Brand Logo
Intelligenza Artificiale28 Febbraio 20268 min

Password generate con l’AI: perché potrebbero non essere sicure (e cosa fare subito)

Condividi
Password generate con intelligenza artificiale e sicurezza informatica

Password generate con l’AI: il rischio nascosto che può compromettere i tuoi account

L’intelligenza artificiale è ormai uno strumento utilizzato quotidianamente per scrivere codice, creare contenuti e persino generare password. Sempre più utenti chiedono a chatbot avanzati come ChatGPT, Claude o Gemini di creare password sicure, lunghe e complesse. A prima vista potrebbe sembrare la soluzione perfetta: l’AI può generare in pochi secondi combinazioni con lettere, numeri e simboli apparentemente casuali. Ma c’è un problema: le password create dall’AI potrebbero non essere realmente sicure. Diversi studi nel campo della cybersecurity hanno dimostrato che queste password possono seguire schemi prevedibili, risultando meno robuste di quelle generate con metodi crittografici tradizionali.

Un tastierino numerico rappresenta la sicurezza d’accesso con codice: anche se un codice può apparire complesso, non è detto che sia davvero imprevedibile. Le password generate da modelli di AI spesso seguono pattern ripetitivi anziché vera casualità.

Come funziona realmente l’AI quando genera una password

Per capire il problema, è importante comprendere come funziona un modello di intelligenza artificiale quando gli si chiede di generare una password. Un LLM (Large Language Model) non genera sequenze realmente casuali, ma produce testo basandosi su probabilità e pattern appresi durante l’addestramento. Questo significa che tende a riutilizzare strutture simili, genera password con schemi riconoscibili, e molte password risultano persino simili tra loro. In pratica, dietro un’apparente complessità possono nascondersi regole prevedibili. In un test condotto dal team di sicurezza Irregular, ad esempio, su 50 password generate da un modello AI la stessa stringa è comparsa ben 18 volte, e molte altre condividevano struttura e caratteri quasi identici. Anche con modelli diversi (Claude, ChatGPT, Gemini) sono emersi prefissi ricorrenti e insiemi ristretti di simboli usati ripetutamente.

Una password davvero sicura, invece, deve essere completamente casuale e imprevedibile ad ogni carattere. I generatori di password professionali utilizzano algoritmi crittografici progettati appositamente per produrre sequenze casuali, prive di schemi ripetuti. Un password manager affidabile, ad esempio, si basa su generatori di numeri aleatori crittografici, ben diversi dal meccanismo di completamento testuale probabilistico di un modello linguistico.

Il concetto di entropia: il vero fattore che determina la sicurezza

La solidità di una password si basa su un concetto chiamato entropia, che misura il grado di casualità (e quindi di imprevedibilità) di una stringa. Maggiore è l’entropia, più la password è difficile da indovinare con attacchi di forza bruta. Le password generate dall’AI possono sembrare complesse a prima vista, ma spesso hanno un livello di entropia inferiore rispetto a quelle create da un sistema realmente casuale. Questo le rende più vulnerabili ad attacchi come brute force, dictionary attack o attacchi basati su pattern ripetitivi. Gli hacker possono sfruttare questi pattern per ridurre drasticamente il tempo necessario a violare un account.

Confronto dell’entropia: una password di 16 caratteri generata da un modello di AI può avere solo ~20–27 bit di entropia, contro ~98 bit di una password davvero casuale. La differenza è enorme: in pratica la password da AI può essere scoperta in ore o pochi milioni di tentativi, mentre una password casuale equivalente richiederebbe tempi astronomici (secoli) per essere violata.

In termini pratici, significa che una password generata da un LLM risulta molto meno resistente: alcuni esperti hanno dimostrato che persino computer datati possono scoprire queste password in poche ore, proprio perché la sequenza segue schemi troppo prevedibili. Al contrario, una password con alta entropia (casuale) di pari lunghezza richiederebbe trillioni di anni per essere trovata con forza bruta. In sostanza, l’uso ingenuo dell’AI per le password rischia di annullare i benefici di una password lunga, esponendoci di nuovo ai vecchi attacchi brute-force ottimizzati tramite dizionari di pattern comuni.

Perché questo è un problema reale nel 2026

Un lucchetto a combinazione e una carta di credito simboleggiano la protezione di dati sensibili (conti bancari, email, etc.): nel 2026 gran parte della nostra vita digitale è protetta da password, e una sola password debole può mettere a rischio molte informazioni.

Oggi utilizziamo password per praticamente ogni aspetto della vita digitale: email, conti bancari, servizi cloud, gestionali aziendali, social media, accesso a server e molto altro. Nel 2026, la maggior parte dei nostri account critici dipende ancora da questa forma di autenticazione. Basta che una password venga compromessa perché un attaccante ottenga accesso a informazioni sensibili o sistemi critici a cascata (molti utenti tendono anche a riutilizzare le stesse credenziali su più servizi, aggravando il rischio).

Il problema diventa ancora più grave per sviluppatori, aziende e professionisti IT, che spesso custodiscono nei loro account dati estremamente delicati. Una falla nella password può equivalere a una porta aperta nella fortezza digitale aziendale. Ecco perché comprendere i limiti delle password generate con l’AI non è solo teoria, ma ha implicazioni pratiche serie sulla sicurezza quotidiana.

