このブログはこちらの英語ブログの機械翻訳です。
AIと機械学習の時代において、PassGANのような自己学習モデルは、従来のパスワードクラッキングツールよりも簡単かつ迅速にパスワードを解読できます。パスワードをまだ使用している組織は、リスクにさらされています。
qwerty、123456、iloveyouと聞くと何を思い浮かべますか?
もしこれらのパスワードが、データ侵害で発見された最も一般的なパスワードのいくつかであると推測した場合、それは正解です。John the RipperやHashcatのようなパスワード解析ツールを使うと、悪意のある攻撃者は1秒間に数十億ものパスワードをパスワードハッシュと照合できます。これらのツールは、連結(password に 123 を加えて password123 を生成するなど)や、リートスピーク(leetspeak という単語を 13375p34k に変換するなど)のような、人間が考えそうな条件を可能にし、パスワードを推測するルールを作成します。ほとんどの人間は予測可能で、パスワードを再利用する傾向があるため、これらの最新のパスワード推測ツールは、以前よりも早くパスワードを解読できます。
PassGAN
PassGANは、John the RipperやHashcatなどのツールよりも優れたパスワードを生成できる、パスワード漏洩(例:RockYou)のデータセットでニューラルネットワークをトレーニングした研究者によって開発された新しいツールです。
Generative Adversarial Network(GAN)を使用するPassGANは、実際のパスワードリークからパスワードを学習し、パスワード構造に関する事前の知識がなくても、優れたパスワード推測を生成します。
これは2つのニューラルネットワークを使用します。1つのニューラルネットワークはデータ(ジェネレーターとして知られる)を生成し、もう1つのニューラルネットワークはフィードバック(識別器として知られる)を提供します。
Generator は、Discriminator が識別できないように、新しいデータを生成します。Discriminator は、生成されたパスワードが「本物」(トレーニングされたデータセットに存在する)か「偽物」(新しく生成されたパスワード)かを評価します。これらのニューラルネットワークは、一方のニューラルネットワークがより良い「偽物」を作成し、もう一方のニューラルネットワークがデータが「本物」かどうかを識別できるようになるまで、教師なしで複数回反復処理を実行できます。
現実世界の例としては、悪意のある者が偽造通貨を製造し、政府の情報機関が偽造通貨と本物の通貨を区別しようとするようなものです。悪意のある者は、偽造通貨が識別できなくなるまで、その技術を向上させようとします。
PassGANの違い
従来のパスワード推測ツールでは、生成される固有のパスワードの数は、人間のアクターによって定義されたルールの数と、侵害されたパスワードデータセットのサイズによって異なります。
対照的に、PassGANは人間の介入なしに事実上いくらでもパスワードの推測を生成でき、生成されたパスワードの数とともにパスワードの一致数が着実に増加します。
その研究者の実験によると、PassGANはHashcatツールからのパスワードよりも51%から73%多くの一意のパスワードを推測できるとのことです。これに加えて、PassGANがRockYouデータセットからの特定のサンプルでトレーニングされた場合、LinkedInの侵害からのパスワードの21.9%を照合することができました。
パスワードを使用している組織はリスクにさらされています。
LastPassが2022年に発表したパスワードの心理学レポートによると、従業員の62%が同じパスワードまたは個人のパスワードのバリエーションを使用しており、職場で使用する強力なパスワードを作成しているユーザーはわずか33%です。
ユーザーが個人のメールやソーシャルメディアアカウントからパスワードやバリエーションを再利用すると、組織にとって大きなリスクとなる可能性があります。これにより、パスワードの使い方が不十分なため、PassGANのようなパスワード推測ツールによってアカウントが侵害される可能性が高まります。
悪意のある攻撃者は、複数のパスワード推測ツールを使用することで、成功の可能性を高めています。攻撃者は、ルールベースのパスワード推測ツールを組み合わせてパスワード生成を高速化し、機械学習ベースのツールと組み合わせて、より多くの推測を生成し、推測されるパスワードの数を最大化し、より多くのパスワードの一致を達成することができます。
パスワードレスソリューションが救世主
AIと機械学習の時代において、パスワードの推測はPassGANのようなツールを通じてより簡単かつ迅速になります。人間は組織のセキュリティにおける最も弱いリンクであるため(パスワードに関して)、組織はセキュリティ体制を改善し、安全を維持するために、パスワードレスソリューションの展開に焦点を当てる必要があります。
Okta FastPassTM は、パスワードレス認証を可能にし、認証情報の侵害によるデータ漏洩の可能性を低減するパスワードレスソリューションです。
Okta FastPassは、パスワードレスのエクスペリエンスと、信頼できるアプリケーションへの安全なアクセスをユーザーに提供します。Okta FastPassは、公開鍵暗号を使用してユーザーを認証し、それによってパスワードの使用とそれに関連するリスクを排除します。Okta FastPassは、生体認証をサポートするために、Windows Hello、Apple Touch ID、Apple Face IDなどのデバイスに組み込まれた認証システムと統合することもできます。
Okta FastPassの詳細については、こちらのOkta Fastpass Technical Whitepaperをご覧ください。https://www.okta.com/fastpassにアクセスしてください製品情報と営業チームへの連絡先が記載されています。
Face IDおよびTouch IDは、米国およびその他の国で登録されたApple Inc.の商標です。Windows Helloは、Microsoftグループ企業の商標です。
