実験により、人工知能がパスワードを簡単に解読できることが証明された

[[204299]]

先週、信用調査会社エキファックスは、同社のシステムに保存されていた1億4,300万人の個人情報がハッカーによって悪意を持って漏洩されたと発表した。これは確かに心配なことですが、現実には、ハッカーがパスワードを解読するだけでオンライン データにアクセスしようとすると、1 時間以内にアカウントが侵害されることになります。

現在、さらに悪いニュースがある。科学者たちは AI の力を活用して、既存のツールと組み合わせることで、4,300 万件を超える LinkedIn プロフィールから 4 分の 1 以上のアカウントのパスワードを推測できるプログラムを作成したのだ。研究者らは、この技術はパスワード保護の戦いにおける最大の敵であるハッカーを倒すためにも使えるかもしれないと述べた。

「この新しい技術は、侵入の検出に役立つおとりパスワードの生成にも使用できる可能性がある」とトーマス・リステンパート氏は言う。つまり、このテクノロジーを利用することで、ユーザーや企業がパスワードの強度を測定できるようになります。彼はコネチカット州ニューヨーク市でコンピューターセキュリティを研究しているコンピューター科学者だが、この研究には関わっていない。

最も強力なパスワード推測プログラムである John the Ripper と hashCat は、さまざまな手法を使用します。その 1 つは直接的なブルート フォースであり、正しい答えが得られるまで、多数の文字の組み合わせをランダムに試します。その他の方法としては、以前に漏洩したパスワードに基づいてパスワードの各文字を推測したり、確率的手法を使用したりすることが挙げられます。一部のサイトでは、これらのプログラムによって 90% 以上のパスワードが解読されています。 しかし、手作業でコードを書き、攻撃計画を立てるのに何年もかかる必要がありました。

新しい研究は、ディープラーニングを適用することでこのプロセスを高速化することを目指しています。研究者たちは、生成的敵対ネットワーク（GAN）から始めようとした。これには 2 つの人工ニューラル ネットワークが関係します。1 つは「ジェネレーター」で、実際の例 (実際の写真) に似た人工の出力 (画像など) を生成します。もう 1 つは「ディスクリミネーター」で、偽の例から実際の例を検出しようとします。 ジェネレーターが熟練した偽造マシンになるまで、彼らは互いに助け合って改善していきます。研究者の一人、ジュゼッペ・アテニエーゼ氏は、生成装置と識別装置をそれぞれ警察の犯罪プロファイラーと目撃者に例えている。

研究チームは PassGAN と呼ばれる生成的敵対ネットワークを作成し、それを hashCat の 2 つのバージョンと John the Ripper の 1 つのバージョンと比較しました。科学者たちは、RockYouというゲームサイトから漏洩した数千万のパスワードを各ツールに入力し、何億もの新しいパスワードを独自に生成するよう依頼した。次に、新しいパスワードのうち、LinkedIn から漏洩したパスワードと一致したものがいくつあるかを数え、パスワードの解読の成功度を測定しました。

[[204300]]

最終的に、PassGAN は LinkedIn コレクション内のパスワードの 12% を独自に生成しましたが、競合 3 社はそれぞれ 6% から 23% を生成しました。しかし、最高のパフォーマンスは PassGAN と hashCat の組み合わせです。研究者らが今月arXivに投稿した論文草稿で報告しているように、2人の研究者は協力してLinkedInのパスワードセットの27%を解読することができた。興味深いことに、PassGAN が解読できなかったパスワードはすべて現実世界で重要な意味を持っているようです: saddracula、santazone、coolarse18。

ニューヨーク大学のコンピューター科学者マーティン・アルジョフスキー氏は、GAN を使ってパスワードを推測するのは「斬新」だと語る。 「これは、単純な機械学習ソリューションを適用することで決定的な利点が得られる、明確かつ重要な問題を示しています」と彼は述べた。

同時に、リステンパート氏は「この効果を得るために、GAN の重機が本当に必要かどうかは私にはわかりません」と述べた。おそらく、より単純な機械学習技術と hashCat を組み合わせることで、同じ効果が得られる可能性がある (アルジョフスキー氏も同意している)。

実際、ペンシルベニア州ピッツバーグのカーネギーメロン大学で最近開発された非常に効率的なニューラルネットワークは、この点で有望な結果を示しており、アテニエーゼ氏は論文を査読に提出する前に、それを PassGAN のパフォーマンスと直接比較する予定です。

Ateniese 氏は、このパイロットデモでは PassGAN が hashCat を支援したが、将来の反復では hashCat を上回ると確信していると述べた。その理由の 1 つは、hashCat が固定ルールを使用しており、独自に 6 億 5000 万を超えるパスワードを生成できないことです。 独自のルールを考案するPassGANは、制限なくパスワードを作成できます。 「今この瞬間にも何百万ものパスワードが生成されている」と彼は語った。

アテニエーゼ氏はまた、ニューラルネットワークの層を増やすことでPassGANは改善され、より多くの漏洩したパスワードでトレーニングされるだろうと述べた。彼はPassGANを、最近ディープラーニングアルゴリズムを使って囲碁のチャンピオンを破ったGoogle DeepMindプロジェクトのAlphaGoと比較した。 「アルファ碁は専門家がこれまで見たことのない新しい戦略を考案した」とアテニエス氏は語った。 「ですから、PassGAN に十分なデータを与えれば、人間が考えつかないようなルールを考案できると私は個人的に信じています。」

最後に、アカウントのセキュリティが心配な場合は、パスワードを長く（ただし覚えやすい）し、2 段階認証を使用するなど、強力なパスワードを使用することを専門家は推奨しています。