生成AIが51%のパスワードを1分で解読したらしい
「生成AIが51%のパスワードを1分で解読したらしい」
この言葉を聞いて、あなたはどう思いましたか?私は正直、危機感を感じました。
しかし、それと同時にセキュリティ対策について考えるいい機会だとも感じました。
パスワードはどの業種、どの業界の企業でも扱っているでしょうから、これを機会にぜひ一緒に考えてみましょう。
本記事では、生成AIのパスワード解読に関する調査レポートの概要と安全なパスワードの条件を紹介します。
よりセキュリティを高める対策も紹介するので、AIやセキュリティ対策に関心がある場合は、ぜひ最後までご覧ください。
生成AIが51%のパスワードを1分未満で解読した
「AIがパスワードを解読できた」
この言葉が真実なら、あなたは驚くでしょうか。
アメリカのセキュリティ系の企業「ホーム・セキュリティー・ヒーローズ」は、生成AIがパスワードを解読する時間についての調査レポートを発表しました。
このレポート内の調査では、AIを搭載しているハッキングツール「PassGAN」を用いて実験が行われたのです。
調査では、4文字以上18文字以下で、過去使用された1,568万ものパスワードを対象に、解析までの時間を調べました。
すると、51%のパスワードが1分以内に解読され、65%が1時間以内、71%が1日以内で解読されたのです。
これは「AIを利用すれば、4文字以上18文字以下のパスワードは容易に解読できてしまう」と言っても過言ではないでしょう。
しかし、それと同時に18文字以上のパスワードについては、大きく時間がかかったことが発表されています。
数字のみの18文字のパスワードには約10カ月かかり、記号と数字、アルファベットの小文字・大文字が含まれたものは600京年かかるという結果が出たのです。
つまり、解読されにくいパスワードを目指すなら、まず文字数を多くするところから始めるのが先決です。
AIに解読されるならもうパスワードは設定する意味がない?
4文字以上18文字以下のパスワードで、51%のパスワードが1分以内、約70%のパスワードは1日で解読されてしまうというデータが出ました。
「どうせAIに解読されてしまうなら、もうパスワードをかける意味がないのでは?」
このように考える方もいるでしょう。しかし、すべての人がAIを利用してパスワードを解析するわけではありません。
たとえば、出先でトイレに社用のスマートフォンを忘れてしまったとしましょう。もしパスワードをかけていなければ、たまたま拾った人でも中身を見ることができ、社内情報が流出する危険性があります。
しかし、18文字以内でもパスワードをかけていれば、知らない人にスマートフォンのデータを見られる危険性はグッと下がるでしょう。そのため「パスワードをかける意味がない」ということはないのです。
とはいえ、使いまわしや簡単な文字列だと、容易に特定されてサイバー攻撃の標的になってしまいます。パスワードをかけるからには、安全なパスワードにする必要があるのです。
安全なパスワードの3つの条件
「安全なパスワード」と言われて、あなたはすぐに条件が思いつくでしょうか。条件を知っていれば、チェックリスト方式で安全なパスワードを作りやすくなります。
安全なパスワードの主な条件は、以下の3つです。
・意味のある文字列は使わない
・アルファベット(大文字/小文字)・数字・記号を入れる
・18文字以上で設定する
それぞれ具体的にどのようにすればいいのか、詳しく見ていきましょう。
① 意味のある文字列は使わない
パスワード作成の際は数字やアルファベットを用いる機会が多いと思いますが、意味のある文字列にすると、特定されやすくなってしまいます。
たとえば、誕生日(12月23日→1223)や英単語(happy、smile)などをパスワードに入れると、個人に関連があったり他の人も知っている文字列だったりするため、特定の難易度が下がります。
逆に、意味のない文字列だとヒントがないため、特定されにくくなります。パスワード作成の際は、意味のある文字列は使わないようにしましょう。
② アルファベット(大文字/小文字)・数字・記号を入れる
パスワードは、基本的に複数の要素が組み合わさっているほど特定が難しくなります。たとえば、数字のみのパスワードよりは、アルファベット(大文字/小文字)・数字・記号が入っているパスワードの方が特定しづらいのです。
また、複数の要素が入っているパスワードのなかでも、順番ではなく、ランダムに要素が出てくるパスワードの方が特定されづらいと言えます。
たとえば、Aのように数字→アルファベット(小文字)→アルファベット(大文字)→記号と順番に出てくるより、Bのようにランダムに出てくる方が特定されづらいのです。
