ここから本文です

クラックするのは14万倍難しい、新パスワード暗号化方式

10/21(月) 9:00配信

TechTargetジャパン

 非営利団体Tide Foundationが暗号化のセキュリティメカニズムを発表した。同団体によると、パスワードクラックを14万倍難しくするという。

 このメカニズムは「splintering」(分化)と呼ばれている。これは、先例のないレベルの保護実現を目的に、分散技術を用いてユーザー名とパスワードを小さな要素に分解するという、他に例のない暗号化方式だ。

 Tide Foundationは、企業、一般消費者、データを収集する企業(マーケティング企業や調査会社など)のデータプライバシーを保護することを目的に、新しく安全な個人データエコノミーの根幹を形成するオープンソース技術の一つとしてsplinteringを開発した。

 同団体は、「Tide Protocol」という全体的なオープンソースソフトウェアソリューションを無料で配布することも予定している。

 Tide Foundationによると、データ暗号化向けsplinteringメカニズムによって、企業は飛躍的に高いレベルのセキュリティを顧客のパスワードに提供できるようになる。

 開発者は、この方式によってsplinteringしたパスワードを完全に復元するのは「途方もなく」困難になるとしている。リバースエンジニアリングやブルートフォース攻撃など、数多くの手口を駆使しても困難なことは言うまでもない。

 このメカニズムを正式にリリースする前に、splinteringしたパスワードをクラッキングできるかどうかの戦いをハッカーに挑んだ。成功すれば1ビットコイン(約8500ポンド)の報奨金と、勝ち誇る権利を与えるとした。そして3カ月間に650万回以上クラッキングが試みられたが、誰も成功していない。

 Tide Foundationはエンジニアチームと起業家で構成され、包括的な技術インフラを開発している。その設立目的は、パスワードのクラッキングを数百万倍難しくすることだけではない。個人データの管理を一般消費者の手に取り戻し、さまざまな保護機会を作り出すことだ。

 このアプローチは、ビットコインの秘密鍵に近いセキュリティレベルでユーザー名とパスワードによる認証を可能にする。しかも、使い慣れたユーザー名とパスワードの操作性が変わることはない。

 企業から見れば、任意のWebサイトのユーザーインタフェースにこの認証方式を統合できるというのがTide Foundationの見解だ。

 Tide Foundationのエンジニアは、この手法を集中的な研究プロジェクトで検証している。この検証には、以前の攻撃で流出したLinkedInの6000万件の資格情報が利用された。エンジニアチームは、この検証でsplinteringメカニズムを導入すると、辞書攻撃による侵害の確率が100%から0.00072%に低下することを確認した。

 「LinkedInから流出したユーザー名とパスワードのデータベースはハッシュ化され、ソルト化(訳注)されていたが、闇市場に出回ったときには6000万件のパスワード全てがクラックされていた」と話すのは、暗号化の専門家で、同社のアドバイザーを務めるウィリー・スシロ氏だ。
訳注:パスワードなどをハッシュ化する際に加えるランダムなデータ。

 「これに対してTide Foundationのアルゴリズムは非常に強力で、脆弱(ぜいじゃく)性はかなり少ない。当チームは、このアルゴリズムが個人データのセキュリティを桁違いに強化することを期待している」(スシロ氏)

 Tide Foundationの共同創立者であるドミニク・バリャドリッド氏によると、Tide Protocolは「持続可能な個人データのエコシステム」に力を与えるグローバルスタンダードになることを目的としているという。

 「Tide Protocolは企業がプライバシーのコンプライアンスを維持し、データ侵害によってもたらされるリスクを軽減し、顧客からの信頼を高めて優れたビジネスを行うのを助けるだろう」(バリャドリッド氏)

 「データを収集する企業は、アクセスが許可され、関連性が高く、モチベーションの高い対象者にアクセスすることが可能になる。最も重要なのは、一般消費者が自身のデータと、そのデータにアクセスするユーザーやツールとそのデータにアクセスする理由を管理し、データの取引に合意した場合はそのデータを収益化できる形で共有できるようにすることだ」(バリャドリッド氏)

 Tide Foundationの諮問委員会と運営委員会は、グローバルメディア企業、金融業界、政界のリーダー、暗号学の世界的に有名な学者、経験豊富な起業家による設立チームで構成され、個人データの力と所有権に大きな変化をもたらすことを目的としている。

TechTargetジャパン

最終更新:10/21(月) 9:00
TechTargetジャパン

こんな記事も読まれています

あなたにおすすめの記事