パスワードの後継となるか? 米研究者、新しいパスフレーズシステムを提唱:画像ヒントを併用して短所を克服
パスフレーズはパスワードよりも文字数が長いために安全だが、覚えにくく、入力ミスも多い。この欠点を取り除いた新しいパスフレーズシステムを米国の研究者が開発した。一週間以上経過した時点で従来のパスフレーズシステムと比較したところ、正答率が30ポイント以上向上したことが分かった。
米国人間工学会(HFES)の機関誌「Human Factors」の2018年8月号に、研究者のケビン・ジュアング氏とジョエル・グリーンスタイン氏が、2つの新しいパスフレーズシステムを開発、テストした結果をまとめた論文が掲載された。パスフレーズとはフレーズ(短文)に基づくパスワードのことだ。
2018年5月2日にオンラインで公開された論文は「Integrating Visual Mnemonics and Input Feedback With Passphrases to Improve the Usability and Security of Digital Authentication」と題されている。
両氏が論文にまとめたパスフレーズシステムは、これまでのパスフレーズの短所を克服し、既存のパスフレーズ認証システムのユーザビリティとセキュリティを高めることを目指している。
パスフレーズは、従来のパスワードより安全なことが、これまでの研究によって分かっている。だがこれまでのパスフレーズには、「入力時にタイプミスが発生しやすい」「覚えにくい」といった人的要因に関連する短所がある。そのため、あまり普及していない。
ユーザー作成のイラストを併用
ジュアング氏とグリーンスタイン氏は2種類のパスフレーズシステムを開発した。一つは、シンプルで一般的な単語を含む特別な単語リストを使って、システムが6つの単語を使って「意味のある」短文を作成する。さらに記憶の助けになるよう、ペイントプログラムを使ってユーザー自らが描いたイラストと組み合わせる。
このシステムで作られるパスフレーズは、例えば、「silly pet wolf ate our pizzas」(ばかなペットのオオカミがわれわれのピザを食べた)となり、パスフレーズの入力を求める画面では、ユーザーのイラストを一緒に提示する。
もう一つは、システムが6単語の構文を作る代わりに、カスタマイズされた1450単語のリストから、4単語をランダムに取り出して並べるというものだ。
両氏は、2種類の新システムのユーザビリティを、既存の2種類のパスフレーズシステムと比べて評価した。既存のシステムの一つはユーザーが少なくとも24桁の英数字でパスフレーズを作るシステムであり、もう一つはシステムが1万語のリストからランダムに単語を取り出してパスフレーズを作るシステムだ。
従来のパスフレーズシステムと比較
両氏は、新しいパスフレーズシステムの効果を評価するため、50人の成人を対象に実験を進めた。
実験では、4種類のシステムについてパスフレーズとその記憶の助けになるものを、各システムにつき5分間で作るよう指示した。ただし、作ったものは一切メモしないものとした。テスト参加者は、4つのパスフレーズの作成直後と、7〜11日後の2回にわたって、パスフレーズを覚えているかどうかを調べる確認テストを受けた。
4種類のパスフレーズシステムのうち、どれが最も覚えやすいのか 左から順にカスタマイズされた単語リストを使うもの、6単語の構文を使うもの、ユーザーがパスフレーズを作るもの、1万語のリストを使うものの正答率。1回目のテスト結果を青系統の色、2回目のテスト結果をオレンジ系統の色で示した(出典:HFES掲載論文に基づき編集部が作成
テストの結果、新しいシステムの方が既存システムと比べて、パスフレーズをはるかに覚えやすいことが分かった。2回目のテスト時点でパスフレーズの記憶率は、6単語の構文を使うシステムが82%、カスタマイズされた単語リストを使うシステムが80%だった。これに対し、ユーザーがパスフレーズを作る従来のシステムは50%、1万語のリストを使う従来のシステムは34%にとどまった。
参加者に対してパスワードをメモしたり、使う練習をしたりしないよう指示したことを考慮すると、実際の環境では、新しいパスフレーズシステムはさらに効果を発揮するだろうと両氏は説明している。
ジュアング氏は、次のように述べている。
「パスフレーズはパスワードより安全であり、指紋認識や顔認識のようなバイオメトリクスシステムが抱えるさまざまな問題とも無縁だ。いずれは従来のパスワードから脱却しなければならなくなるが、恐れることはない。パスワードの運用において、使いやすさとセキュリティを両立させることは難しいが、両立をユーザーに求めるのではなく、安全なパスフレーズをユーザーに提供し、ユーザーには得意なことをやってもらえばよい。それは、物事を自分の工夫で簡単にすることだ。ユーザーの思考を真に理解すれば、パスフレーズを安全に、そして使いやすく保つシステムを設計できる」
ジュアング氏はSunTrust Bankのユーザーエクスペリエンスリサーチマネジャーを務めており、グリーンスタイン氏は、クレムソン大学の生産工学名誉准教授で、HFESのフェローを務めている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- Microsoft Edgeがパスワード不要の「Web Authentication」に本格対応
Windows Insider Preview Build 17723以降のMicrosoft Edgeが「Web Authentication」仕様をサポートした。これにより、パスワードを使わなくても安全でより良いWebエクスペリエンスを得られるようになったという。 - パスワードは変更しない方が良いのか?
2018年3月のセキュリティクラスタは「コインチェック」「IPA」「パスワード」に話題が集まりました。コインチェックから流出した仮想通貨NEM(通貨単位XEM)が、ついに全て売られてしまいました。IPAが注目を集めたのはユーザーの情報を漏らしてしまったためです。さて長年、定期的に変更するよう推奨されてきたパスワードはどうなったのでしょうか。 - パスワードの定期変更という“不自然なルール”
しばしば「パスワードは○日ごとに変更しましょう」といわれるけれど、それで本当にクラックの危険性は減るの? ペネトレーションテストの現場から検証します(編集部)