このAIチャットボットのプロンプトを使用して、パスワードの除外リストを作成する

ハッカーが一般的に使用されているパスワードを推測するだけで、最も成功するパスワード侵害のひとつが発生する。そして、組織はしばしば高度なセキュリティ対策に投資する一方で、この基本的な保護レベルを見落とすことがある。

カスタム辞書を作成することで、従業員が推測されやすいパスワードを使用するのを防ぐことができます。ここでは、何が良いパスワード辞書を作るのか、そしてChatGPTのようなAIツールがどのように潜在的に脆弱なパスワードのブレーンストーミングを助けることができるのかについて、ビジネスが知っておくべきことを説明します。

Table of contents

ユーザーが脆弱なパスワードを選ぶ理由
効果的なパスワード辞書とは
AIを使って辞書を作成する
追加のパスワード保護
1. パスワードセキュリティツールの統合

ユーザーが脆弱なパスワードを選ぶ理由

ユーザーは意図的に弱いパスワードを選ぼうとするわけではありません。単に覚えやすいパスワードを選ぶだけで、多くの場合、会社名や日付、簡単なフレーズを使っています。

攻撃者はこれを利用し、自動化ツールと単語リストを組み合わせた辞書攻撃を仕掛け、何千ものパスワードのバリエーションを素早くテストします。

効果的なパスワード辞書とは

パスワード辞書は、ユーザが既知の弱いパスワードを選択するのをブロックします。これには以下が含まれます：

admin123 “や “welcome “のような標準的な弱い用語
組織名や製品名
業界特有の用語
データ漏洩で暴露されたパスワード
これらの単語の一般的なバリエーション

AIを使って辞書を作成する

カスタム辞書の作成にお困りですか？ChatGPTまたは同様のAIツールを使用して、プロセスをスピードアップすることを検討してください。

ここでは、サンプルプロンプトを含め、それを実現する方法を説明します：

既知の弱いパスワードを取得する

AIに、HaveIBeenPwnedや DeHashedのような広く使われているパスワードデータベースをリストアップするよう依頼する。これらのデータベースは、攻撃者がすでに知っていて標的にしているパスワードを示している。

サンプルプロンプト侵入されたことが知られているパスワードを収集するデータベースのリストを教えてもらえますか？

企業固有の用語を追加する

AIは、関連するパスワードパターンを生成するために、あなたの組織に関する具体的な詳細を必要とします。リクエストの構成は以下の通りです：

サンプルプロンプト従業員が推測されやすいパスワードを使用するのを防ぐために、カスタム辞書を作成したい。私たちの会社、ACME Corporationは、デラウェア州ドーバーに本社を置いています。当社の主な製品は、ACMEアプリ、ACMEウィジェット、ACMEプラットフォームです。当社の従業員が使用している可能性のある脆弱なパスワードのリストを作成していただけますか？

AIは以下のような様々なカテゴリーを分析します：

従業員が使用する可能性のある一般的なスペルミスや略語を含む、会社名とそのバリエーション。御社が “Acme Business Solutions “であれば、”ABS”、”acmebiz”、および同様のバリエーションを含みます。
従業員が知っている可能性のある社内コードネームや開発バージョンを含む製品名。現行製品と製造中止製品の両方を含めることを忘れないこと。
オフィスの所在地（通り名、都市名、ビル名、地元のランドマークなど、社員が参照する可能性のあるもの）。
社内のプロジェクト名（現在および過去のもの）。覚えやすく、ユニークに見えるため、社員がパスワードによく使用する。
専門用語、ツール、システムなど、その分野に特有の業界用語。完全な用語と一般的な略語の両方を含める。
社内コミュニケーション、プロジェクト名、部署名で使用される社内略語。これらは、ユーザーには安全だと感じられるが、予測可能な場合が多い。

パスワードのバリエーションを作る

企業特有の用語を追加したら、ユーザーが作成しそうな予測可能なバリエーションをAIに生成してもらいましょう。ここでは、包括的な結果を得る方法を説明します：

サンプルプロンプトサンプルプロンプト: “これらの企業用語[あなたの用語をリスト]を使用して、基本的なパスワードの要件を満たすすべての一般的なバリエーションを生成してください。数字パターン、特殊文字、大文字、組み合わせを含む。”

AIは以下のようなバリエーションを生成します：

末尾に数字：AIは、ユーザーが誕生年や部署番号を追加する方法を示します。AIの出力例：”marketing22, Marketing2024, MKTG2023!”
特殊文字の置換：AIは文字を似たような記号に置き換えます。AIの出力例：”M@rket!ng、$ales_team、Hr_D3pt”
大文字のパターン：AIは一般的な大文字の選択肢を表示します。AIの出力例：”MarketingTeam、MKTG_dept、SalesHQ”
単語の組み合わせ：AIは予測可能な方法で用語を組み合わせます。AIの出力例：”MarketingSouth、TeamNY22、SalesPro”

パスワード辞書の管理

サイバーセキュリティの他の側面と同様に、パスワード辞書の管理は1回限りのイベントではなく、継続的なプロセスであるべきです。辞書を更新し、製品を発売したりプロジェクトを開始したりするたびに、新しい企業用語を追加してください。

パスワードの試行が失敗したログをチェックし、ユーザーが試しているパターンを特定する。また、四半期ごとに辞書を見直し、古くなった用語を削除し、新しいバリエーションを追加しましょう。

追加のパスワード保護

パスワード辞書はセキュリティを強化することはできますが、単独で組織を保護することはできません。組織の脆弱性を減らすには、パスワード辞書を他のセキュリティ対策とともに使用します：

リアルタイム侵害保護：新しい情報漏えいデータベースと現在のパスワードを継続的に照合することで、盗まれたパスワードを監視する。
多要素認証：すべてのアカウント（特に管理者アクセス）に対して二要素認証を要求する。
セキュリティ意識の向上：特定のパスワードが拒否される理由を説明し、パスワード・セキュリティについてユーザを教育する。

パスワードセキュリティツールの統合

最大レベルの保護を実現するには、カスタム辞書と違反監視を組み合わせたツールの使用を検討する。

例えば、Specops Password Policyでは、カスタマイズした禁止パスワードリストを簡単に作成・インポートでき、Active Directoryをそのリストと常に更新される40億件以上の漏洩パスワードリストと照合して継続的にチェックします。

Specopsパスワードポリシーのようなツールを使用することで、組織は漏洩したパスワードを自動的にブロックすることができ、従業員、システム、データの安全を守ることができます。

無料トライアルをご利用ください。

Specopsがスポンサーとなり、執筆しました。