A:2779aoJK%@
B:kA1@69Lgh*2
近年では、アルファベット(大文字/小文字)・数字・記号を入れるのが必須条件になっているWebサイトも増えています。パスワードを作成する際は、なるべく複数の要素を組み合わせることを意識してみましょう。
③ 18文字以上で設定する
前述の「ホーム・セキュリティー・ヒーローズ」の調査レポートでは、パスワードが18文字以上になると解読までの時間が大幅に増えるとされました。そのため、パスワードはできるだけ長く、18文字以上で設定できれば理想です。
とはいえ「パスワードが長すぎると覚えられない」「Webサイトの特性で18文字以上のパスワードを設定できない」という場合もあるでしょう。
そのようなときは、15文字以上のパスワードを設定するように意識してみてください。なぜなら、パスワードが14文字と15文字の間の解読時間の差が大きいためです。
「ホーム・セキュリティー・ヒーローズ」の調査レポートでは、パスワードが数字のみの場合、14文字だと解読まで36分だったのに対し、15文字だと解読まで5時間かかるとしました。
文字が入ってきても14文字と15文字の差は歴然のため、パスワードは15文字以上、できれば18文字以上を心がけましょう。
パスワードだけでは不安?よりセキュリティを高める2つの対策
どれだけ安全なパスワードを設定しても「パスワードを解読されたら…」と考えてしまい、不安になることもあるでしょう。
そのようなときは、よりセキュリティを高める対策として以下2つを試してみてください。
・多要素認証
・SSO(シングルサインオン)
それぞれ何をすればいいのか、一つずつ見ていきましょう。
多要素認証
多要素認証を取り入れると、セキュリティを強化可能です。多要素認証とは、複数の要素を取り入れてログインする仕組みで、以下3つの要素のうち2つ以上の要素を取り入れます。
・知識要素(パスワードや秘密の質問など)
・生体要素(指紋や顔など)
・所持要素(スマートフォンやトークンなど)
具体的には、パスワード(知識要素)を入力してから、ワンタイムパスワード(所持要素)を入力してログインする仕組みは多要素認証です。
また、パスワード(知識要素)を入力してから指紋認証(生体要素)をしてログインする場合も、多要素認証に該当します。
たとえば、AOSデータ社のデータ共有ツール「DataShare」は、パスワード(知識要素)とデバイスにメールで送られる認証コード(所持要素)を用いた多要素認証を採用しています。
パスワードは無作為に文字を当てはめれば、いつかは当たるかもしれません。ログイン要素がパスワードのみだと、パスワードが分かった時点でログインされてしまいます。
しかし、多要素認証だと、パスワードが分かっても、他の要素が突破できなければログインされません。指紋やスマートフォンは所有者しか持っていないため、生体要素や所持要素を同時に満たすのは難しいでしょう。
SSO(シングルサインオン)
SSOはシングルサインオンの略で、一度のログインで複数のサービスを利用可能にするシステムです。
通常はサービスごとにIDとパスワードを設定する必要がありますが、SSOを導入すれば、一つのIDとパスワードで複数サービスを利用できます。
サービスごとにIDとパスワードを設定すると、簡単な文字列にしたり使いまわしをしたりしやすいでしょう。すると攻撃されやすく、一つのIDとパスワードが漏れてしまうと、他のサービスにもログインされてしまいます。
SSO導入すれば一つのIDとパスワードで済み、簡単なパスワードにする必要はありません。多要素認証に対応していないシステムでも、SSOにより多要素認証にできます。
また、SSOへのログインを多要素認証にすれば、よりセキュリティを強化できます。SSO+多要素認証にすれば、相当セキュリティが高いといってよいでしょう。
さらに、リモートワークが普及してきて、セキュリティで気を使わなければならない場面が増えてきました。ほかのセキュリティ対策については「DX推進に必要なセキュリティ対策とは?データを守る方法と実際の事例を解説」で紹介していますので、ぜひご覧ください。
まとめ:条件を満たした適切なパスワードを設定しましょう
パスワードは生成AIによって解読される時代になりましたが、まだまだパスワードをかけることに意味はあると言えます。
特に18文字以上の長いパスワードは、生成AIでもとてつもない時間がかかるため、非常に有効です。
本記事で紹介した安全なパスワードの条件を意識しながら、解読されづらいパスワードを作成しましょう。
この記事が気に入ったらサポートをしてみませんか?