AIチャットボットにパスワードを選ばせてはいけません
研究によると、AIが生成したパスワードは真にランダムではなく、予測可能である可能性があります。信頼できるパスワードマネージャーの使用を推奨します。
サイバーセキュリティ意識の高まりにより、多くの人が「QWERTY」や「Password1」のような単純なパスワードを使わなくなりました。現在のオンラインサービスは、文字、数字、記号を組み合わせた複雑なパスワードを要求し、既知のデータ漏洩と照合することもあります。しかし、こうした複雑なパスワードを生成するのは面倒な作業であり、Claude、ChatGPT、GeminiのようなAIチャットボットに頼る人もいるでしょう。しかし最新の研究は、AIが生成するパスワードが想像以上に安全ではないことを示しています。
研究チームIrregularは今年初め、これらのAIモデルに50回のパスワード生成を依頼しました。その結果、生成されたパスワードには明らかなパターンが見られました。例えばClaudeの場合、すべてのパスワードがアルファベットで始まり、その後ろに「7」が続く傾向がありました。特定の文字や数字が繰り返し使われ、一方でまったく出現しない文字もありました。さらに、50回のリクエストで実際に「ユニーク」だったパスワードは30個のみで、「G7$kL9#mQ2&xP4!w」というパスワードが36%の確率で出現しました。これはAIが真のランダム性を欠いている証拠です。
ここで重要なのは、「ランダムに見える」ことと「真にランダム」であることの違いです。強力なパスワードジェネレーターは、暗号論的に安全な疑似乱数生成器(CSPRNG)を使用し、予測不可能な文字列を生成します。一方、AIはパターンを認識し再現するように設計されているため、パスワード生成には本質的に不向きです。サイバー攻撃者は辞書攻撃などでよく使われるパスワードのリストを利用しますが、AIが生成したパターン化されたパスワードを追加することで、攻撃がさらに容易になる可能性があります。
そのため、専門家はパスワードマネージャーの使用を強く推奨しています。これらのツールは信頼性の高い乱数生成器を内蔵し、大文字・小文字、数字、記号を含む長いパスワードを簡単に生成できます。また、生成されたパスワードの強度を評価する機能も備えています。AIは強力な言語モデルですが、セキュリティツールではありません。アカウントの保護には、実績のあるパスワード管理ソリューションを選ぶべきです。パスワードマネージャーは強力なパスワードを生成するだけでなく、安全に保管し、自動入力も可能で、パスワードの使い回しを防ぐため、現在最も推奨される方法です。