パスワードの流出事故は後を絶たない。だがTide Foundationが発表した暗号化メカニズムを使えば、流出したパスワードが悪用されるのを防げるかもしれない。少なくとも従来のハッシュよりは強力だ。
非営利団体Tide Foundationが暗号化のセキュリティメカニズムを発表した。同団体によると、パスワードクラックを14万倍難しくするという。
このメカニズムは「splintering」(分化)と呼ばれている。これは、先例のないレベルの保護実現を目的に、分散技術を用いてユーザー名とパスワードを小さな要素に分解するという、他に例のない暗号化方式だ。
この方式によってsplinteringしたパスワードを完全に復元するのは「途方もなく」困難になるとしている。リバースエンジニアリングやブルートフォース攻撃など、数多くの手口を駆使しても困難なことは言うまでもない。
このメカニズムを正式にリリースする前に、splinteringしたパスワードをクラッキングできるかどうかの戦いをハッカーに挑んだ。成功すれば1ビットコイン(約8500ポンド)の報奨金と、勝ち誇る権利を与えるとした。
3カ月間に650万回以上クラッキングが試みられたが、誰も成功していない。
Tide Foundationはエンジニアチームと起業家で構成され、包括的な技術インフラを開発している。その設立目的は、パスワードのクラッキングを数百万倍難しくすることだけではない。個人データの管理を一般消費者の手に取り戻し、さまざまな保護機会を作り出すことだ。
このアプローチは、ビットコインの秘密鍵に近いセキュリティレベルでユーザー名とパスワードによる認証を可能にする。しかも、使い慣れたユーザー名とパスワードの操作性が変わることはない。
企業から見れば、任意のWebサイトのユーザーインタフェースにこの認証方式を統合できるというのがTide Foundationの見解だ。
Tide Foundationのエンジニアは、この手法を集中的な研究プロジェクトで検証している。この検証には、以前の攻撃で流出したLinkedInの6000万件の資格情報が利用された。エンジニアチームは、この検証でsplinteringメカニズムを導入すると、辞書攻撃による侵害の確率が100%から0.00072%に低下することを確認した。
「LinkedInから流出したユーザー名とパスワードのデータベースはハッシュ化され、ソルト化(訳注)されていたが、闇市場に出回ったときには6000万件のパスワード全てがクラックされていた」と話すのは、暗号化の専門家で、同社のアドバイザーを務めるウィリー・スシロ氏だ。
訳注:パスワードなどをハッシュ化する際に加えるランダムなデータ。
「これに対してTide Foundationのアルゴリズムは非常に強力で、脆弱(ぜいじゃく)性はかなり少ない。当チームは、このアルゴリズムが個人データのセキュリティを桁違いに強化することを期待している」(スシロ氏)
Tide Foundationの共同創立者であるドミニク・バリャドリッド氏によると、Tide Protocolは「持続可能な個人データのエコシステム」に力を与えるグローバルスタンダードになることを目的としているという。
「Tide Protocolは企業がプライバシーのコンプライアンスを維持し、データ侵害によってもたらされるリスクを軽減し、顧客からの信頼を高めて優れたビジネスを行うのを助けるだろう」(バリャドリッド氏)
「データを収集する企業は、アクセスが許可され、関連性が高く、モチベーションの高い対象者にアクセスすることが可能になる。最も重要なのは、一般消費者が自身のデータと、そのデータにアクセスするユーザーやツールとそのデータにアクセスする理由を管理し、データの取引に合意した場合はそのデータを収益化できる形で共有できるようにすることだ」(バリャドリッド氏)
Tide Foundationの諮問委員会と運営委員会は、グローバルメディア企業、金融業界、政界のリーダー、暗号学の世界的に有名な学者、経験豊富な起業家による設立チームで構成され、個人データの力と所有権に大きな変化をもたらすことを目的としている。
Copyright © ITmedia, Inc. All Rights Reserved.
ハロウィーンの口コミ数はエイプリルフールやバレンタインを超える マーケ視点で押さえておくべきことは?
ホットリンクは、SNSの投稿データから、ハロウィーンに関する口コミを調査した。
なぜ料理の失敗写真がパッケージに? クノールが展開する「ジレニアル世代」向けキャンペーンの真意
調味料ブランドのKnorr(クノール)は季節限定のホリデーマーケティングキャンペーン「#E...
業界トップランナーが語る「イベントDX」 リアルもオンラインも、もっと変われる
コロナ禍を経て、イベントの在り方は大きく変わった。データを駆使してイベントの体験価...