インターネット上での個人のセキュリティに関しては、私は少し失敗しています。アカウントごとに強力なパスワードを作成します。パスワードは決して再利用しないでください。可能な限り 2 要素認証にサインアップしてください。これら 3 つの手順を組み合わせると、一般的なセキュリティはほぼ設定されます。しかし どうやって パスワードを強力かつユニークにするのと同じくらい重要なものにします。そのため、パスワードの生成に AI プログラムを使用しないでください。
ChatGPT、Claude、Gemini などのチャットボットのファンであれば、AI にパスワードを生成してもらうのは簡単なことのように思えるかもしれません。他のタスクをどのように処理するかが気に入るかもしれません。そのため、一見ハイテクでありながらアクセスしやすいものが、アカウント用に安全なパスワードを生成できるのは当然かもしれません。しかし、LLM (大規模言語モデル) は必ずしもすべてに優れているわけではなく、適切なパスワードの作成がたまたまそれらの欠点の中に含まれているだけです。
AIが生成したパスワードは安全ではない
Malwarebytes Labs が強調しているように、研究者たちは最近 AI によって生成されたパスワードを調査し、そのセキュリティを評価しました。要するに?結果は良くありません。研究者らは、ChatGPT、Claude、Gemini でパスワード生成をテストしたところ、パスワードは「非常に予測可能」であり、「完全にランダムではない」ことを発見しました。特にクロードはうまくいきませんでした。50 のプロンプトのうち、ボットは 23 個の一意のパスワードしか生成できませんでした。クロードは同じパスワードを10回答えた。 The Register の報告によると、研究者らは GPT-5.2、Gemini 3 Flash、Gemini 3 Pro、さらには Nano Banana Pro などの AI システムにも同様の欠陥を発見しました。 (Gemini 3 Pro は、パスワードを「機密性の高いアカウント」に使用すべきではないと警告しました。)
問題は、これらの結果は表面的には良いように見えるということです。これらは数字、文字、特殊文字が混在しているため解読不可能に見えますし、パスワード強度識別子によって安全であると言えるかもしれません。しかし、これらの世代には、結果が繰り返されるため、または認識可能なパターンがあるためか、本質的に欠陥があります。研究者らは、「文字統計」と「対数確率」の両方を使用して、これらのパスワードの「エントロピー」、つまり予測不可能性の尺度を評価しました。すべてが専門的に聞こえるかもしれませんが、注目すべき重要なことは、結果がそれぞれ 27 ビットと 20 ビットのエントロピーを示したことです。文字統計テストでは 98 ビットのエントロピーが求められますが、対数確率の推定では 120 ビットが求められます。これが大きなギャップであることは、パスワード エントロピーの専門家である必要はありません。
ハッカーはこれらの制限を利用して利益を得ることができます。悪意のある者は、研究者 (またはおそらくエンド ユーザー) と同じプロンプトを実行し、結果を共通パスワードのバンクに収集する可能性があります。チャットボットが世代を超えてパスワードを繰り返す場合、多くの人がそれらのチャットボットによって生成された同じパスワードを使用しているか、同じパターンに従うパスワードを試している可能性があります。その場合、ハッカーは侵入の際に単純にそれらのパスワードを試すことができ、LLM を使用してパスワードを生成した場合、一致する可能性があります。その正確なリスクが何であるかを言うのは難しいですが、本当に安全にするためには、各パスワードは完全に一意である必要があります。ハッカーがワードバンクに持っているパスワードを使用する可能性は、不必要なリスクとなります。
チャットボットがランダムなパスワードを生成するのが苦手というのは意外に思われるかもしれませんが、仕組みを考えれば当然のことです。 LLM は、シーケンス内に出現する次のトークン、つまりデータ ポイントを予測するようにトレーニングされます。この場合、LLM は次に表示するのに最も適した文字を選択しようとしています。これは「ランダム」の逆です。 LLM のトレーニング データにパスワードがある場合、それを応答に組み込むことができます。生成されるパスワードは、その「心」で意味をなします。それは、それが訓練されたものだからです。ランダムになるようにプログラムされているわけではありません。
安全なパスワードを作るのは難しくない
一方、従来のパスワード マネージャーは LLM ではありません。代わりに、暗号ビットを取得して文字に変換することにより、真にランダムなシーケンスを生成するように設計されています。これらの出力は既存のトレーニング データに基づいておらず、パターンに従っていないため、他の誰かがあなたと同じパスワードを持っている (またはハッカーがパスワードをワード バンクに保存している) 可能性はほとんどありません。使用できるオプションはたくさんあり、ほとんどのパスワード マネージャーには安全なパスワード ジェネレーターが付属しています。
これまでのところどう思いますか?
ただし、安全なパスワードを作成するのにこれらのプログラムは必要ありません。 2 つまたは 3 つの「珍しい」単語を選択し、いくつかの文字を組み合わせるだけで、ランダムで一意の安全なパスワードが完成します。たとえば、「shall」、「murk」、「tumble」という単語を組み合わせて「sH@_llMurktUmbl_e」にすることができます。 (これは一意ではないため、使用しないでください。)
パスキーはパスワードよりもさらに安全である可能性があります
個人のセキュリティをさらに強化したい場合は、可能な限りパスキーの使用を検討してください。パスキーは、パスワードの利便性と 2FA のセキュリティを組み合わせたものです。パスキーを使用すると、デバイスがパスワードになります。ログインには組み込みの認証 (顔スキャン、指紋、または PIN) を使用します。つまり、実際に作成するパスワードはありません。信頼できるデバイスがなければ、ハッカーはアカウントに侵入することができません。
すべてのアカウントがパスキーをサポートしているわけではないため、現時点では普遍的なソリューションではありません。一部のアカウントにはパスワードが必要になる可能性があります。これは、物事を適切に保つために適切なセキュリティ方法を遵守することを意味します。ただし、パスワードの一部をパスキーに置き換えることで、セキュリティと利便性の両方を向上させることができ、ChatGPT にパスワードの作成を依頼するというセキュリティ上の落とし穴を回避できます。