- Las contraseñas generadas por IA siguen patrones que los piratas informáticos pueden estudiar
- La complejidad de la superficie esconde debajo la previsibilidad estadística
- Las brechas de entropía en las contraseñas de IA exponen debilidades estructurales en los inicios de sesión de IA
Los modelos de lenguaje grande (LLM) pueden hacer que las contraseñas parezcan complejas, pero pruebas recientes sugieren que estas cadenas están lejos de ser aleatorias.
Un estudio de Irregular examinó la salida de contraseñas de sistemas de inteligencia artificial como Claude, ChatGPT y Gemini, pidiendo a cada uno que generara contraseñas de 16 caracteres con símbolos, números y letras mayúsculas.
A primera vista, los resultados parecían sólidos y pasaron las pruebas de seguridad comunes en línea, y algunos verificadores estimaron que descifrarlas llevaría mucho tiempo, pero una mirada más cercana a estas contraseñas contó una historia diferente.
Las contraseñas de LLM muestran patrones estadísticos repetitivos y adivinables
Cuando los investigadores analizaron 50 contraseñas generadas en sesiones separadas, muchas eran duplicadas y varias seguían patrones estructurales casi idénticos.
La mayoría comenzaba y terminaba con tipos de caracteres similares y ninguno contenía caracteres repetidos.
Esta falta de repetición puede parecer tranquilizadora, pero en realidad indica que el resultado sigue convenciones aprendidas y no una verdadera aleatoriedad.
Utilizando cálculos de entropía basados en estadísticas de caracteres y probabilidades de registro de modelos, los investigadores estimaron que estas contraseñas generadas por IA contenían entre 20 y 27 bits de entropía.
Una contraseña genuinamente aleatoria de 16 caracteres normalmente mediría entre 98 y 120 bits mediante los mismos métodos.
La brecha es sustancial y, en términos prácticos, podría significar que dichas contraseñas sean vulnerables a ataques de fuerza bruta en cuestión de horas, incluso en hardware obsoleto.
Los medidores de seguridad de contraseñas en línea evalúan la complejidad superficial, no los patrones estadísticos ocultos detrás de una cadena, y debido a que no tienen en cuenta cómo Herramientas de IA generan texto, pueden clasificar los resultados predecibles como seguros.
Los atacantes que comprenden estos patrones pueden perfeccionar sus estrategias de adivinación, reduciendo drásticamente el espacio de búsqueda.
El estudio también encontró que aparecen cadenas similares en documentación y repositorios de códigos públicos, lo que sugiere que es posible que las contraseñas generadas por IA ya estén circulando ampliamente.
Si los desarrolladores confían en estos resultados durante las pruebas o la implementación, el riesgo aumenta con el tiempo; de hecho, incluso los sistemas de inteligencia artificial que generan estas contraseñas no confían plenamente en ellas y pueden emitir advertencias cuando se presionan.
El Gemini 3 Pro, por ejemplo, devolvió sugerencias de contraseña junto con una advertencia de que las credenciales generadas por el chat no deben usarse para cuentas confidenciales.
En cambio, recomendó contraseñas y aconsejó a los usuarios que confiaran en un servidor dedicado. administrador de contraseñas.
UNO generador de contraseñas integrado en estas herramientas se basa en la aleatoriedad criptográfica en lugar de la predicción del lenguaje.
En términos simples, los LLM están capacitados para producir textos plausibles y repetibles, no secuencias impredecibles, por lo que la preocupación más amplia es estructural.
Los principios de diseño detrás de las contraseñas generadas por LLM entran en conflicto con los requisitos de autenticación segura, por lo que ofrecen protección con un vacío legal.
“Las personas y los agentes de codificación no deberían confiar en los LLM para generar contraseñas”, dijo Irregular.
“Las contraseñas generadas a través de la salida directa de LLM son fundamentalmente débiles y esto no se puede corregir mediante indicaciones o ajustes de temperatura: los LLM están optimizados para producir resultados predecibles y plausibles, lo cual es incompatible con la generación segura de contraseñas”.
A través de El récord
Siga TechRadar en Google News y agréganos como fuente preferida para recibir noticias, análisis y opiniones de expertos en tus feeds. ¡Asegúrate de hacer clic en el botón Seguir!
Y por supuesto que tú también puedes Siga TechRadar en TikTok para noticias, reseñas, unboxings en formato de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp también.
