Dia Mundial da Password 2025 : Palavras-chave criadas por IA são mais fracas do que aparentam

João Fernandes Por
maio 01, 2025
Dia Mundial da Password 2025 : Palavras-chave criadas por IA são mais fracas do que aparentam
Notícias

Quantas passwords tem cada utilizador? A maioria dos serviços e aplicações online exige que o utilizador crie uma password. Muitas dessas não são utilizadas diariamente, pelo que há uma grande probabilidade de que sejam reutilizadas.

A gestão inadequada de passwords é agravada por uma dependência de combinações comuns de nomes, palavras e números. Não só estas passwords são relativamente fáceis de decifrar, como podem facilitar o acesso a múltiplos websites, se forem utilizadas em diferentes serviços e plataformas. As pessoas são impulsionadas a criar passwords únicas. No entanto, a criação e gestão de passwords pode ser uma tarefa árdua.

Os utilizadores são encorajados a criar passwords únicas e aleatórias para contrariar a vulnerabilidade de utilização da mesma em vários serviços. No entanto, criar e gerir passwords pode ser uma tarefa árdua. Para fazer face aos desafios da criação e gestão de credenciais, os utilizadores recorrem, muitas vezes, aos grandes modelos de linguagem (LLM) como o ChatGPT, o Llama ou o DeepSeek para criar novas passwords. Basta pedirem à plataforma de IA para “Gerar uma password segura” e obtém um resultado instantâneo. A IA produz cadeias de caracteres que parecem aleatórias, o que ajuda a evitar a tendência humana de criar credenciais previsíveis e baseadas em dicionários. No entanto, as passwords geradas podem não ser assim tão seguras como parecem.

Alexey Antonov, Chefe da Equipa de Ciência de Dados da Kaspersky, gerou 1000 passwords através de alguns dos LLMs mais proeminentes, incluindo o ChatGPT (plataforma criada pela OpenAI), o Llama (modelo do grupo Meta) e o DeepSeek (plataforma recém-chegada à China).

"Todos os modelos sabem que uma boa password é composta por pelo menos 12 caracteres, incluindo letras maiúsculas e minúsculas, números e símbolos. Informam-no quando as geram. O DeepSeek e o Llama criaram passwords consistentes, com palavras de dicionário, nas quais, em vez de algumas letras, colocam números S@d0w12, M@n@go3, B@n@n@7 (DeepSeek), K5yB0a8dS8, S1mP1eL1on (Lllama). Ambos os modelos criaram passwords usando a palavra "password": P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama). Escusado será dizer que estas passwords não são seguras. O truque da substituição de letras é conhecido e não é difícil de desvendar”, acrescenta Alexey Antonov.

O ChatGPT não sofre deste problema e gera passwords aleatórias. Alguns exemplos:

  • qLUx@^9Wp#YZ
  • LU#@^9WpYqxZ
  • YLU@x#Wp9q^Z
  • YLp^9W#qX@zv
  • P@zq^XWLY#v9
  • v#@LqYXW^9pz
  • X@9pYWq^#Lzv

No entanto, ao observar com atenção, é possível ver alguns padrões. Por exemplo, o número 9 é frequentemente encontrado e os caracteres x, p, l e L são os mais utilizados.

Por outro lado, a plataforma Lhama prefere a utilização do símbolo # e das letras p, l e L.

O DeepSeek também demonstra tendências semelhantes, utilizando, na maioria dos casos, as letras t,w,q e k.

Frequency of character usage by different language models when generating a thousand passwords. Note that almost every password generated by ChatGPT contains the letters x, p, I, and L.

Um gerador aleatório ideal não daria preferência a nenhuma letra e todos os símbolos apareceriam, aproximadamente, o mesmo número de vezes. Além disso, os algoritmos muitas vezes negligenciaram a inserção de um carácter especial ou dígitos nas opções de passwords: 26% das passwords do ChatGPT, 32% das passwords do Llama e 29% das passwords do DeepSeek não contém qualquer caracter especial ou dígito numérico. Por outro lado, o DeepSeek e o Llama geraram passwords com menos de 12 caracteres.

