人工知能(AI)を使ってパスワードを生成することは良いアイデアではありません。生成されたパスワードが既に犯罪者に知られている可能性が高く、辞書攻撃に利用される可能性があります。辞書攻撃とは、攻撃者が自動ツールを使用して予め用意されたパスワードリスト(単語、フレーズ、パターン)を試し、機能するものを見つけるまで続行する方法で、すべての可能な組み合わせを試すのではなく、より効率的です。
AI サイバーセキュリティ企業の Irregular は ChatGPT、Claude、Gemini をテストし、生成されるパスワードが「非常に予測可能」で、真のランダムではないことを発見しました。Claude をテストした場合、50 個のプロンプトで 23 個のユニークなパスワードのみが生成されました。1 つの文字列は 10 回出現し、他の多くの文字列が同じ構造を共有していました。
これは問題になる可能性があります。
従来、攻撃者は辞書攻撃で使用するために、共通パスワード、現実世界の流出データ、パターン化されたバリアント(数字と記号を追加した単語)で構成されたワードリストを作成またはダウンロードしていました。AI チャットボットによって一般的に提供される数千個のパスワードをこれらのリストに追加することはほぼ労力を要しません。
AI チャットボットは、学習したものに基づいて答えを提供するように訓練されています。これらは既に持っているものに基づいて次に何が来るかを予測するのは得意ですが、完全に新しいものを発明するのは得意ではありません。
研究者が説明するところによると:
「LLM は最も可能性の高い次のトークンを予測することで動作します。これは安全なパスワード生成に必要なもの(均一で予測不可能なランダムネス)とはまったく逆です。」
過去に、コンピュータがそもそもランダム性にそれほど優れていない理由を 説明しました。パスワードマネージャー は、LLM で見られるパターンベースのテキスト生成ではなく、実世界のエントロピーを混ぜる専用の暗号化乱数生成器を使用することで、この問題を回避します。
言い換えると、良好なパスワードマネージャーは AI のようにパスワードを「発明」しません。オペレーティングシステムに暗号化ランダムビットを要求し、それらを直接文字に変換するため、攻撃者が学習する隠されたパターンは存在しません。
そのようなパスワードを送信する Web サイトやプラットフォームは、それらが強力であると言うかもしれません。しかし、パスワードを再利用すべきでない理由と同じ基本的な論理が当てはまります。サイバー犯罪者がすでにそのパスワードを持っている場合、強力なパスワードは何の役に立つでしょうか?
いつものように、我々はパスワードよりも パスキーを推奨しています が、これが常に選択肢ではないことを認識しています。パスワードを使用する必要がある場合、AI に 1 つを生成させないでください。これは単に安全ではありません。既に AI でパスワードを生成している場合は、変更することを検討し、アカウントのセキュリティを強化するために 多要素認証(2FA) を追加してください。
翻訳元: https://www.malwarebytes.com/blog/news/2026/02/ai-generated-passwords-are-a-security-risk
