人工知能(AI)を使ってパスワードを生成するのは悪い考えです。そのパスワードが犯罪者に渡る可能性が高く、犯罪者は辞書攻撃に利用できます。辞書攻撃とは、攻撃者があらゆる組み合わせを試す代わりに、事前に用意した可能性の高いパスワード(単語、フレーズ、パターン)のリストを自動ツールで次々に試す攻撃手法です。
AIサイバーセキュリティ企業IrregularがChatGPT、Claude、Geminiをテストしたところ、生成されるパスワードは「予測可能性が極めて高く」、真にランダムではないことが判明した。Claudeのテストでは、50のプロンプトからわずか23の固有パスワードが生成された。1つの文字列が10回出現し、その他多くのパスワードも同様の構造を共有していた。
これは問題になる可能性がある。
従来、攻撃者は辞書攻撃に使用するため、一般的なパスワード、実際の漏洩データ、パターン化された変種(単語に数字や記号を加えたもの)で構成される単語リストを作成またはダウンロードしてきた。AIチャットボットが提供する一般的なパスワードを千程度追加する作業は、ほとんど労力を要しない。
AIチャットボットは学習した内容に基づいて回答を提供するように訓練されています。それらは既存の知識から次に何が来るかを予測するのは得意ですが、全く新しいものを創造することには向いていません。
研究者らが述べたように:
大規模言語モデル(LLM)は、最も可能性の高い次のトークンを予測することで機能します。これは、安全なパスワード生成に必要なもの——均一で予測不可能なランダム性——とは正反対の特性です。
過去に、コンピューターがそもそもランダム性を生成するのが得意でない理由を説明しました。パスワード管理ツールはこの問題を回避するため、LLMで見られるようなパターンベースのテキスト生成ではなく、現実世界のエントロピーを組み込んだ専用の暗号学的乱数生成器を使用しています。
言い換えれば、優れたパスワード管理ツールはAIのようにパスワードを「生成」するわけではない。OSに暗号化用の乱数ビットを要求し、それを直接文字に変換するため、攻撃者が学習できる隠れたパターンが存在しない。
パスワードを入力するウェブサイトやプラットフォームは、そのパスワードが強力だと表示する場合があります。しかし、パスワードを再利用すべきでないという基本的な理由と同じことが当てはまります。サイバー犯罪者が既にそのパスワードを入手しているなら、強力なパスワードに何の意味があるでしょうか?
パスワードよりもパスキーを推奨していますが、常に選択肢があるとは限りません。パスワードを使用せざるを得ない場合は、AIに生成させないでください。安全とは言えません。既に生成させてしまった場合は、変更を検討し、多要素認証(2FA)を追加してアカウントのセキュリティを強化してください。
私たちはプライバシーについて単に報告するだけでなく、それを活用する選択肢を提供します。
Privacy 出し以上の広がりを見せてはならない。オンラインプライバシーを守るには Malwarebytes Privacy VPNで守ってください。
