人間は56ビットのパスワードを脳内記憶にとどめておけることが研究で判明

By Christian Ditaputratama

ウェブサイトやネットサービスを利用するにあたって、次々と増えてしまうアカウントとパスワードですが、多くのユーザーが自分で考えたパスワードは10ビット以下の突破されやすいものになっています。セキュリティ強化のために長いパスワードを設定すると覚えられないと考えられていますが、充分過ぎるほど強力と言われるランダム生成された56ビット(復号すると6語または12文字)のパスワードや暗号でも、反復学習によって人間の記憶にとどめられることが判明しました。

Towards Reliable Storage of 56-bit Secrets in Human Memory | USENIX
https://www.usenix.org/conference/usenixsecurity14/technical-sessions/presentation/bonneau

Towards Reliable Storage of 56-bit Secrets in Human Memory.pdf
(PDFファイル)https://www.usenix.org/system/files/conference/usenixsecurity14/sec14-paper-bonneau.pdf

一般的に長いパスワードを記憶して思い出すのは難しいことですが、プリンストン大学のジョセフ・ボーニュ氏とMicrosoft Researchのスチュアート・シェクター氏は、人間は反復によってランダムに割り当てられた56.4ビット(復号すると6語または12文字)分の強力なコードを学習できる、という仮説を立てました。

研究チームは仮説立証のために研究の被験者を集めて、2週間の間に90回にわたってウェブサイトに設置したログインフォームに自分で決めたパスワードでログインしてもらうよう依頼しました。

まずはじめに、被験者たちがウェブサイトにログインすると、ランダムに暗号化された18.8ビット(復号すると2語または4文字)の「セキュリティコード」をタイプしてもらいます。以下の例では、入力するコードは「vnun」で、フォームの上部にヒントとして表示されています。ただし、ログイン回数が増えるごとにヒントの表示開始が3分の1秒ずつ遅くなっていく仕組みで、最大10秒まで表示が遅れるようになります。これを2週間(1日平均9回)にわたって行ってもらいました。

表示されているコードは56ビットのセキュリティコードを18.8ビットずつに3分割したもの。被験者たちが1つ目のコードをヒントなしで入力するようになると、2つ目の入力フォームが出現して、最終的に3つめのフォームまで出現することで56ビットのコードを全て暗記できるようになっています。被験者には「セキュリティコードの反復学習」という目的を明かしていなかったため、次第に表示が遅くなるコードを見て時間短縮のために自然に反復学習ができるわけです。

そして被験者のうち94％が平均して36回のログイン後に暗号化された56ビットのコードの記憶に成功。さらに、3日後に同じコードを尋ねられた人のうち88％が正確に思い出すことができました。被験者の1人は「言葉が脳に焼き付いているようだ」と驚いていたとのこと。

By Ron Bennetts

なお、被験者たちはセキュリティコードとして文字を与えられたグループと単語を与えられたグループの2つがあり、文字グループは56人中46人(82％)、単語グループは56人中52人(93％)がそれぞれセキュリティコードを思い出すことに成功。また、全体の21％の被験者は、コードをメモに書くなどしてアウトプットしていましたが、メモをとらなかった人に比べて、思い出す割合が高まっていたとのことです。

ほとんどの銀行の暗証番号が4桁で設定されているように、人間は高品質の暗号キーを正しく記憶することができないと考えられています。ユーザーが自ら考えたパスワードは10ビット以下のものがほとんどであるとのこと。同じビット数でもランダム生成されたものは解読が難しくなる傾向にあるため、パスワードとしては強力過ぎると言われるランダム生成された56ビット分の暗号を長期的に記憶できれば、パスワードマネージャーのマスターパスワードを自分の脳内だけにとどめることができるなど、数多くの利点が想定されます。