Sou meio quebrado quando se trata de segurança pessoal na internet: crie senhas fortes para cada conta; nunca reutilize nenhuma senha; e inscreva-se para autenticação de dois fatores sempre que possível. Com essas três etapas combinadas, sua segurança geral está praticamente definida. Mas a maneira como você cria essas senhas é tão importante quanto torná-las fortes e únicas. Como tal, não use um programa de IA para gerar suas senhas.
Se você é fã de chatbots como ChatGPT, Claude ou Gemini, pode parecer óbvio pedir à IA que gere senhas para você. Você pode gostar de como eles lidam com outras tarefas para você, então pode fazer sentido que algo aparentemente tão de alta tecnologia, mas acessível, possa produzir senhas seguras para suas contas. Mas os LLMs (grandes modelos de linguagem) não são necessariamente bons em tudo, e a criação de boas senhas está entre essas falhas.
Senhas geradas por IA não são seguras
Conforme destacado pelo Malwarebytes Labs, os pesquisadores investigaram recentemente senhas geradas por IA e avaliaram sua segurança. Resumidamente? As descobertas não são boas. Os pesquisadores testaram a geração de senhas no ChatGPT, Claude e Gemini e descobriram que as senhas eram “altamente previsíveis” e “não verdadeiramente aleatórias”. Claude, em particular, não se saiu bem: em 50 solicitações, o bot só conseguiu gerar 23 senhas exclusivas. Claude deu a mesma senha como resposta 10 vezes. O Register relata que os pesquisadores encontraram falhas semelhantes em sistemas de IA como GPT-5.2, Gemini 3 Flash, Gemini 3 Pro e até mesmo Nano Banana Pro. (O Gemini 3 Pro até avisou que as senhas não deveriam ser usadas para “contas confidenciais”.)
A questão é que esses resultados parecem bons superficialmente. Eles parecem indecifráveis porque são uma mistura de números, letras e caracteres especiais, e os identificadores de força da senha podem dizer que são seguros. Mas essas gerações são inerentemente falhas, seja porque são resultados repetidos ou porque vêm com um padrão reconhecível. Os pesquisadores avaliaram a “entropia” dessas senhas, ou a medida de imprevisibilidade, tanto com “estatísticas de caracteres” quanto com “probabilidades de log”. Se tudo isso parece técnico, o importante a notar é que os resultados mostraram entropias de 27 bits e 20 bits, respectivamente. Os testes de estatísticas de caracteres procuram entropia de 98 bits, enquanto as estimativas de probabilidades de log procuram 120 bits. Você não precisa ser um especialista em entropia de senhas para saber que essa é uma lacuna enorme.
Os hackers podem usar essas limitações a seu favor. Os malfeitores podem executar os mesmos prompts que os pesquisadores (ou, presumivelmente, os usuários finais) e coletar os resultados em um banco de senhas comuns. Se os chatbots repetem senhas em suas gerações, é lógico que muitas pessoas possam estar usando as mesmas senhas geradas por esses chatbots – ou tentando senhas que sigam o mesmo padrão. Nesse caso, os hackers poderiam simplesmente tentar essas senhas durante tentativas de invasão e, se você usasse um LLM para gerar sua senha, ela poderia corresponder. É difícil dizer qual é esse risco exato, mas para ser verdadeiramente seguro, cada uma das suas senhas deve ser totalmente única. Potencialmente, usar uma senha que os hackers possuem em um banco de palavras é um risco desnecessário.
Pode parecer surpreendente que um chatbot não seja bom em gerar senhas aleatórias, mas faz sentido com base em como funcionam. Os LLMs são treinados para prever o próximo token, ou ponto de dados, que deve aparecer em uma sequência. Nesse caso, o LLM está tentando escolher os personagens que fazem mais sentido aparecerem a seguir, o que é o oposto de “aleatório”. Se o LLM tiver senhas em seus dados de treinamento, ele poderá incorporá-las em sua resposta. A senha que ele gera faz sentido em sua “mente”, porque foi para isso que foi treinado. Não está programado para ser aleatório.
Não é difícil criar uma senha segura
Enquanto isso, os gerenciadores de senhas tradicionais não são LLMs. Em vez disso, eles são projetados para produzir uma sequência verdadeiramente aleatória, pegando bits criptográficos e convertendo-os em caracteres. Esses resultados não são baseados em dados de treinamento existentes e não seguem padrões, portanto, as chances de alguém ter a mesma senha que você (ou de hackers a terem armazenada em um banco de palavras) são mínimas. Existem muitas opções para usar, e a maioria dos gerenciadores de senhas vem com geradores de senhas seguros.
O que você acha até agora?
Mas você nem precisa de um desses programas para criar uma senha segura. Basta escolher duas ou três palavras “incomuns”, misturar alguns caracteres e pronto: você tem uma senha aleatória, única e segura. Por exemplo, você pode pegar as palavras “deve”, “murk” e “tumble” e combiná-las em “sH@_llMurktUmbl_e”. (Não use esse, pois não é mais exclusivo.)
As chaves de acesso podem ser ainda mais seguras do que as senhas
Se você deseja aumentar ainda mais sua segurança pessoal, considere as chaves de acesso sempre que possível. As chaves de acesso combinam a conveniência das senhas com a segurança do 2FA: com as chaves de acesso, seu dispositivo é sua senha. Você usa sua autenticação integrada para fazer login (digitalização facial, impressão digital ou PIN), o que significa que não há senha para criar. Sem o dispositivo confiável, os hackers não conseguirão invadir sua conta.
Nem todas as contas suportam chaves de acesso, o que significa que não são uma solução universal no momento. Você provavelmente precisará de senhas para algumas de suas contas, o que significa seguir métodos de segurança adequados para manter as coisas em ordem. Mas substituir algumas de suas senhas por chaves de acesso pode ser um avanço tanto em segurança quanto em conveniência – e evita as armadilhas de segurança de pedir ao ChatGPT para criar suas senhas para você.
