最新の生成AIがどれほどの速度でパスワードを解読出来るのかについて、セキュリティ会社「HOME SECURITY HEROES」が研究結果を発表しています。
*Category:テクノロジー Technology *Source:9to5Mac ,HOME SECURITY HEROES
最新AI「PassGAN」の凄まじいパスワード解析力
研究で使われたのは最新のパスワード解読AI「PassGAN(password generative adversarial network)」。一般的なパスワード解析ツールとは違い、「流出したパスワードの分布を自律的に学習することで、高品質な予測パスワードを生成できる」ことが特徴とされています。
GANのニューラルネットワークは、さまざまな特性や構造を記録するように設計されています。この技術は、パスワード分析に関する知的システムの訓練に使用されるデータ群であるRockYouデータセットを使用して訓練されました。トレーニング後、GANは獲得した知識を活用し、ニューラルネットワークの分布に従った新しいサンプルパスワードを作成することができました。
このAIを使い、Rockyouデータセットから15,000,000以上のパスワードのリストを処理したところ、その結果は凄まじいものでした。
同社によればPassGANは、一般的なパスワードの51%を1分未満、65%を1時間未満で、71%を1日未満で、81%を実用的といえる1ヶ月未満で解読したとのこと。
パスワードが数字のみであれば、11桁でも瞬時に解読することができます。最小のパスワードの構成として一般的な、数字と大文字・小文字を使った8文字のパスワードでもかかる時間はたった48分です。
では、どのようなパスワードであれば安全なのでしょうか?「HOME SECURITY HEROES」はこれについて、「18文字以上」としています。
PassGANは数字だけのパスワードを解読するのに10ヶ月、記号、数字、小文字、大文字を含むパスワードを解読するのに6,000億年かかるため、18文字以上のパスワードはAIパスワードクラッカーに対して一般的に安全です。
とはいえ、これまで使ってきたパスワードのほとんどが一瞬で解読できてしまうというのは脅威です。テックメディア「9to5Mac」はこれを受け、パスワードの安全をチェックリストを公開しています。
- 2FA/MFAを利用している(可能な限りSMSベースでないもの)
- アカウント間でパスワードを再利用しない
- 可能な限り自動生成されたパスワードを使用する
- 特に機密性の高いアカウントのパスワードは定期的に更新する
- 公衆無線LANの利用を控える(特に銀行口座やそれに類する口座の利用を控える
なお「HOME SECURITY HEROES」は、ランダムなパスワードが実際にどのくらいの時間で解読されるかを分析できるツールも公開しています。入力内容は保存されないとされていますが、実際に使っているものは入力しないほうが無難でしょう。