最新のサイバーセキュリティは、適切に偏執的なベストプラクティスに基づいて実践されている。
例えば、2要素認証キーの入った物理的なUSBメモリーを持ち歩き、それを行く先々のコンピューターに挿入して自身を認証させる──といった具合だ。しかし、この物理的なUSBメモリーをなくしたり壊したりすれば、自分のアカウントにアクセスできなくなる。
パスワードはどうだろうか。同じ文字列を繰り返し使ったり、どこかに書き留めておいたりせず、ウェブサイトごとに異なる推測不能なパスワードを使うことが求められる。もしパスワードマネージャーを使うなら(ぜひ活用すべきだ)、何年にもわたって長いマスターパスワードを記憶しておく必要がある。さもないと、パスワードで保護されたウェブサイトにアクセスできなくなってしまう。
それでは、こうした複雑なことなどせずに、プラスティック製の箱に入った25個のサイコロを1回振るだけで済むとしたら、どうだろうか。それが物理的に極めて安全なキーをひとつ生成するシンプルな暗号キット「DiceKeys」である。
PHOTOGRAPH BY STUART SCHECHTER
サイコロひと振りで高度なパスワードが完成
カリフォルニア州立大学バークレー校のコンピューターサイエンティストのスチュアート・シェクターが2020年8月に発表したDiceKeysは、人生で最も重要なパスワードすべてを作成する基礎となり、何年も何十年も使い続けることができる。
DiceKeysは、単語ゲーム「Boggle」のようなプラスティック製の箱と、中に入ったサイコロが振られた結果をスキャンする専用のウェブアプリで構成される。サイコロを振ることで、ランダムで数学的に推測不能なキーが作成され、このキーを使ってパスワードマネージャー用のマスターパスワードをつくることができる。
つまり、2要素認証のU2F規格のセキュリティキーを作成するシードにしたり、暗号通貨用ウォレットの秘密キーとして使うことさえできるのだ。おそらく最も重要なことは、永久に使えるオフラインキーとして設計されたDiceKeysは、マスターパスワードや暗号キー、またはU2F規格のトークンがなくなったり忘れたり、破損したりしても再生成できる点である。
8月に開かれたUNIX関連団体「USENIX」のセキュリティシンポジウムでDiceKeysを紹介したシェクターは、「ユーザーはサイコロを振るだけです」と語っている。DiceKeysのキットは、クラウドファンディングプラットフォーム「Crowd Supply」で21年1月に出荷予定で、25ドル(約2,600円)で予約注文を受け付けている。「超強力なパスワードが必要なとき、大事な秘密情報を入力せずに振ったサイコロをスキャンするだけで済むのです」
実質的に推測不可能な組み合わせ
実際にシェクターは、大半のDiceKeysユーザーがサイコロを1回振るだけで済むと考えている。
まず、付属のバッグにサイコロをすべて入れて振り、プラスティック製の箱に投入して蓋を閉じる。そうすれば、それぞれのサイコロの位置はそのまま固定される。
続いてユーザーは、サイコロの入った箱をDiceKeysのアプリ(現時点ではウェブアプリ)でスキャンする。ノートPCやスマートフォン、iPadなどのカメラでのスキャンが終わると、アプリがサイコロに基づいて暗号キーを生成する。サイコロに刻まれたバーコードのような模様によって、サイコロの文字と向きを確実かつ正確に認識する仕組みだ。
DiceKeysアプリの現行ヴァージョンはウェブ上にホストされているが、ユーザーのデヴァイスからデータが決して流出しないように設計されているという。
刻まれた数字と文字はサイコロごとに異なり、サイコロの面の向きもそれぞれ異なっている。このため結果として、196ビットのエントロピー[編註:パスワードの予測可能性を示す情報量]になると、シェクターは言う。つまり、サイコロの組み合わせは2の196乗だけありうることになる。
シェクターの推定では2の196乗とは、4,000~5,000個の太陽系に存在する原子の数ほどになるという。「最新のテクノロジーを使ってこの数字を推測できるほど巨大なコンピューターをつくることは事実上不可能です」と、シェクターは言う。
こうしてサイコロのスキャンが完了すると、アプリは非常に長いランダムなパスフレーズを示す。あとはこのパスフレーズを、パスワードマネージャーにマスターパスワードとしてコピー&ペーストすればいい。
DiceKeysのアプリは、サイコロをスキャンして作成したキーやマスターパスワードなどをまったく保存しない。しかし、もっと重要な点は、サイコロを再スキャンすればキーとパスワードを再生成できることだ。
仮想通貨のウォレットとも連携可能に
さらにシェクターは、DiceKeysで生成したキーをユーザーが2要素認証のU2Fトークンに書き込める別のアプリも構築しており、それをDiceKeysと統合しようと考えている。このアプリは現時点ではオープンソースである「SoloKey」のU2Fトークンでしか使えないが、DiceKeysを正式出荷する前に、幅広く利用されているU2Fトークンと互換性をもつようにする計画だ。
