- As senhas geradas por IA seguem padrões que os hackers podem estudar.
- A complexidade da superfície esconde a previsibilidade estatística por baixo dela.
- A lacuna de entropia nas senhas de IA revela fraquezas estruturais nos logins de IA.
Grandes modelos de linguagem (LLMs) podem gerar senhas de aparência complexa, mas testes recentes mostraram que essas strings não são aleatórias.
A pesquisa da Irregular examinou a saída de senhas de sistemas de IA como Claude, ChatGPT e Gemini, cada um solicitando que gerassem uma senha de 16 caracteres composta de símbolos, números e uma mistura de letras maiúsculas e minúsculas.
À primeira vista, os resultados pareciam fortes e passaram nos habituais testes de força online. Alguns verificadores estimaram que levaria séculos para decifrá-las, mas uma análise mais detalhada dessas senhas conta uma história diferente.
As senhas LLM mostram padrões estatísticos repetíveis e adivinháveis.
Quando os pesquisadores analisaram 50 senhas criadas em sessões separadas, descobriram que muitas eram duplicadas e algumas seguiam padrões estruturais quase idênticos.
A maioria começa e termina com tipos de caracteres semelhantes e não contém caracteres repetidos.
Esta falta de repetição pode parecer tranquilizadora, mas na verdade é um sinal de que o resultado segue regras aprendidas e não uma verdadeira aleatoriedade.
Usando cálculos de entropia baseados em estatísticas de caracteres e probabilidade de log de modelo, os pesquisadores estimaram que essas senhas geradas por IA carregam aproximadamente 20 a 27 bits de entropia.
Na prática, uma senha aleatória de 16 caracteres geralmente é medida da mesma forma, entre 98 e 120 bits.
A lacuna é significativa e, na prática, pode significar que essas senhas podem ficar vulneráveis a ataques de força bruta em poucas horas, mesmo em hardware mais antigo.
Os medidores de força de senha on-line avaliam a complexidade superficial em vez de padrões estatísticos ocultos atrás de strings. As ferramentas de IA podem gerar texto e classificar resultados previsíveis como seguros.
Os invasores que entendem esses padrões podem melhorar suas estratégias de adivinhação para restringir drasticamente o espaço de pesquisa.
O estudo também encontrou sequências semelhantes aparecendo em repositórios e documentos de códigos públicos, sugerindo que as senhas geradas por IA podem já estar em ampla circulação.
Se os desenvolvedores confiarem nesses resultados durante os testes ou a implantação, o risco aumentará com o tempo. Na verdade, mesmo os sistemas de IA que geram essas senhas não confiam totalmente nelas e podem emitir avisos quando pressionados.
Por exemplo, o Gemini 3 Pro retornou uma sugestão de senha com a ressalva de que as credenciais geradas no chat não devem ser usadas para contas confidenciais.
Em vez disso, recomendou senhas e aconselhou os usuários a usar um gerenciador de senhas dedicado.
Os geradores de senhas integrados a essas ferramentas dependem da aleatoriedade criptográfica, e não da previsão linguística.
Simplificando, a preocupação mais ampla é estrutural, uma vez que os LLMs são treinados para produzir textos plausíveis e repetíveis, em vez de sequências imprevisíveis.
Os princípios de design das senhas geradas pelo LLM entram em conflito com os requisitos de autenticação de segurança, portanto fornecem proteção por meio de espaços.
“Humanos e agentes de codificação não deveriam confiar no LLM para gerar senhas”, disse Irregular.
“As senhas geradas por meio de saída direta do LLM são inerentemente fracas e não podem ser resolvidas por prompts ou ajustes de temperatura. O LLM é otimizado para produzir resultados previsíveis e plausíveis, o que é incompatível com a geração segura de senhas.”
através registrar
Siga o TechRadar no Google Notícias e Adicione-nos como fonte preferencial Receba notícias, análises e opiniões de especialistas em seu feed. Certifique-se de clicar no botão seguir!
Claro que você também pode Siga o TechRadar no TikTok Confira novidades, análises, unboxings em formato de vídeo e receba atualizações regulares. WhatsApp fazer.
