台湾師範大学(NTNU)は2月4日、オンライン上のパスワード推測攻撃に対抗するために、コンピューター科学・情報工学学科(Department of Computer Science and Information Engineering)のアルバート・グアン(Albert Guan)助教授が開発している新たな認証スキームを紹介する記事を公開した。

パスワードを推測されないようにするための一般的な認証方法は、同一アカウントに対するパスワードの試行回数を一定時間内に最大3回に制限することだが、この方法は対症療法にすぎず、根本的な問題に対処できない。もう一つの方法は、パスワードに一定の長さと複雑さを要求することである。しかし、長く複雑なパスワードは、ユーザーが覚えにくく、利便性が低下する。

このような課題に対処するため、同助教授は、パスワード推測攻撃やアカウント盗難を防ぐためのシンプルかつ効果的な方法の開発に乗り出した。出発点として、ユーザー名とパスワードを入力する際の行動パターンを分析することで、正規ユーザーと攻撃者を区別することを目指した。

研究では、正規ユーザーは自分のパスワードを知っているが、攻撃者は推測するしかないことを前提とし、確率と統計を利用して、ユーザーと攻撃者の行動を表す数学的モデルを開発した。次に、情報理論の原理を応用して、入力されたパスワードが、ユーザーによるものか攻撃者によるものかを判別するのに役立つ理論的枠組みに取り組んだ。分析の結果、正規ユーザーは入力ミスをしても、攻撃者のランダムな推測入力と比べて文字列のエントロピー(不規則性)が低いことが分かった。この特徴を活用し、入力されたパスワード文字列に含まれる一意の文字数を計算することで、正規ユーザーかどうかを推測するシンプルながら効果的な方法を開発した。

同助教授は、この新しい認証メカニズムは理論的に価値があるだけでなく、既存のユーザー認証システムに簡単に組み込むことができるという点で実用的であることを強調した。

サイエンスポータルアジアパシフィック編集部