- As senhas geradas por IA seguem padrões que os hackers podem analisar
- A complexidade superficial esconde a previsibilidade estatística por baixo
- A lacuna de entropia nas senhas de IA expõe fraquezas estruturais no login de IA
Modelos de linguagem grande (LLM) podem fazer com que as senhas pareçam complexas, mas testes recentes sugerem que essas strings estão longe de ser aleatórias.
Um estudo da Irregular analisou a saída de senhas de sistemas de IA como Claude, ChatGPT e Gemini, pedindo a cada um que gerasse senhas de 16 caracteres com símbolos, números e letras maiúsculas.
À primeira vista, os resultados pareciam fortes e passaram nos testes padrão de força da rede. Alguns verificadores pensaram que levaria séculos para quebrá-los, mas uma análise mais detalhada dessas senhas contou uma história diferente.
As senhas LLM mostram repetição e padrões estatísticos intrigantes
Quando os pesquisadores analisaram 50 senhas geradas em sessões separadas, muitas eram duplicadas e várias seguiam padrões estruturais quase idênticos.
A maioria deles começava e terminava com tipos de caracteres semelhantes e nenhum tinha caracteres repetidos.
Esta falta de repetição pode parecer tranquilizadora, no entanto, indica que o resultado segue convenções aprendidas em vez de verdadeira aleatoriedade.
Usando cálculos de entropia baseados em estatísticas de caracteres e probabilidades de log de modelo, os pesquisadores estimaram que essas senhas geradas por IA continham entre 20 e 27 bits de entropia.
Uma senha verdadeiramente aleatória de 16 caracteres normalmente mediria entre 98 e 120 bits usando os mesmos métodos.
A lacuna é significativa e, em termos práticos, pode-se dizer que a senha fica suscetível a ataques de força bruta em questão de horas, mesmo em hardware desatualizado.
O medidor de força da senha online avalia a complexidade superficial, não os padrões estatísticos escondidos atrás de uma string, e como as ferramentas de IA não levam em consideração como o texto é gerado, elas podem classificar resultados previsíveis como seguros.
Os invasores que entendem esses padrões podem melhorar suas estratégias de adivinhação, reduzindo significativamente o espaço de busca.
O estudo também descobriu que sequências semelhantes aparecem em repositórios e documentação de códigos públicos, sugerindo que as senhas geradas por IA já estão amplamente disponíveis.
Se os desenvolvedores confiarem nesses resultados durante os testes ou implantação, o risco aumentará com o tempo; na verdade, mesmo os sistemas de IA que geram essas senhas não são totalmente confiáveis e podem emitir avisos quando pressionados.
O Gemini 3 Pro, por exemplo, retornou sugestões de senha avisando que as credenciais geradas no chat não devem ser utilizadas para contas confidenciais.
Ele aconselhou os usuários a confiarem em um gerenciador de senhas dedicado em vez de senhas.
O gerador de senhas integrado a essas ferramentas depende da aleatoriedade criptográfica e não da previsão linguística.
Em termos simples, os LLMs são treinados para produzir textos credíveis e repetíveis, e não sequências imprevisíveis, pelo que a preocupação mais ampla é estrutural.
Os princípios de design por trás das senhas geradas pelo LLM se alinham aos requisitos de autenticação segura, proporcionando proteção com uma brecha.
“Pessoas e agentes de criptografia não deveriam confiar em LLMs para gerar senhas”, disse Irregular.
“As senhas geradas pela saída direta do LLM são inerentemente fracas, o que não pode ser corrigido por avisos ou ajustes de temperatura: os LLMs são otimizados para gerar uma saída previsível e plausível, o que é incompatível com a geração de senhas fortes.”
Através registro
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
