AI パスワード ジェネレーターは複雑さを約束しますが、隠れた繰り返しを生成します

大規模言語モデル (LLM) は複雑に見えるパスワードを生成できますが、最近のテストでは、それらの文字列がランダムとは程遠いことが示されています。

イレギュラー社が実施した調査では、Cloud、ChatGPT、Gemini などの AI システムから出力されたパスワードを調査し、それぞれに記号、数字、大文字と小文字を組み合わせた 16 文字のパスワードを生成するよう求めました。

一見したところ、結果は強力で一般的なオンライン強度テストに合格しているように見え、一部のチェッカーは解読するには何世紀もかかると見積もっていましたが、これらのパスワードを詳しく調べてみると、別の状況が明らかになりました。

LLM パスワードは反復的で予測可能な統計パターンを示します

研究者らが異なるセッションで生成された 50 個のパスワードを分析したところ、その多くは重複しており、その多くはほぼ同一の構造パターンに従っていました。

ほとんどは同じ文字タイプで始まり、終わり、繰り返し文字を含むものはありませんでした。

この再発がないことは安心できるように思えるかもしれませんが、実際には出力が真のランダム性ではなく、学習した規則に従っていることを示しています。

研究者らは、文字統計とモデル化された対数尤度に基づくエントロピー計算を使用して、これらの AI 生成パスワードが約 20 ～ 27 ビットのエントロピーを保持していると推定しました。

真にランダムな 16 文字のパスワードは、通常、同じ方法を使用すると 98 ～ 120 ビットになります。

この違いは大きく、実際には、古いハードウェアであっても、そのようなパスワードは数時間以内にブルートフォース攻撃に対して脆弱になる可能性があります。

オンラインのパスワード強度メーターは、文字列の背後に隠された統計的パターンではなく、表面の複雑さを評価します。また、AI ツールによるテキストの生成方法が考慮されていないため、予測された出力が安全であると分類される可能性があります。

これらのパターンを理解している攻撃者は、推測戦略を洗練させて、探索スペースを大幅に削減できます。

この調査では、同様の配列がパブリックコードリポジトリやドキュメントに出現することも判明し、AI が生成したパスワードがすでに広く普及している可能性があることを示唆しています。

開発者がテストまたは展開中にこれらの出力に依存すると、時間の経過とともにリスクが増加します。実際、これらのパスワードを生成する AI システムでさえ完全には信頼しておらず、パスワードが押された場合に警告を発する可能性があります。

たとえば、Gemini 3 Pro はパスワードの提案を提供するだけでなく、チャットで生成された資格情報を機密性の高いアカウントに使用すべきではないという警告も提供します。

代わりに、パスフレーズを推奨し、専用のパスワードマネージャーを利用するようユーザーにアドバイスしました。

このようなツールに組み込まれているパスワード生成機能は、言語予測ではなく暗号化のランダム性に依存しています。

簡単に言うと、LLM は、予測できないシーケンスではなく、もっともらしく反復可能なテキストを生成するように訓練されているため、より広範な懸念は構造的なものです。

LLM が生成するパスワードの背後にある設計原則は安全な認証の要件と矛盾するため、セキュリティには欠点があります。

「人々やコーディングエージェントは、LLMに依存してパスワードを生成すべきではない」とイレギュラー氏は述べた。

「直接 LLM 出力によって生成されたパスワードは基本的に弱く、これは信号や温度の調整によって修正することはできません。LLM は予測可能で信頼性の高い出力を生成するように最適化されていますが、これは安全なパスワード生成とは互換性がありません。」

を通して 登録する

Google ニュースで TechRadar をフォローしてください そして お気に入りのソースとして追加してください 専門ニュース、レビュー、意見をフィードで入手するため。ぜひフォローボタンをクリックしてください！

そしてはい、あなたもできます TikTokでTechRadarをフォローしてください ニュース、レビュー、ビデオ形式の開封、および当社からの定期的な更新情報については、 ワッツアップ とても。