クラックするのは14万倍難しい、新パスワード暗号化方式ユーザー名とパスワードを分散化

パスワードの流出事故は後を絶たない。だがTide Foundationが発表した暗号化メカニズムを使えば、流出したパスワードが悪用されるのを防げるかもしれない。少なくとも従来のハッシュよりは強力だ。

2019年10月18日 08時00分 公開
[Warwick AshfordComputer Weekly]

 非営利団体Tide Foundationが暗号化のセキュリティメカニズムを発表した。同団体によると、パスワードクラックを14万倍難しくするという。

 このメカニズムは「splintering」(分化)と呼ばれている。これは、先例のないレベルの保護実現を目的に、分散技術を用いてユーザー名とパスワードを小さな要素に分解するという、他に例のない暗号化方式だ。

 この方式によってsplinteringしたパスワードを完全に復元するのは「途方もなく」困難になるとしている。リバースエンジニアリングやブルートフォース攻撃など、数多くの手口を駆使しても困難なことは言うまでもない。

 このメカニズムを正式にリリースする前に、splinteringしたパスワードをクラッキングできるかどうかの戦いをハッカーに挑んだ。成功すれば1ビットコイン(約8500ポンド)の報奨金と、勝ち誇る権利を与えるとした。

 3カ月間に650万回以上クラッキングが試みられたが、誰も成功していない。

 Tide Foundationはエンジニアチームと起業家で構成され、包括的な技術インフラを開発している。その設立目的は、パスワードのクラッキングを数百万倍難しくすることだけではない。個人データの管理を一般消費者の手に取り戻し、さまざまな保護機会を作り出すことだ。

 このアプローチは、ビットコインの秘密鍵に近いセキュリティレベルでユーザー名とパスワードによる認証を可能にする。しかも、使い慣れたユーザー名とパスワードの操作性が変わることはない。

 企業から見れば、任意のWebサイトのユーザーインタフェースにこの認証方式を統合できるというのがTide Foundationの見解だ。

 Tide Foundationのエンジニアは、この手法を集中的な研究プロジェクトで検証している。この検証には、以前の攻撃で流出したLinkedInの6000万件の資格情報が利用された。エンジニアチームは、この検証でsplinteringメカニズムを導入すると、辞書攻撃による侵害の確率が100%から0.00072%に低下することを確認した。

 「LinkedInから流出したユーザー名とパスワードのデータベースはハッシュ化され、ソルト化(訳注)されていたが、闇市場に出回ったときには6000万件のパスワード全てがクラックされていた」と話すのは、暗号化の専門家で、同社のアドバイザーを務めるウィリー・スシロ氏だ。

訳注:パスワードなどをハッシュ化する際に加えるランダムなデータ。

 「これに対してTide Foundationのアルゴリズムは非常に強力で、脆弱(ぜいじゃく)性はかなり少ない。当チームは、このアルゴリズムが個人データのセキュリティを桁違いに強化することを期待している」(スシロ氏)

 Tide Foundationの共同創立者であるドミニク・バリャドリッド氏によると、Tide Protocolは「持続可能な個人データのエコシステム」に力を与えるグローバルスタンダードになることを目的としているという。

 「Tide Protocolは企業がプライバシーのコンプライアンスを維持し、データ侵害によってもたらされるリスクを軽減し、顧客からの信頼を高めて優れたビジネスを行うのを助けるだろう」(バリャドリッド氏)

 「データを収集する企業は、アクセスが許可され、関連性が高く、モチベーションの高い対象者にアクセスすることが可能になる。最も重要なのは、一般消費者が自身のデータと、そのデータにアクセスするユーザーやツールとそのデータにアクセスする理由を管理し、データの取引に合意した場合はそのデータを収益化できる形で共有できるようにすることだ」(バリャドリッド氏)

 Tide Foundationの諮問委員会と運営委員会は、グローバルメディア企業、金融業界、政界のリーダー、暗号学の世界的に有名な学者、経験豊富な起業家による設立チームで構成され、個人データの力と所有権に大きな変化をもたらすことを目的としている。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news006.jpg

「TikTok禁止」は結局、誰得? どうするトランプ氏――2025年のSNS大予測(TikTok編)
米国での存続を巡る議論が続く一方で、アプリ内ショッピングやAI機能の拡大など、TikTok...

news202.jpg

ネットの口コミを参考に8割超が商品を購入 最も参考にした口コミの掲載先は?
ホットリンクは、口コミ投稿の経験や購買への影響を調査した結果を発表した。

news071.jpg

「生成AIの普及でSEOはオワコン」説は本当か?
生成AIの普及によりSEOが「オワコン」化するという言説を頻繁に耳にするようになりました...