30文字のパスワードを脳の無意識領域下の記憶内に保存する技術が登場

By Diamond Farah

パスワードの重要性といってもピンキリで、たとえば軍事機密を閲覧できるパスワードともなると扱いは厳重になってきますが、それでも締め上げ暗号分析のように、パスワードを知っていたり入手できたりする人に直接的に働きかけることで盗まれてしまう可能性は残ります。

アメリカの神経科学者と暗号専門家の合体チームが、この「人間」という弱点をクリアしたパスワードシステムを開発しました。

Neuroscience Meets Cryptography:Designing Crypto Primitives Secure Against Rubber Hose Attacks
(PDFファイル)http://bojinov.org/professional/usenixsec2012-rubberhose.pdf

Unbreakable crypto: Store a 30-character password in your brain’s subconscious memory | ExtremeTech

Boffins demo passwords even users don’t know • The Register

新たなパスワードシステムを開発したのはスタンフォード大学のHristo Bojinov氏、ノースウェスタン大学のDaniel Sanchez氏、Paul Reber氏、スタンフォード大学のDan Boneh氏、SRI(研究機関)のPatrick Lincoln氏。新たな情報を身につけつつも、学習したこと自体には気付かない「暗黙的学習」によって実現しました。

パスワードを学習する過程は「ビートマニア」のような音ゲーに似ていて、画面が「S」「D」「F」「J」「K」「L」の6つのコースに分けられており、それぞれのキーに対応した印が一番下の楕円に重なったときにタイプする、というもの。

まず、このゲームを始める前に「S」「D」「F」「J」「K」「L」の6文字が繰り返しにならない30文字のシーケンス(パスワード)が作られます。これは38ビットのエントロピーに等しく、一般的に作られる記憶可能なパスワードの何千倍、何万倍も強度が高いものです。

この30文字からなるパスワードの並びが3度連続で出され、次に18個のランダム文字が挿入されて、合計108アイテム(文字)で1つのシーケンスを形成します。シーケンスは5回繰り返され(540アイテム)、小休止を挟みます。これを6回繰り返し(3780アイテム)、合計45分間のトレーニングセッションとします。45分間で約4000の打鍵がありますが、このうち80％はパスワードを打鍵していることになります。

実験ではラウンド終了ごとにパスワードを入力しなければならないように設定し、しかも、覚えたのとは異なる30文字のシーケンスが表示されるようにしました。つまり、認証に通るためには、きっちりとパスワードを覚えている必要があります。しかし、トレーニングから2週間経過しても、ちゃんとこのシーケンスを思い出すことができることがわかりました。つまり、実験結果として、最初に作った30文字のシーケンスが、しっかりと脳に植え付けられたということが示唆されています。

By twitchcraft

この新しいパスワードシステムの大事なポイントは、もはや暗号を拷問で割り出すような手段が役に立たない、新しい暗号の基本が生まれるという所です。ユーザは「パスワードを入力してください」と要求されたときに、それ自体を思い出すことはできないので、どこかに書き出したり、無理矢理聞き出したりすることはできません。しかし、無意識の領域に情報として蓄えられているので、何らかのトリガーによって潜在意識から引き出されてくる、ということです。

これは同時に法的否認権も持つことになります。つまり、裁判官や警察官が「パスワードを教えなさい」と言ってきたとき、「知りません」と返せるわけです。

今回の研究内容は8月のUsenix Security Symposiumで発表される予定です。