GOTPassの仕組み
GOTPassの認証システムを設定する際の最初のステップでは、ユーザー名を選択し、図Aに似たパターンロック画面に図形を入力する。すると、システムはそれぞれ30枚の画像を含む、4つのランダムなテーマを作成する。ユーザーはその4つのテーマから、パス画像を1つずつ選ぶ。それで設定は終わりだ。
図A
認証の際には、ログインするユーザーはまずユーザー名とパターンロックを入力する。同チームは、その次のステップにちょっとした興味深い仕掛けを組み込んでいる。論文では、「入力された情報が正しいかどうかに関わらず、認証の次のステップでは、新しい画像のパネル(図B)が表示され、前のステップで入力された情報が正しくなかった場合には、このパネルにはダミーの画像が表示される。正しかった場合には、パネルには事前に選択したパス画像のうち2枚と、パス画像と関連のある6枚の不正解の画像(パス画像1枚につき3枚の不正解)、そして無作為に選ばれた8枚のおとり画像が表示される」と説明されている。
図B
ユーザーは、事前に選択した画像リストの中から、2枚のパス画像を特定しなくてはならない。論文によれば、「ユーザーは、表の上と左側から、各パス画像と結びついたコードを読み取って入力しなくてはならない(コードは、事前に割り当てられ、登録フェーズで示された正しいフォーマットで入力される必要がある)。システムが入力された情報がすべて正しいことを確認すると、ユーザーの認証は成功し、アクセス権が与えられる」という。
GOTPassのメリット
GOTPassは使い方が簡単であるだけでなく、次のようなセキュリティ上のメリットもある。
- 画像がシャッフルされるため、のぞき見攻撃に対するリスクが減少する
- システムがテーマを割り当てるため、攻撃者が攻撃相手の個人的な画像の好みを知っている場合でも、選択された画像を推測される可能性が低い
- 連続して認証に失敗した回数が上限に達するとアカウントがロックされ、次のログイン試行までに待ち時間が発生するようになっており、推測の反復や辞書攻撃を防げる
- 使い捨てパスワードを使用するため、盗聴や認証情報の盗難に耐えられる
- 次のようなプロセスにより、攻撃者によるパスワードの推測が困難になっている。
- 多段階認証の実装
- 使い捨てパスワードは毎回変更される
- 認証の成否のフィードバックは、ログインセッションの最後になるまで行われない
実証実験の結果
研究チームは、この認証システムに対して大規模なテストを行い、「初期のテストでは、システムがユーザーにとって覚えやすいものであることが示された一方、セキュリティの分析では、690回のハッキングの試みのうち、完全な成功は8回のみであり、15回が偶然による成功だったことを示している」と報告している。
この研究のディレクターであり、プリマス大学でネットワークセキュリティの講座を持っているMaria Papadaki博士は、「強いオンラインセキュリティは、ハッキングしにくいものでなくてはならないが、絵と使い捨てパスワードを組み合わせることで、それを実現できることを示した」と付け加えている。
研究チームは、GOTPassは低コストで、使いやすい認証手段であるとしており、特に複数のセキュリティトークンを使っている出張の多いビジネスマンにとっては有効かもしれない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。