多くのセキュリティ専門家が、パスワードはなくすべきだと述べている。WIREDのシニアライターであるMat Honan氏も、心からこれに 賛成している。同氏はこのWIREDの記事の中で、「ハッカーはわずか1時間で私のデジタル人生のすべてを破壊した」と書いている。「どれだけ複雑でも、どれだけ似たものがなくても、パスワードではもはや私たちを守ることはできない」(Honan氏)
Honan氏の意見に反対する者はあまりいないだろうが、あらゆるところで使われているパスワードを、何に置き換えればいいのだろうか。少し検索をかけてみれば、目まいがするほど多くの選択肢が見つかる。今はやりの選択は、何らかの種類の生体認証技術を使う製品を利用することだろう。この方法の利点は、ユーザーが長くて複雑なパスワードを覚えておく必要がないということだ。ただ、既存の生体情報スキャナは1要素認証であるため、この方法が多要素認証の代わりになるほど安全かどうかについて、専門家は疑問を呈している。
なぜ生体情報と多要素認証の両方を使わないのか
多要素認証は単純でも、コストがかからないわけでもないため、多要素認証を売りにしている認証システムは多くない。もう1つの問題は、多要素認証はユーザーにやさしくないということだ。その理由を説明する前に、まず多要素認証を定義しておく必要があるだろう。
正式には、多要素認証であるためには、認証を受けようとするユーザーは次のうち2つのカテゴリの検証要素を提示する必要がある。
- 知識:そのユーザーしか知らない情報。例えばパスワード。
- 所有物:そのユーザーしか持たないもの。例えばATMカード。
- 生体情報:そのユーザーしか持たない特徴。
簡単に言えば、認証に用いる要素が多いほど、偽の情報を使ってアクセスを獲得するのは難しくなる。英語版Wikipediaでは、「独立した要素が多いほど、その正体を証明する事実を持つ者が、別の領域で実際にその正体を持っている者である可能性が高いことを示していることから、要素の数と独立性が重要となる」と説明されている。
ユーザーが1要素認証でさえ煩わしいと感じていることを考慮すれば、要素を増やせば増やすほど、ユーザーの不安は増すだろう。例えば、一般的な2要素認証には、パスワードに加え、RSAの「SecurID」などのタイムスタンプトークンを使用する。
脳波を使ったパス思考認証
もし、本質的に多要素認証の性質を持っている生体認証技術があればどうだろうか。それで問題は解決だ。実は、まさしくそれを目指している研究がある。
筆者は最近、カリフォルニア大学バークレー校情報大学院のJohn Chuang氏と話をした。Chuang氏とカリフォルニア大学バークレー校のThomas Maillart氏、カーネギーメロン大学のBenjamin Johnson氏は、過去の研究をベースとして、一般消費者向けの無線ヘッドセットと、脳波(EEG)センサを搭載したウェアラブルデバイスで収集された脳波信号(つまりパスワードならぬパス思考)を使って、コンピュータシステムの認証を行う方法を考案した。同氏らの論文「My Thoughts Are Not Your Thoughts」には、「この可能性が興味深いのは、脳波ベースの認証は、もともと持っている性質として2要素認証の条件に当てはまることだ」とある。
「パス思考が2要素認証とみなせるのは、パス思考には知識要素(ユーザーが選んだ精神的な思考、これはユーザーだけが知っている秘密にあたる)と、生体情報要素(EEG信号は脳から受信される)の両方が含まれているためだ」とChuang氏は説明している。
脳センシングヘッドバンドMuse
提供:Muse
