もうパスワードは限界・・・
GIGAZINEの記事に、 大半のパスワードを1分以内にクラッキングできるAI「PassGAN」が登場、どんなパスワードであればPassGANでも解析不可能なのか? てのがありました。
サイバーセキュリティ企業のHome Security Heroesが、ニューラルネットワークでパスワード予測を行うAI「PassGAN」を使って実際のパスワードを解析する実験の結果を発表したそうです。記事によると・・・
Home Security Heroesのテストでは、ソーシャルゲームサイトのRockYouから流出した「RockYouデータセット」から1568万件のパスワードを引用し、18文字以上あるいは4文字未満のパスワードを除外した上で、PassGANに解析させたとのこと。
その結果、パスワードの51%がわずか1分以内に解析できてしまったとのこと。また、1時間以内に全体の65%が、1日以内であれば71%、1カ月以内であれば81%が解析できてしまったそうです。また、数字やアルファベットだけではなく記号が含まれている場合でも、7文字のパスワードだと6分ほどで解析できてしまったとHome Security Heroesは報告しています。
だそうです。AIの進化は既にパスワードクラックの分野にも及んでいるようです。
記事にもあるように、18文字以下のパスワードの場合でわずか1分以内に半分以上のパスワードが解析されてしまっという事実は恐るべきものです。
これを踏まえて上で記事では「パスワードは最低でも15文字以上、大文字・小文字・数字・記号を組み合わせて作ること」を推奨しています。
皆様が日常的に利用されている全てのサービスで上記を満たすパスワードを再設定したとして、それをすべて覚えておけるものでしょうか?恐らく不可能でしょう。
ですから、以前より本ブログでも推奨しているような Bitwarden のようなパスワード管理サービスを利用すべきです。
また、多くのユーザーがパスワードを使いまわしている現状では、クラックされたIDとパスワードは必ず他のウェブサービスへの攻撃に転用されます。そして芋づる式に被害が拡大していくのです。
Microsoftアカウントのようにパスワードレスのサービス が使える場合はそれを利用するようにして、それ以外の場合にはBitwardenを利用するのが妥当な方法かと思われます。
現状で比較的簡単なパスワードを複数のサービスで使いまわしている方は、上記のような状況をご理解いただいた上で、適切なパスワード管理をご検討ください。