こうした機能をもつAPIによって、暗号通貨のウォレットの開発者がDiceKeysをウォレットに統合できるようになる。つまり、ユーザーの仮想通貨(暗号通貨、暗号資産)を保護する暗号キーを、DiceKeysに対応するウォレットアプリでも生成できるようになる。
DiceKeysがパスワードやキーを生成するため使うにハッシュ化の手法は、不正なパスワードマネージャーや暗号ウォレットのような悪意ある仕組みの利用を防ぐことができる。これはユーザーパスワードの基になるDiceKeysのキーの可逆的な解析を、阻止できる仕組みになっているからだ。こうしてDiceKeysは、多くのアプリケーションやサーヴィス用にパスワードやキーを生成し、必要な場合はほかのセキュリティを損なわずに、生成されたパスワードやキーを再生成できるようになっている。
このサイコロが入ったプラスティック製の箱は、それなりに将来に対応できているのだとシェクターは言う。パスワードが書かれた紙よりずっと丈夫で、なくすことがない。幼い子どもがいたずらできない構造になっており、背の高い大人が落としても壊れないように設計されている(シェクターは耐火鋼製の箱も検討中だという)。
それに何十年後かにはBluetoothやUSB-Cといった規格が使われなくなる可能性もあるが、DiceKeysのライセンスはオープンソースになっているので、最良のシナリオでは“永遠”に使い続けられる。
普段使いのために
シェクターによると、現時点でのDiceKeysはアルファ版のテスト段階にあり、いまのところセキュリティは完璧ではないのだという。例えば、DiceKeysのアプリはウェブにホスティングされていることから、その脆弱性を突いたハッカーがサーヴァーをハイジャックして、生成されたキーとパスワードのコピーを盗む可能性もある。
だがシェクターは、DiceKeysの正式版を提供するまでにiOSとAndroidのアプリを用意したいと考えている。USENIXのシンポジウムでシェクターの講演を聴いたスタンフォード大学応用暗号化・コンピューターセキュリティ部門のダン・ボネー教授によると、これは重要なセキュリティ向上になるという。
「アプリはリヴァースエンジニアリングすることで、期待通りに動作するか確認できます。おそらくセキュリティ団体のなかには、そうすることで調査結果をわたしたちに報告するところもあるでしょうね」と、ボネーは説明する。「こうした仕組みはクラウドでは実現できませんから」
PHOTOGRAPH BY STUART SCHECHTER
とはいえ、それ以外の点でDiceKeysは、「ユーザーを正しい行動に導く優れた方法」なのだとボネーは指摘する。というのもDiceKeysは、幅広く推奨されているセキュリティ対策の一部であるパスワードマネージャーを、誰もが非常に簡単に使えるように設計されている。パスワードマネージャーによってユーザーは、あらゆるアカウントにおいて、強力かつ固有のパスワードひとつだけで管理できるようになる。
DiceKeysは、当初は仮想通貨やセキュリティ関連のコミュニティで注目される可能性が高い。だがシェクターは、パスワードマネージャーやU2Fトークンの潜在的なユーザー層に訴求するとみている。これらを使いたいと考えている一方で、マスターパスワードやU2Fトークンの紛失を恐れている人たちだ。
「DiceKeysは、こうした問題を人々が乗り越えるためのものです。つまり、こうした技術を普段使いするユーザーのためのものなのです」と、シェクターは言う。「DiceKeysは、セキュリティをより身近なものにします。なぜなら、人々にとって理解しやすいものだからです。なにしろ、箱に入った文字や数字の集まりなのですから」
※『WIRED』によるパスワードの関連記事はこちら。
RELATED ARTICLES
INFORMATION
限定イヴェントにも参加できるWIRED日本版「メンバーシップ」会員募集中!
次の10年を見通すためのインサイト(洞察)が詰まった選りすぐりのロングリード(長編)を、週替わりのテーマに合わせてお届けする会員サーヴィス「WIRED SZ メンバーシップ」。限定イヴェントへの参加も可能な刺激に満ちたサーヴィスは、2週間の無料トライアルを実施中!
"パスワード" - Google ニュース
September 10, 2020 at 03:00PM
https://ift.tt/2Zpixez
サイコロひと振りで、“推測不能”なマスターパスワードを生成:「DiceKeys」が打ち出すセキュリティの新機軸 - WIRED.jp
"パスワード" - Google ニュース
https://ift.tt/2P4UtbX
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
No comments:
Post a Comment