MIT Technology Review:私たちはパスワードを使って個人情報、自宅の鍵、銀行口座など様々な情報を守っています。幅広く使われている方法ですが、覚えやすいパスワードは破られやすいという弱点があるのも事実です。
パスワード以外の認証方法として、ジェスチャー認証やバイオメトリクス認証、ウェアラブルデバイスの活用などが考案されています。中でも、アメリカのSRI international社、スタンフォード大学、ノースウエスタン大学は全く新しい「本人も知らないパスワードで認証する方法」を研究しています。SRI社のコンピュータ科学研究所で所長を務めるPatrick Lincoln博士は研究中の認証方法のことを「脅されても破られない認証方法」と呼んでいます。
従来のパスワード認証方法ではパスワードを他人に教えることができるため、もしもパスワード保持者が脅かされれば破られてしまいます。Lincoln博士が研究する認証方法では文字や数字を使ったパスワードを使用しないため、パスワード保持者から「聞き出すこと」は不可能なわけです。
文字や数字を使用しないパスワードは言葉では伝えられないため、反復練習によって学習する必要があります。Lincoln博士のプロジェクトでは、ゲームのインターフェイスを使用して学習と認証をします。
これは、音楽ゲーム『ギターヒーロー』のようなプログラムで、画面に現れたボールが下側のバーに当たるときにボタンを押すことになっています。この動作によって特定のパターンを学習するのですが、特定のパターンが何なのか、学習者本人はわからないようになっています。その後、認証用のゲームをすると特定のパターンを学習した人のみが認証される仕組みです。
このような取り組みは、従来のパスワード認証が持つ問題点を解決する方法として注目されています。研究を進めて実用化できれば、飛行機のコックピットに導入してハイジャックを抑止することも可能になるでしょう。もちろん、身近な例として家のドアや銀行口座の暗証番号に取って代わる可能性もあります。
Lincoln博士によれば、このような「無意識に学習されたパスワード」は複数学習できるので用途によっては使い分けることも可能とのこと。パスワード同士は干渉しないようなのです。
昨年に発表された研究結果でも、「無意識に学習されたパスワード」は繰り返し入力できることが証明されています。同プロジェクトはアメリカ国立科学財団から資金提供を受けており、今後の研究成果が期待されています。
ただ、Lincoln博士によるとまだ無意識のパスワードを学習するのに時間(1つのパスワードにつき40分程度)が必要で、システムの精度も改善が必要とのこと。近日中に学習方法を改善させる実験を行い研究を進めるそうです。
米カリフォルニア大学の教授で情報セキュリティの専門家であるDavid Wagner氏は次のようにコメントしています。
1970年代に提唱された公開鍵暗号法は現在広く使用されている技術ですが、当時実用化は不可能と考えられていました。情報技術分野にはこのような例が多くあります。「本人も知らないパスワードで認証する方法」は少なくとも理論的には非常に素晴らしいアイデアです。
実用化に向けての課題は多いようですが、研究の成果に期待したいですね!
A Password So Secret, You Don't Consciously Know It|MIT Technology Review
Rachel Metz(訳:大嶋拓人)
Photo by scyther5 (Shutterstock)
