Irregular: senhas de IA do ChatGPT, Claude e Gemini são fáceis de quebrar

Introdução

Senhas geradas por IA estão no centro do debate de segurança. A Irregular analisou ChatGPT, Claude e Gemini e concluiu que essas senhas são previsíveis e, portanto, fáceis de quebrar. O alerta é direto, senhas geradas por IA não entregam a entropia necessária para resistir a ataques modernos.

A matéria do TechSpot, publicada em 19 de fevereiro de 2026, resumiu bem o achado, senhas criadas por grandes modelos de linguagem parecem complexas, porém exibem padrões repetitivos e escolhas de caracteres nada aleatórias. Isso derruba a entropia, aumenta a chance de colisões e torna a quebra muito mais viável.

O que este artigo aborda

• O que a Irregular encontrou ao testar senhas geradas por IA.
• Por que LLMs não produzem verdadeira aleatoriedade e como isso mina a segurança.
• Exemplos práticos e implicações para pessoas e empresas.
• Caminhos seguros, geradores com CSPRNG, gestores de senhas e, principalmente, passkeys.

O que a pesquisa da Irregular realmente mostrou

A Irregular testou versões atuais dos principais modelos, incluindo Claude Opus 4.6, GPT 5.2 e a família Gemini. O padrão é claro, senhas geradas por IA repetem estruturas, exibem preferências de caracteres e até repetem exatamente as mesmas cadeias entre tentativas. Em um lote de 50 senhas do Claude Opus 4.6, surgiram apenas 30 únicas, e a mesma senha apareceu 18 vezes. Isso é o oposto do que se espera de 100 bits de entropia.

O relatório revela ainda tendências de início de senha e composição. No Claude, senhas começavam com letra, muitas vezes G maiúsculo, seguida com frequência por 7. Conjuntos como L, 9, m, 2, cifrão e cerquilha apareciam em todas as senhas do lote. ChatGPT tinha viés por começar com v e usar Q cedo. No Gemini, o k dominava no início, com variações de cerquilha, P ou 9 como segundo caractere. São padrões fáceis de explorar em ataque inteligente.

A própria Irregular explica a raiz do problema, LLMs são mecanismos de previsão de tokens, não amostradores uniformes de caracteres. Em vez de sortear letras com distribuição uniforme e fonte de entropia confiável, eles perpetuam padrões plausíveis. Resultado, senhas geradas por IA podem parecer fortes aos olhos, mas são fracas por design.

![Ilustração de cadeado simples para senha]

Por que senhas geradas por IA são previsíveis

A segurança de uma senha depende menos de complexidade visual e mais de entropia, isto é, imprevisibilidade real. Na análise, a Irregular detalha que geradores robustos usam CSPRNG, gerador pseudoaleatório criptográfico, para garantir distribuição uniforme e imprevisível. Já LLMs operam por probabilidade condicional de próximos tokens, criando viés estatístico, preferências de caracteres e estruturas repetitivas. Isso reduz a entropia efetiva e encurta o tempo de quebra por força bruta ou ataques orientados por dicionários e regras.

O TechSpot reforça o ponto, mesmo quando as senhas geradas por IA incluem maiúsculas, minúsculas, dígitos e símbolos, o padrão por trás das escolhas é previsível. E previsibilidade é exatamente o que atacantes exploram com eficiência.

Outras análises independentes convergem. Em 2025, a Kaspersky alertou que modelos populares frequentemente ignoram, na prática, seus próprios conselhos de complexidade. Em testes com mil senhas por modelo, faltavam caracteres especiais ou dígitos em frações relevantes, e algumas saíam até abaixo de 12 caracteres. Isso confirma que senhas geradas por IA, além de previsíveis, podem falhar em requisitos básicos.

Exemplos práticos e como isso vira risco no mundo real

A Irregular documenta que agentes de código, ao automatizar tarefas, às vezes inserem senhas geradas por IA no código, sem chamar bibliotecas seguras de geração aleatória. Em auditorias, esse “vibe password generation” passa batido, porque a senha parece forte. O risco é duplo, a senha é fraca e está embutida no repositório. Para equipes de engenharia, isso vira débito de segurança imediato.

No lado do usuário final, a aparência de complexidade convence. Fornecedores de segurança apontam que, sob GPU moderna, cadeias de baixa entropia caem rápido. Mesmo sem IA avançada para adivinhação, dicionários e regras bem afinadas encurtam muito o tempo de quebra. A conclusão é pragmática, não use senhas geradas por IA como fonte primária, especialmente para contas críticas.

![Tela de login, senha mascarada sobre teclado]

Medidas imediatas para quem ainda usa senhas

• Use um gestor de senhas com gerador baseado em CSPRNG. Bons geradores entregam entropia alta e distribuição uniforme entre caracteres, sem padrões de preferência do modelo. A própria Irregular reforça que essa é a base de um gerador forte.
• Evite compor senhas “bonitas” à mão. Zxcvbn, biblioteca aberta do Dropbox, mostra que políticas de complexidade ingênuas aceitam senhas aparentemente fortes, mas triviais de adivinhar. Prefira senhas longas geradas aleatoriamente, ou então passphrases realmente imprevisíveis, porém, idealmente, use passkeys para contas que ofereçam.
• Treine times e configure linters de segurança no CI para barrar senhas hardcoded e instruir agentes a chamar bibliotecas seguras, evitando que agentes de IA introduzam cadeias fracas no código sem revisão. A Irregular encontrou casos em que agentes escolheram gerar a senha com o próprio modelo, em vez de uma chamada segura.