Conhecendo estas dependências, os cibercriminosos podem mudar as suas estratégias de forma a ter acesso às passwords dos utilizadores.

Em 2024, Antonov desenvolveu um algoritmo de aprendizagem automática para testar a força e complexidade das passwords e descobriu que quase 60% podem ser decifradas em menos de uma hora, utilizando GPUs modernas ou ferramentas de decifração baseadas na cloud. Quando aplicado a passwords geradas por IA, os resultados foram alarmantes. As passwords geradas por IA eram muito menos seguras do que pareciam. Cerca de 88% das opções geradas pelo DeepSeek e 87% criadas pelo Llama não eram fortes nem complexas o suficiente para resistir a ataques de cibercriminosos sofisticados. Já o ChatGPT demonstrou mais competências, sendo que apenas 33% das passwords não resistiriam às técnicas aplicadas pelos atacantes, de acordo com este algoritmo.

 "O problema dos LLMs é que, na verdade, não criam uma verdadeira aleatoriedade. Em vez disso, limitam-se a copiar padrões de dados existentes, tornando os seus resultados previsíveis para os atacantes que compreendem como estes modelos funcionam”, conclui Antonov.

Adotar uma gestão de passwords mais segura

Em vez de os utilizadores utilizarem a IA para gerarem passwords, devem optar por um software de gestão de password dedicado, como por exemplo o Kaspersky Password Manager. Estas ferramentas oferecem inúmeras vantagens na gestão de passwords.

  • Em primeiro lugar, este tipo de software utiliza geradores seguros e encriptados para criar passwords, sem quaisquer padrões detetáveis, garantindo uma verdadeira aleatoriedade.
  • Em segundo lugar, todas as credenciais são armazenadas num cofre seguro, protegidas por uma única password mestra, eliminado assim a necessidade de decorar centenas de passwords, mantendo-as a salvo de violações.
  • Além disso, os gestores de passwords permitem o preenchimento automático das credenciais e a sincronização entre dispositivos, simplificando os inícios de sessão sem comprometer a segurança dos utilizadores. Muitos também incluem monitorização de violações, alertando os utilizadores em caso de as suas credenciais serem alvo de uma fuga de informação.
  • Embora a Inteligência Artificial possa facilitar muitas das tarefas dos utilizadores, a criação de passwords não é uma delas. Os padrões e a previsibilidade dos LLM tornam-nos vulneráveis. Em vez de recorrerem a atalhos, a Kaspersky aconselha que os utilizadores apostem num gestor de passwords de confiança, a primeira linha de defesa contra ciberameaças. Numa altura em que as violações de dados são cada vez mais recorrentes, uma password única para cada conta não é negociável.

A Kaspersky é uma empresa global de cibersegurança e privacidade digital fundada em 1997. Com mais de mil milhões de dispositivos protegidos até à data contra ciberameaças emergentes e ataques direcionados, a profunda inteligência de ameaças e a experiência em segurança da Kaspersky estão constantemente a transformar-se em soluções e serviços inovadores para proteger indivíduos, empresas, infraestruturas críticas e governos em todo o mundo. O vasto portfólio de segurança da empresa inclui proteção digital líder para dispositivos pessoais, produtos e serviços de segurança especializados para empresas, bem como soluções focadas na ciberimunidade para combater ameaças digitais sofisticadas e em constante evolução. Ajudamos milhões de indivíduos e mais de 200.000 clientes corporativos a proteger o que é mais importante para eles. 

Classifique este item
(0 votos)
Ler 252 vezes
Tagged em
Mais nesta categoria: « Dia Mundial da Palavra-Passe 2025: Está na hora de dizer adeus às palavras-passe Check Point Research lança Relatório de Segurança em IA »

Itens relacionados

Top