Il modo corretto per generare password realmente sicure

La soluzione non è smettere di usare l’AI in assoluto, ma di utilizzare gli strumenti giusti quando si tratta di sicurezza. Ecco alcune strategie per creare e gestire password veramente robuste:

  1. Utilizzare un password manager sicuro – I password manager affidabili (come Bitwarden, 1Password, Proton Pass, ecc.) includono generatori crittografici che producono password lunghe e totalmente casuali. Questi strumenti sono progettati con algoritmi di alta entropia e archiviano le credenziali in forma cifrata, rendendo la gestione delle password sia più sicura che più comoda. Affidarsi a un password manager elimina anche la tentazione di riutilizzare le stesse password su siti diversi.
  2. Utilizzare un password manager sicuro – I password manager affidabili (come Bitwarden, 1Password, Proton Pass, ecc.) includono generatori crittografici che producono password lunghe e totalmente casuali. Questi strumenti sono progettati con algoritmi di alta entropia e archiviano le credenziali in forma cifrata, rendendo la gestione delle password sia più sicura che più comoda. Affidarsi a un password manager elimina anche la tentazione di riutilizzare le stesse password su siti diversi.
  3. Attivare sempre l’autenticazione a due fattori (2FA) – La 2FA aggiunge un secondo livello di sicurezza oltre alla password. Anche se qualcuno scoprisse la vostra password, non potrà accedere all’account senza fornire il secondo fattore (che sia un codice temporaneo sul telefono, una notifica di approvazione, un token hardware o un dato biometrico). Questo mitiga enormemente il rischio, perché un attaccante dovrebbe compromettere due cose separate invece di una. Ovunque possibile, abilitate l’autenticazione multi-fattore sugli account più importanti (email, banca, servizi cloud, ecc.).

Esempio di richiesta di conferma tramite app di autenticazione (Microsoft Authenticator) come secondo fattore di sicurezza per l’accesso a un account. Anche disponendo della password, un attaccante senza questo secondo codice non può procedere.

Il futuro della sicurezza: addio alle password

Le grandi aziende tecnologiche stanno già sperimentando e implementando metodi alternativi che promettono di mandare in pensione le password. La direzione è quella delle passkey (chiavi di accesso) e dell’autenticazione passwordless. Queste nuove soluzioni sfruttano metodi come:

  • Biometria (riconoscimento dell’impronta digitale, del volto o dell’iride)
  • Dispositivi fisici di sicurezza (es. token USB/NFC, smart key)
  • Autenticazione crittografica distribuita (coppie di chiavi pubbliche/private conservate sui device dell’utente)

In pratica, si passa da un “segreto” che l’utente deve ricordare (la password) a un elemento fisico o biologico che non può essere rubato o indovinato a distanza. Ad esempio, le passkey implementano lo standard FIDO2/WebAuthn: il login avviene tramite una chiave crittografica privata custodita sul dispositivo dell’utente (sbloccata con PIN o biometria) che dialoga con la parte pubblica sul server. Questo elimina completamente la trasmissione di password e i rischi associati ad esse (phishing, credential stuffing, leak di database, ecc.).

Una chiave di sicurezza fisica (come la YubiKey mostrata in foto) rappresenta una tipologia di passkey: può essere inserita nel PC o telefono e validare in modo crittografico l’identità dell’utente. Metodi simili, insieme alla biometria, puntano a sostituire le password tradizionali nei prossimi anni.

Il vantaggio è duplice: da un lato l’utente non deve più gestire decine di password complesse, dall’altro per un criminale informatico diventa quasi impossibile rubare o indovinare le credenziali di accesso, perché sono legate a qualcosa che l’utente possiede (un dispositivo) o è (un tratto biometrico), non più a qualcosa che sa. Grandi attori come Google, Apple, Microsoft e molte aziende enterprise stanno spingendo in questa direzione, tanto che nel 2026 le passkey non sono più una sperimentazione ma una realtà supportata dai principali ecosistemi. Ci vorrà tempo perché le password vengano del tutto rimpiazzate, ma il percorso è tracciato: il futuro dell’autenticazione sarà passwordless.

Conclusione

L’intelligenza artificiale è uno strumento potente che sta rivoluzionando molti campi, ma non è progettata per generare password realmente sicure. Le password ottenute direttamente dall’AI possono seguire pattern prevedibili e risultare vulnerabili agli attacchi. Se hai utilizzato l’AI per creare le tue password, considera di cambiarle al più presto adottando metodi più sicuri: un buon password manager, passphrase lunghe o l’autenticazione a due fattori. In prospettiva, tieni d’occhio le tecnologie emergenti come le passkey, che promettono di eliminare del tutto i rischi legati alle password. La sicurezza digitale oggi è fondamentale: investire qualche minuto per migliorare le proprie difese può risparmiarci enormi grattacapi domani.

Fonti: Le informazioni e i dati citati provengono da ricerche e approfondimenti recenti nel campo della cybersecurity, tra cui uno studio del team Irregular sulle password generate da AI e articoli specialistici su test di entropia e metodi di autenticazione avanzata.

Leggi anche

Perché utilizzare Next.js nel 2026 (e quando conviene davvero)
Perché utilizzare Next.js nel 2026 (e quando conviene davvero)
TagAI 2026AI sicurezzacybersecurityintelligenza artificialepassword sicurezzasicurezza informatica
Condividi

Scritto da

Pasquale Bottiglieri

Software Engineer & Founder di Bottiglieri Design

Scopri di più

Commenti

Nessun commento ancora. Sii il primo a commentare!

Lascia un commento

Articoli correlati

AI cambierà il lavoro? Sì. E lo sta già facendo.
Intelligenza Artificiale2 Marzo 2026

AI cambierà il lavoro? Sì. E lo sta già facendo.

AI cambierà il lavoro? Sostituirà i professionisti soprattutto del settore tech? Sì, se non riusciranno a farsi entrare in testa una cosa: è una nuova era.Un...

Leggi l'articolo

Hai un progetto in mente?

Raccontami la tua idea. Ti rispondo entro 24 ore con una prima valutazione gratuita.

Contattami