強力で他にはないパスワードを覚える方法

技術はどんどん進歩しているはずなのに、人がパスワードを覚えるという作業はずっと変わっていません。しかし、カーネギーメロン大学の研究者たちが、長く複雑なパスワードを記憶するための実験を行いました。

password-brain

今は西暦2014年です。Lockheed Martinは先ごろ、環境に優しく、比較的簡単に入手できる燃料によって、想像もつかないほど膨大なエネルギーを発生させる小型の核融合炉の開発に向かって大きく前進しつつあると発表しました。その一方で、私たちはいまだに、増え続けるパスワードを覚えざるをえない状況から抜け出せません。まるで1999年から何も進んでいないかのようです。今後もこの旧態依然とした認証手段を未来の技術に使っていくのなら、確実にパスワードを覚えられる方法を考えた方がいいでしょう。この課題に取り組んだのが、カーネギーメロン大学コンピューターサイエンス学部の研究者たちです。

password-brain

残念ながら、複雑なパスワードをいくつも覚えるために必要なのは、誰もがやりたくないことであると判明しました。勉強、です。ジェレマイア・ブロッキー(Jeremiah Blocki)氏、サランガ・コマンドゥリ(Saranga Komanduri)氏、ローリー・クレイナー(Lorrie Cranor)氏、アヌパム・ダッタ(Anupam Datta)氏が行った研究によると、時間をおいて反復練習し、記憶の助けになるものを使うことで、パスワードを長期間覚えていられる確率が高まったそうです。

このパスワード構成の基本原理は、パスワードの強度に関するXKCDコミック(下の画像)に似ています。つまり、リートを使った単語ではなく、文章を考える、ということです。

password_strength

カーネギーメロン大の研究に参加した人たちは、ドロップダウンメニューから人物を選ぶように指示されました。選んだ人物には、動作と対象物が無作為に割り当てられます。すると、たとえば次のような文ができあがります。「Master Yoda dropping a microphone」(マスター・ヨーダがマイクを落とした)。この手法は「Person-Action-Object」(PAO:主語-動詞-目的語)ストーリーと呼ばれています。

今回の研究では、記憶の助けとして、ある場面を描いた絵を被験者に見せ、自分のPAOストーリーの情景をイメージできるようにしました。たとえば、自分のストーリーに、水中にある研究所の絵が関連づけられたとしましょう。最終的にできあがった文は、次のようになります。「Master Yoda dropping a microphone in an underwater laboratory」(マスター・ヨーダが水中の研究所でマイクを落とした)

この6つの単語から成るパスワードは、十分な強度を備えています。当社のパスワード安全診断ページで確認してみるといいでしょう。文全体を覚えなくてもよいというのが、この記憶術のポイントです。

この研究では、およそ100日間にわたり、一定の間隔をおいて参加者に場面と人物の組み合わせ(マスター・ヨーダと水中の研究所)を見せ、動詞と目的語を思い出す練習をしてもらいました。参加者はいくつかのグループに分けられ、グループごとに練習の間隔と覚えるパスワードの数(1つ、2つ、または4つ)が決められました。

最も優秀な成績を収めたのは、最初は12時間後に練習し、その後は練習の間隔を12時間×1.5ずつ延ばしていったグループの参加者でした(0.5日、1.75日、4.15日、8.15日、14.65日、24.65日、40.65日、64.65日、101.65日)。このグループでは参加者の77.1%が、102日の期間内に9回実施したテストで4つのストーリーすべてを思い出しました。

「少し驚いたと言っていいと思います。実験前に、どのグループが最高の結果を出すか予想するように言われたとしたら、おそらく30分×2のグループだと答えていたでしょう。確信があったわけではありませんが。」

私はブロッキー氏に連絡し、この結果に驚いたかどうかを聞いてみました。

「少し驚いたと言っていいと思います。実験前に、どのグループが最高の結果を出すか予想するように言われたとしたら、おそらく30分×2のグループだと答えていたでしょう。確信があったわけではありませんが。確かに、12時間×1.5のグループの方が最初の練習までの間隔が長かったのですが、練習と練習の間隔が長くなっていくスピードは、30分×2のグループほどではありませんでした。この結果は(実施した練習の合計回数だけでなく)練習の間隔が重要であることを示しています」(ブロッキー氏)

ちなみに、一番ストーリーを忘れてしまう期間は、最初の12時間でした。最初の方のテストでストーリーを覚えていた参加者の約94.9%は、その後のテストでも覚えていました。当然ながら、1つか2つのストーリーを覚えるように言われた参加者の方が、4つのストーリーを覚えるように言われた参加者より、思い出せた確率が大幅に高いという結果になりました。

この「Spaced Repetition and Mnemonics Enable Recall of Multiple Strong Passwords」(間隔をあけた反復練習と記憶補助が可能にする複数の強力なパスワードの記憶)(PDF)という研究では、今も多くのことが進んでいます。興味があれば、読んでみてください。気が滅入るような数学の問題が満載ですが。

では、今回の教訓は何でしょうか?まず、パスワードは少ない方が覚えやすいということを学びました。だからこそ、ほとんどの人がパスワードの共有がよくないと知りつつ、同じパスワードを複数のアカウントで使い回しているのでしょう。見方を変えれば、パスワードは今も大きな欠陥を抱えているということです。

http://instagram.com/p/ubLd60P0Lv/

しかし、良いニュースもあります。次のような比較的簡単な記憶術で、パスワードを強化することができるのです。

–    絵と関連づけられるストーリーのあるパスワードを作成しましょう。

–    パスワードの使い回しを避けましょう。シンプルな方法とは言えませんが。

–    使っているパスワードを早めに検討し直し、生涯を通じて検討を重ねましょう。せめて、不正アクセスを受けて何もかもやり直しになる前に。

そして、フォースと共にあらんことを

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?