クラックするのは14万倍難しい、新パスワード暗号化方式：ユーザー名とパスワードを分散化

パスワードの流出事故は後を絶たない。だがTide Foundationが発表した暗号化メカニズムを使えば、流出したパスワードが悪用されるのを防げるかもしれない。少なくとも従来のハッシュよりは強力だ。

≫ 2019年10月18日 08時00分公開

　非営利団体Tide Foundationが暗号化のセキュリティメカニズムを発表した。同団体によると、パスワードクラックを14万倍難しくするという。

　このメカニズムは「splintering」（分化）と呼ばれている。これは、先例のないレベルの保護実現を目的に、分散技術を用いてユーザー名とパスワードを小さな要素に分解するという、他に例のない暗号化方式だ。

　この方式によってsplinteringしたパスワードを完全に復元するのは「途方もなく」困難になるとしている。リバースエンジニアリングやブルートフォース攻撃など、数多くの手口を駆使しても困難なことは言うまでもない。

　このメカニズムを正式にリリースする前に、splinteringしたパスワードをクラッキングできるかどうかの戦いをハッカーに挑んだ。成功すれば1ビットコイン（約8500ポンド）の報奨金と、勝ち誇る権利を与えるとした。

　3カ月間に650万回以上クラッキングが試みられたが、誰も成功していない。

　Tide Foundationはエンジニアチームと起業家で構成され、包括的な技術インフラを開発している。その設立目的は、パスワードのクラッキングを数百万倍難しくすることだけではない。個人データの管理を一般消費者の手に取り戻し、さまざまな保護機会を作り出すことだ。

　このアプローチは、ビットコインの秘密鍵に近いセキュリティレベルでユーザー名とパスワードによる認証を可能にする。しかも、使い慣れたユーザー名とパスワードの操作性が変わることはない。

　企業から見れば、任意のWebサイトのユーザーインタフェースにこの認証方式を統合できるというのがTide Foundationの見解だ。

　Tide Foundationのエンジニアは、この手法を集中的な研究プロジェクトで検証している。この検証には、以前の攻撃で流出したLinkedInの6000万件の資格情報が利用された。エンジニアチームは、この検証でsplinteringメカニズムを導入すると、辞書攻撃による侵害の確率が100％から0.00072％に低下することを確認した。

　「LinkedInから流出したユーザー名とパスワードのデータベースはハッシュ化され、ソルト化（訳注）されていたが、闇市場に出回ったときには6000万件のパスワード全てがクラックされていた」と話すのは、暗号化の専門家で、同社のアドバイザーを務めるウィリー・スシロ氏だ。

訳注：パスワードなどをハッシュ化する際に加えるランダムなデータ。

　「これに対してTide Foundationのアルゴリズムは非常に強力で、脆弱（ぜいじゃく）性はかなり少ない。当チームは、このアルゴリズムが個人データのセキュリティを桁違いに強化することを期待している」（スシロ氏）

　Tide Foundationの共同創立者であるドミニク・バリャドリッド氏によると、Tide Protocolは「持続可能な個人データのエコシステム」に力を与えるグローバルスタンダードになることを目的としているという。

　「Tide Protocolは企業がプライバシーのコンプライアンスを維持し、データ侵害によってもたらされるリスクを軽減し、顧客からの信頼を高めて優れたビジネスを行うのを助けるだろう」（バリャドリッド氏）

　「データを収集する企業は、アクセスが許可され、関連性が高く、モチベーションの高い対象者にアクセスすることが可能になる。最も重要なのは、一般消費者が自身のデータと、そのデータにアクセスするユーザーやツールとそのデータにアクセスする理由を管理し、データの取引に合意した場合はそのデータを収益化できる形で共有できるようにすることだ」（バリャドリッド氏）

　Tide Foundationの諮問委員会と運営委員会は、グローバルメディア企業、金融業界、政界のリーダー、暗号学の世界的に有名な学者、経験豊富な起業家による設立チームで構成され、個人データの力と所有権に大きな変化をもたらすことを目的としている。

TechTargetジャパントップセキュリティ