenticazione alternativi possono ridurre significativamente la dipendenza dalle password tradizionali e rendere più difficile per gli aggressori compromettere gli account.
Affrontare il fattore umano nella sicurezza delle password
Una delle maggiori sfide nella sicurezza delle password è il fattore umano. Anche con i migliori strumenti e tecnologie di sicurezza, gli individui possono comunque commettere errori che compromettono i propri account.
Ad esempio, le persone possono scegliere password deboli, riutilizzare password su più account o cadere vittime di attacchi di phishing. Per affrontare il fattore umano, è essenziale fornire agli utenti formazione e supporto per aiutarli a prendere decisioni di sicurezza migliori.
Le organizzazioni dovrebbero anche implementare politiche e procedure per applicare solide pratiche di gestione delle password. Ciò può includere la richiesta ai dipendenti di utilizzare password forti, l’abilitazione di MFA e la fornitura di formazione sulla consapevolezza della sicurezza regolare.
Collaborazione e condivisione delle informazioni
Migliorare la sicurezza delle password richiede collaborazione e condivisione delle informazioni tra individui, organizzazioni e fornitori di sicurezza. Condividendo informazioni sulle minacce e migliori pratiche, possiamo rafforzare collettivamente le nostre difese contro gli attacchi basati su password.
I fornitori di sicurezza possono svolgere un ruolo cruciale in questo sforzo sviluppando soluzioni di sicurezza innovative e fornendo aggiornamenti e patch tempestivi per affrontare le vulnerabilità. Le organizzazioni possono contribuire condividendo le proprie esperienze e migliori pratiche con gli altri.
Miglioramento continuo e adattamento
Il panorama delle minacce è in continua evoluzione, quindi è essenziale migliorare e adattare continuamente le nostre pratiche di sicurezza delle password. Ciò significa rimanere informati sulle ultime minacce e vulnerabilità e implementare nuove misure di sicurezza secondo necessità.
Significa anche rivedere e aggiornare regolarmente le nostre politiche e procedure di sicurezza per garantire che rimangano efficaci. Abbracciando una cultura del miglioramento continuo, possiamo stare un passo avanti rispetto agli aggressori e proteggere i nostri account dalla compromissione.
Considerazioni finali: un approccio proattivo alla sicurezza
In conclusione, mentre l’AI offre potenziali vantaggi nella generazione di password, le sue vulnerabilità inerenti richiedono un approccio cauto. Fare affidamento esclusivamente su password generate dall’AI può creare un falso senso di sicurezza e aumentare il rischio di attacchi informatici.
Un approccio proattivo alla sicurezza comporta la comprensione dei limiti dell’AI, l’adozione di solide pratiche di gestione delle password, l’esplorazione di metodi di autenticazione alternativi, l’affrontare il fattore umano, il promuovere la collaborazione e l’abbracciare il miglioramento continuo. Adottando questi passaggi, possiamo migliorare significativamente la nostra sicurezza delle password e proteggere le nostre vite digitali dai danni.