セキュリティ

大半のパスワードを1分以内にクラッキングできるAI「PassGAN」が登場、どんなパスワードであればPassGANでも解析不可能なのか?


サイバーセキュリティ企業のHome Security Heroesが、ニューラルネットワークでパスワード予測を行うAI「PassGAN」を使って実際のパスワードを解析する実験の結果を発表しました。それによると、一般的なパスワードのおよそ半分が1分で、65%が1時間で解析できてしまったとのことです。

2023 Password Cracking: How Fast Can AI Crack Passwords?
https://www.homesecurityheroes.com/ai-password-cracking/


通常、パスワードの解析に使われるパスワード推測はシンプルなデータ駆動型のツールが使われます。つまり、膨大なデータを元にパスワード分析を行うというやり方で、こうした方法は小規模で予測可能なパスワードの場合は効率的に解析可能ですが、サンプルサイズが大きくパターンが複雑になってくると非常に時間がかかってしまうとのこと。

今回Home Security Heroesが用いたPassGANは敵対的生成ネットワーク(GAN)の1種で、「Generative Network」とc「Discrimnate Network」という2つの対立するニューラルネットワークで構成されています。PassGANはGenerative Networkが偽のパスワードサンプルを生成し、その偽のパスワードサンプルと本物のパスワードサンプルを混ぜたものをDiscrimnate Networkが判別するというシステムで、学習を重ねるごとにパスワードの予測精度が上がっていくのが特徴。これにより、PassGANは従来のパスワード解析ツールと比べてより広範囲にわたって迅速な解析が可能になります。


Home Security Heroesのテストでは、ソーシャルゲームサイトのRockYouから流出した「RockYouデータセット」から1568万件のパスワードを引用し、18文字以上あるいは4文字未満のパスワードを除外した上で、PassGANに解析させたとのこと。

その結果、パスワードの51%がわずか1分以内に解析できてしまったとのこと。また、1時間以内に全体の65%が、1日以内であれば71%、1カ月以内であれば81%が解析できてしまったそうです。また、数字やアルファベットだけではなく記号が含まれている場合でも、7文字のパスワードだと6分ほどで解析できてしまったとHome Security Heroesは報告しています。


その上で、Home Security Heroesは「18文字を超えるパスワードはPassGANに対して安全だといえます」と述べています。18文字以上の場合、数字のみで構成されているパスワードでも解析には少なくとも10カ月かかり、記号・数字・アルファベットの小文字と大文字で構成されたパスワードの解読には600京年かかるそうです。


パスワードの文字数と構成文字種ごとに、PassGANによる解析にかかる時間をまとめた表が以下。


Home Security Heroesは、パスワードは最低でも15文字以上、大文字・小文字・数字・記号を組み合わせて作ることを推奨しました。また、PassGANによる解読を防ぐためには、重要なパスワードは数か月ごとに変更するといった運用も有効だとしています。

この記事のタイトルとURLをコピーする

・関連記事
「Password1234」などの超単純パスワードがアメリカ政府機関で大量に使われていた - GIGAZINE

パスワードを過去のものにするAppleの「Passkeys」とは? - GIGAZINE

経営者や管理職も脆弱なパスワードやダサいパスワードを使いがち - GIGAZINE

完璧にパスワードを設定するための4つの方法 - GIGAZINE

パスワード管理アプリ「LastPass」の情報流出は社員の自宅PCハッキングが原因 - GIGAZINE

上海警察から流出した10億人分の個人情報は1年以上パスワードなしで公開されていたことが判明 - GIGAZINE

・関連コンテンツ

in ソフトウェア,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article here.