Usar a IA para gerar uma password? É melhor não o fazer

Hoje em dia, e seguindo o que é normal, confiamos tudo à IA. Isso tem pontos muito positivos, mas em outras vertentes pode ser muito prejudicial. Especialistas em segurança alertam agora que no que toca à geração de uma password a IA não deve ser usada, colocando os utilizadores em riscos graves.

Usar a IA para gerar uma password?
Muitas pessoas veem a IA como o novo deus que pode fazer tudo. No entanto, pela sua própria natureza, existem tarefas em que é bastante ineficiente. Se valoriza a sua segurança, não peça à IA para gerar uma palavra-passe para si.
A empresa de segurança Irregular pediu ao ChatGPT, ao Claude e à Gemini que gerassem palavras-passe fortes e seguras. Com isso descobriu-se que quase todas são previsíveis e fracas do ponto de vista da segurança.
“Os indivíduos e os agentes de codificação não devem confiar em LLMs (Extended Language Models) para gerar palavras-passe”, refere o relatório da Irregular. “As palavras-passe geradas pelos LLM são fundamentalmente fracas, e isso não pode ser corrigido por ajustes de temperatura ou sugestões: os LLM são otimizados para produzir resultados previsíveis e plausíveis, o que é incompatível com a geração de palavras-passe fortes.”
Segundo o revelado, estes especialistas em segurança pediram a diferentes soluções de IA que gerasse palavras-passe seguras de 6 caracteres, incluindo caracteres especiais, números e letras. Detetaram que a IA gerou padrões repetidos e até resultados idênticos em diferentes pedidos.
Por sua segurança, é melhor não o fazer
Todas as palavras-passe geradas por Claude começavam por uma letra, normalmente G. O segundo caractere era quase sempre um 7. Além disso, todas as 50 chaves que gerou continham os caracteres L, 9, m, 2, $ e #. As outras IA fizeram exatamente a mesma coisa. O ChatGPT iniciava quase todas as suas palavras-passe com a letra v, e quase metade delas tinha a letra Q como segundo dígito.
O Gemini, por sua vez, inicia uma boa parte das suas passwords com a letra k e, como segundo caractere, utiliza #, P ou 9. Do ponto de vista de um especialista em segurança , estas palavras-passe são muito fracas e mais fáceis de quebrar do que as palavras-passe completamente aleatórias. O problema é que parecem seguras para os utilizadores porque não estão familiarizados com estes padrões.
Mas um hacker conseguirá quebrá-las mais facilmente se assumir que foram geradas por inteligência artificial. A razão para esta falta de habilidade reside na forma como a IA funciona. É treinada para gerar padrões com base em probabilidades estatísticas, em vez de resultados aleatórios.
A aleatoriedade, ou entropia, é muito importante numa palavra-passe, e estes padrões previsíveis de IA reduzem a entropia. Portanto, mesmo que não pareça, as palavras-passe geradas pela IA são inseguras. Se precisar de uma palavra-passe, não peça à IA para criar uma para si.