A promessa de segurança oferecida pelas passwords geradas por Inteligência Artificial (IA) pode ser ilusória. Um estudo recente conduzido por Alexey Antonov, Chefe da Equipa de Ciência de Dados da Kaspersky, conclui que muitas das passwords criadas por modelos de linguagem como o ChatGPT, Llama e DeepSeek apresentam padrões previsíveis e fragilidades que podem ser exploradas por cibercriminosos.
A recomendação de criar palavras-passe únicas e aleatórias leva muitos a recorrer à IA como ferramenta para gerar credenciais mais robustas. No entanto, o estudo de Antonov revela que essa confiança pode ser mal colocada.
O especialista da Kaspersky gerou mil passwords utilizando os três modelos de IA mais conhecidos e identificou tendências preocupantes. DeepSeek e Llama, por exemplo, criaram passwords com palavras comuns e substituições de letras por números (como P@ssw0rd ou B@n@n@7), um truque antigo e fácil de descodificar. “Escusado será dizer que estas passwords não são seguras”, afirma Antonov.
O ChatGPT, por sua vez, revelou-se mais eficaz ao gerar cadeias aparentemente aleatórias, como qLUx@^9Wp#YZ ou X@9pYWq^#Lzv. Ainda assim, mesmo estas apresentaram padrões repetitivos, com destaque para a presença frequente do número 9 e das letras x, p, l e L. Idealmente, um gerador aleatório não deveria privilegiar determinados caracteres.
Pior ainda, cerca de um terço das passwords geradas por todos os modelos analisados não continham qualquer símbolo especial ou número, e algumas tinham menos de 12 caracteres – abaixo do mínimo recomendado para uma password segura.
De forma a aferir a robustez das passwords, Antonov aplicou um algoritmo de aprendizagem automática desenvolvido em 2024. Os resultados foram preocupantes: quase 60% das palavras-passe analisadas podiam ser decifradas em menos de uma hora com recurso a GPUs modernas ou ferramentas cloud. No caso das passwords geradas por IA, 88% das criadas pelo DeepSeek e 87% pelo Llama revelaram-se vulneráveis. O ChatGPT teve melhor desempenho, mas mesmo assim, um terço das suas passwords não resistiu aos testes.