Por que passkeys reduzem drasticamente o problema

Passkeys eliminam a senha do fluxo do usuário, usando chaves assimétricas e autenticação resistente a phishing. A FIDO Alliance reportou, em dezembro de 2024, mais de 15 bilhões de contas com passkeys disponíveis e ganhos objetivos, Google registrou 2,5 bilhões de sign-ins com passkeys e melhoria de taxa de sucesso e velocidade. Em 2025, a FIDO reforçou que 69 por cento dos consumidores já habilitaram passkeys em pelo menos uma conta, e 74 por cento dizem conhecer o recurso, sinal de maturidade de mercado.

Resultados operacionais também chamam atenção. Em 2025, a FIDO apresentou índices de sucesso de login com passkeys na casa de 93 por cento, mais que o dobro de métodos convencionais. Isso significa menos atrito, menos tickets de suporte, menos abandono de carrinho e menos resets. Para empresas, segurança sobe, experiência melhora e custo cai.

O movimento é amplo e visível. Relatórios e coberturas de mercado indicam que suporte a passkeys já chegou a quase metade dos 100 maiores sites em 2025, com grandes marcas como Amazon, Sony e TikTok relatando ganhos. É um caminho claro para reduzir a dependência de senhas.

O que equipes podem fazer já, um plano de ação simples

1. Política, proíba senhas geradas por IA em scripts, provisionamento e código de aplicação. Documente e socialize o porquê, senhas geradas por IA exibem padrões e baixa entropia. Aponte geradores com CSPRNG do próprio gestor de senhas corporativo.
2. Ferramentas, ative geração de senhas com entropia mínima por regra do gestor e configure verificadores de força baseados em zxcvbn para educar usuários, sem criar políticas punitivas de composição.
3. Automação, ajuste agentes e copilotos para sempre chamar bibliotecas seguras de geração aleatória, não o modelo, quando precisarem criar segredos. A Irregular demonstrou que versões de agentes preferiram o atalho inseguro quando mal instruídas.
4. Adoção gradual de passkeys, priorize contas de alto risco, admin, painel financeiro, acesso a dados sensíveis. A FIDO documenta adesão crescente e ganhos operacionais que ajudam a destravar a decisão.
5. Métricas, acompanhe taxa de sucesso de login, volume de resets e incidentes de credenciais. Relatórios de mercado mostram que passkeys aumentam taxa de sucesso e reduzem atrito, valide internamente.

E os medidores de força e novas pesquisas

Mesmo medidores inteligentes podem introduzir riscos se treinados com corpora sensíveis, estudos recentes mostram que alguns medidores sofrem ataques de inferência de membros, vazando padrões e senhas vistas no treino. Para equipes que mantêm medidores próprios, vale revisar privacidade dos dados de treino e adotar medições robustas. Em paralelo, há avanços em estimadores de força com aprendizado adversarial, melhorando a classificação e guiando usuários para escolhas mais difíceis de adivinhar.

Perguntas comuns e respostas objetivas

• Senhas geradas por IA podem ser salvas no gestor para ficarem seguras? Armazenar ajuda, mas não resolve a baixa entropia da origem. Se a senha é fraca por padrão de geração, o cofre apenas guarda um segredo fácil de adivinhar. Melhor gerar senhas com CSPRNG no próprio gestor.
• E se o prompt pedir aleatoriedade máxima, com temperatura alta? A Irregular deixa claro, a previsibilidade está no processo de amostragem do LLM, não no texto do prompt. Ajustar temperatura não transforma o modelo em CSPRNG.
• Vale usar passphrase longa no lugar de senha aleatória curta? Para quem ainda precisa de senha, passphrases bem construídas podem ser fortes, mas, quando disponível, passkey é superior por design, elimina compartilhamento de segredo e é resistente a phishing.

Conclusão

Ficou claro que senhas geradas por IA não são solução de segurança. A Irregular mostrou duplicações, vieses de caracteres e padrões fáceis de inferir em ChatGPT, Claude e Gemini, o que derruba a entropia e facilita ataques. Mesmo quando a cadeia parece complexa, sem repetição de caracteres e com símbolos variados, o padrão subjacente entrega a previsibilidade que o atacante precisa.

O caminho prático está à mão. Adote geradores com CSPRNG embutidos em gestores de senhas, eduque pessoas com verificadores maduros e acelere a migração para passkeys. Os números de adoção e sucesso mostram que a experiência melhora enquanto o risco cai. Segurança eficiente acontece quando técnica e usabilidade puxam na mesma direção, e isso hoje significa deixar senhas geradas por IA de fora do seu plano.