大半のパスワードを1分以内にクラッキングできるAI「PassGAN」が登場、どんなパスワードであればPassGANでも解析不可能なのか?
![](https://image.news.livedoor.com/newsimage/stf/8/8/883d0_88_afc8ac340d5b8beeb87f0e777458c2f9.png)
サイバーセキュリティ企業のHome Security Heroesが、ニューラルネットワークでパスワード予測を行うAI「PassGAN」を使って実際のパスワードを解析する実験の結果を発表しました。それによると、一般的なパスワードのおよそ半分が1分で、65%が1時間で解析できてしまったとのことです。
2023 Password Cracking: How Fast Can AI Crack Passwords?
![](https://image.news.livedoor.com/newsimage/stf/d/f/df058_88_027f34e8a92d83ff2ac3ab5ac5ba670c.png)
通常、パスワードの解析に使われるパスワード推測はシンプルなデータ駆動型のツールが使われます。つまり、膨大なデータを元にパスワード分析を行うというやり方で、こうした方法は小規模で予測可能なパスワードの場合は効率的に解析可能ですが、サンプルサイズが大きくパターンが複雑になってくると非常に時間がかかってしまうとのこと。
今回Home Security Heroesが用いたPassGANは敵対的生成ネットワーク(GAN)の1種で、「Generative Network」とc「Discrimnate Network」という2つの対立するニューラルネットワークで構成されています。PassGANはGenerative Networkが偽のパスワードサンプルを生成し、その偽のパスワードサンプルと本物のパスワードサンプルを混ぜたものをDiscrimnate Networkが判別するというシステムで、学習を重ねるごとにパスワードの予測精度が上がっていくのが特徴。これにより、PassGANは従来のパスワード解析ツールと比べてより広範囲にわたって迅速な解析が可能になります。
![](https://image.news.livedoor.com/newsimage/stf/8/8/88d61_88_0360a9551494745636eccd3dce682482.png)
Home Security Heroesのテストでは、ソーシャルゲームサイトのRockYouから流出した「RockYouデータセット」から1568万件のパスワードを引用し、18文字以上あるいは4文字未満のパスワードを除外した上で、PassGANに解析させたとのこと。
その結果、パスワードの51%がわずか1分以内に解析できてしまったとのこと。また、1時間以内に全体の65%が、1日以内であれば71%、1カ月以内であれば81%が解析できてしまったそうです。また、数字やアルファベットだけではなく記号が含まれている場合でも、7文字のパスワードだと6分ほどで解析できてしまったとHome Security Heroesは報告しています。
![](https://image.news.livedoor.com/newsimage/stf/6/b/6bbfa_88_eb8ff3edf1ecc768ec44ad8d1e131ea8.png)
その上で、Home Security Heroesは「18文字を超えるパスワードはPassGANに対して安全だといえます」と述べています。18文字以上の場合、数字のみで構成されているパスワードでも解析には少なくとも10カ月かかり、記号・数字・アルファベットの小文字と大文字で構成されたパスワードの解読には600京年かかるそうです。
![](https://image.news.livedoor.com/newsimage/stf/0/b/0b73f_88_811943cec05ea2793aab16936ff73ad9.png)
パスワードの文字数と構成文字種ごとに、PassGANによる解析にかかる時間をまとめた表が以下。
![](https://image.news.livedoor.com/newsimage/stf/7/a/7a3a7_88_0b2847b78b9c6d9d706b28b23f4c1eac.png)
Home Security Heroesは、パスワードは最低でも15文字以上、大文字・小文字・数字・記号を組み合わせて作ることを推奨しました。また、PassGANによる解読を防ぐためには、重要なパスワードは数か月ごとに変更するといった運用も有効だとしています。