フリスト・ボジノフは、あなたがパスワードを忘れてしまうことを望んでいます。もっと正確に言うと、そもそもパスワードを知らないようにしたいのです。スタンフォード大学のコンピュータ科学者であるボジノフと彼の同僚は、人の潜在意識にパスワードを埋め込み、さらに潜在意識からパスワードを復元できるコンピュータプログラムを開発しました。この技術により、例えば、厳重なセキュリティを求められる政府職員でさえパスワードを明かすことが不可能になる可能性があります。職員は実際には秘密のコードを知らないからです。最終的には、潜在意識下のパスワードの使用が、私たち一般の人々にまで浸透する可能性があります。パスワード保護の不安定な現状を考えると、それは早ければ早いほど良いでしょう。
「パスワードの問題は、簡単に破られてしまうことです」と、セキュリティ企業 StrikeForce Technologies の CTO である Ram Pemmaraju 氏は言います。 パスワードを解読するためのマルウェアなどのツールは簡単に入手できます。 最新のプロセッサやオープンソース ソフトウェアでは、暗号化されたパスワードを数時間や数分とは言わずもがな、数日で解読できます。 大文字、小文字、数字、記号を含む 7 文字のパスワードを考えてみましょう。 5 ~ 10 年前であれば、平均的なコンピュータではこれを推測するのに 1,000 年以上かかりました。今日の家庭用コンピュータでは、約 1 か月で解読できます。 コンピュータの処理能力がこのように向上しているため、一部の専門家は 20 ~ 30 文字のパスワードを推奨しています。 しかし、人間の怠惰も大きな問題です。 30 文字のパスワードを覚えておきたいと思う人がいるでしょうか。 最近のある調査では、パスワードの 5 % が「password」のバリエーションであることがわかっています。
しかし、もし人が無意識にパスワードを学習できれば、わざわざ記憶する必要はまったくなくなる。うっかり忘れることもないし、付箋に書いて他人に見られることもない。これらは、ボジノフ氏が今夏、権威ある USENIX セキュリティ シンポジウムで考えていた利点である。同氏はこのシンポジウムで、人が無意識にパスワードを記憶し、思い出すことができることを示した初の研究成果を発表した。実験では、参加者はコンピューター ゲームをプレイすることでパスワードを学習した。画面上では、S、D、F、J、K、L とラベル付けされた 6 つの列の上から下へ、黒い円が次々に落ちてくる。円が一番下まで到達すると、プレーヤーはその列に対応する文字を入力する。約 4,000 回のキー操作を要するこのゲームは、完了するまでに約 30 分から 45 分を要した。プレーヤーは知らなかったが、ゲームにはパスワード、つまり 30 文字の並びを 105 回入力する内容が含まれていた。プレイヤーがゲームを終える頃には、パスワードはある程度覚えていて、少し見覚えがあるように思えましたが、それでも認識できず、ましてや暗唱することはできませんでした。(平均して、パスワードの見覚え度は10点満点中6点、ランダムなパスワードは10点満点中5点と評価されました。)
パスワードの5%は「password」のバリエーションです。パスワードを使用するために、参加者は5分から10分程度のゲームをプレイしました。今回は、ソフトウェアが実際のパスワードとランダムに生成された30文字の文字列をどれだけ正確に入力したかを比較しました。参加者の71%が、実際のパスワードの方が偽のパスワードよりも高いスコアを獲得しました。2週間後に同じゲームをプレイしたところ、61%がより高いスコアを獲得しました。
将来的には、人々は同様のゲームを使って朝にコンピュータにログインできるようになるかもしれない。しかしボジノフ氏は、この研究はまだ初期段階だと警告する。同氏によると、学習プロセスは大多数の人にとっては長すぎるため、現在は高度なセキュリティが求められる状況、つまり45分間のパスワード入力の儀式に見合うだけの価値があるような用途向けにこの技術を改良することに焦点を当てているという。同氏は、このシステムが二次認証の一種として、現在電子メールアカウントのパスワードをリセットする際に必要な秘密の質問の代わりとして使える可能性を示唆している。用途が何であれ、研究者たちはこの技術に関する重要な疑問に答える必要があるとボジノフ氏は言う。どうすればこの技術をより多くの人に使えるようにできるのか?プロセスをスピードアップする最良の方法は?そして、潜在意識下のパスワードはどれくらいの期間保持されるのか?
これらの疑問への答えは、パスワード保護に興味深い展開をもたらす可能性がある。データ保護企業SafeNetのCTO、ラッセル・ディーツ氏は、現在の戦略は人間の賢さと失敗の両方からシステムを保護することだと述べている。「ユーザーが本人であることを証明しつつ、弱点であるユーザー自身を排除する必要があるのです」と彼は言う。しかし、ボジノフ氏の研究が示すように、人間の経験こそが、他人やコンピューターが偽造できないものなのかもしれない。
