パスワードはインターネット生活の悩みの種だが、あるチューリング賞受賞者は、パスワードの管理を容易にするだけでなく、より安全にもできると考えるアルゴリズム的アプローチを考案した。
現在、平均的なユーザーは約20個のパスワードを持っていますが、一般的に覚えやすいパスワードほど安全性が低くなります。複数のウェブサイトで同じパスワードを使い回すと、さらに脆弱になります。
1995年にチューリング賞を受賞したカーネギーメロン大学のコンピュータサイエンス教授、マヌエル・ブラム氏は、自ら「人間が計算できる」パスワードと呼ぶものの開発に取り組んできました。このパスワードは、比較的安全であるだけでなく、サイトごとに異なるパスワードを記憶する必要もありません。その代わりに、私たちは事前にアルゴリズムと個人の秘密鍵を学習し、それらをウェブサイト名と組み合わせて、いつでもどのウェブサイトでも自分だけのユニークなパスワードを即座に作成・再作成できるのです。
「特定のサイトにパスワードを設定しているかどうかさえ覚えておく必要はありません」と、ブラム氏は先週ドイツで開催されたハイデルベルク桂冠フォーラムで説明した。例えば、最近妻からREIのウェブサイトでパスワードを尋ねられた際、「正直に言って、REIに登録しているかどうかは分かりませんが、もし登録しているなら、私のパスワードは…」と答えた。
ハイデルベルク桂冠フォーラム財団 / C. フレミング マヌエル・ブルム氏が2015年ハイデルベルク桂冠詩人フォーラムで講演します。
基本的には、アルゴリズムとキーによって、Web サイト名の各文字に代わる文字または数字が割り当てられ、その変換された値のセットがサイト固有のパスワードになるという考え方です。
例を挙げましょう。ある人のキーは、アルファベット26文字すべてと10桁の数字すべてから構成される6行6列のマトリックスで構成されますが、標準的な順序ではありません。最初の行は、Linotypeの組版機の最初の6文字、つまりE、A、T、O、I、Nで構成されています。残りの文字も同様に、古い機器で使用されていた順序に従って並べられ、その後に0から9までの数字が続きます。
ウェブサイト名をパスワードに変換するには、ユーザーはマトリックスと、どの文字が何に置き換えられるかを指示するアルゴリズムを組み合わせて使用します。Blum氏の例では、コンパスの方向に従うシステムを使用しました。サイト名の最初の文字から始めて、ユーザーはマトリックス上で1つ「北」に移動し、その文字の置き換え値を探します。次に、マトリックス上でサイト名の2番目の文字を見つけ、「東」に移動してその文字を置き換える値を探します。続いて「南」に移動して3番目の文字の置き換え値を探し、「西」に移動して4番目の文字の置き換え値を探し、ウェブサイト名全体がエンコードされるまでこれを繰り返します。
たとえば、「Amazon」は、このスキームを使用したパスワードでは「5FHX7E」になりますが、スキーム自体を記憶する必要はなく、スキーム自体を記憶するだけで済みます。
ブルーム氏は、観客のボランティア 4 名にこの手法を実演し、ボランティアたちは数分間のトレーニングでこの手法をうまく使用することができた。
使用できるアルゴリズムは数多くあります。コンパスの方向はその一例に過ぎません。特殊文字を必要とするサイトでは、ユーザーはアルゴリズムの結果にいくつかの特殊文字を追加することを習慣づけることができます。例えば、最終的なパスワードに毎回「!#$」を追加するといった具合です。
このシステムをハッカーが解読するのは難しいだろうとブラム氏は語った。
「数個以上のパスワードを漏らさない限り、安全です」と彼は語った。
このアプローチでは、キーとアルゴリズムを選択して学習するという事前の作業が明らかに必要です。しかし、重要なのは、すべてのパスワードを記憶するのとは対照的に、それを一度だけ行えば済むということです。
詳細については、Blum 氏の講演が Heidelberg Laureate Forum の Web サイトでオンラインで公開されており、このアプローチを説明した論文が昨年秋に出版されています。
