サイバーセキュリティ企業のHome Security Heroesが、ニューラルネットワークでパスワード予測を行うAI「PassGAN」を使って実際のパスワードを解析する実験の結果を発表したのを紹介。それによると、一般的なパスワードのおよそ半分が1分で、65%が1時間で解析できてしまったとのこと。
2023 Password Cracking: How Fast Can AI Crack Passwords?
https://www.homesecurityheroes.com/ai-password-cracking/
通常、パスワードの解析に使われるパスワード推測は、膨大なデータを元にパスワード分析を行うというやり方で、こうした方法は小規模で予測可能なパスワードの場合は効率的に解析可能ですが、サンプルサイズが大きくパターンが複雑になってくると非常に時間がかかってしまう。今回Home Security Heroesが用いたPassGANは(敵対的生成ネットワークGAN)の1種で、「Generative Network」と「Discrimnate Network」という2つの対立するニューラルネットワークで構成されています。PassGANはGenerative Networkが偽のパスワードサンプルを生成し、その偽のパスワードサンプルと本物のパスワードサンプルを混ぜたものをDiscrimnate Networkが判別するというシステムで、学習を重ねるごとにパスワードの予測精度が上がっていくのが特徴。これにより、PassGANは従来のパスワード解析ツールと比べてより広範囲にわたって迅速な解析が可能になります。
Home Security Heroesのテストでは、ソーシャルゲームサイトのRockYouから流出した「RockYouデータセット」から1568万件のパスワードを引用し、18文字以上あるいは4文字未満のパスワードを除外した上で、PassGANに解析させたとのこと。
その結果の表を日経が4月28日の電子版に掲載していた。
その結果、パスワードの51%がわずか1分以内に解析できてしまったとのこと。また、1時間以内に全体の65%が、1日以内であれば71%、1カ月以内であれば81%が解析できてしまったそうです。また、数字やアルファベットだけではなく記号が含まれている場合でも、7文字のパスワードだと6分ほどで解析できてしまったとHome Security Heroesは報告しています。
GigaZine社は、Home Security Heroesの推薦を以下の様に引用していた。
◎「18文字を超えるパスワードはPassGANに対して安全だといえます」
◎18文字以上の場合、数字のみで構成されているパスワードでも解析には少なくとも10カ月かかり、記号・数字・アルファベットの小文字と大文字で構成されたパスワードの解読には600京年かかる。
◎パスワードは最低でも15文字以上、大文字・小文字・数字・記号を組み合わせて作ることを推奨。
◎PassGANによる解読を防ぐためには、重要なパスワードは数か月ごとに変更するといった運用も有効。
