米国のセキュリティ企業Home Security Heroesは、AIを用いたパスワードのクラックにかかる時間についての調査結果を発表した。
調査ではAIによるパスワードの生成/解析ツールとして「PassGAN」を例に挙げ、実際に漏洩したパスワードリストを学習/解析させたうえで1,568万個のパスワードを評価した結果、「一般的なパスワード」のうち51%を1分以内、65%を1時間以内、71%を1日以内、81%を1カ月以内に推測できたとしている。
PassGANはその名の通り敵対的生成ネットワークによりパスワードの生成規則を学習する(今回は「Rock You」と呼ばれる公開データセットを利用)ため、HashCatなどのパスワード復元ツールが持っている「単語の連結」や「文字の置き換え」(いわゆるLeet Speak)といった辞書拡張機能よりも現実的に採用されうるパスワードを生成できる確率が高いとされている。なお調査結果のWebサイトでは、パスワードの推測にかかる時間をリアルタイムに表示する入力フォームも用意している。
Home Security Heroesではパスワードの解析にPassGANを用いた場合にかかる時間を桁数と文字種の組み合わせごとにまとめており、これによれば数字のみのパスワードは18桁でも10カ月しかもたず、アルファベットの大文字/小文字/数字/記号の組み合わせでも8桁程度なら7時間で解析できることが示された。
これを踏まえて同社では、安全性の高いパスワードの要件として「15文字以上であること」、「アルファベットの大文字と小文字/数字/記号を含めること」、「3~6カ月ごとにパスワードを変更すること」を挙げたほか、「パスワードを使い回さない」運用を勧めている。
入力したパスワードの解析にかかる時間を表示するフォームを設置している
AIがパスワードの解析にかかる時間を桁数と文字種ごとにまとめた
コメント