メテオーラ・システム株式会社は11月17日、パスワード漏えいにまつわる脅威を一掃する「非対称パスワード認証」の実証に成功したと発表した。協業や共創に関する問合せを受け付けている。
同社では、従来の「ID/パスワードのペア」による認証システムは、パスワードとそれに関連付けられたユーザの個人情報を予めサービス側が保管していることが、パスワードを標的としたサイバー攻撃や人為的ミス等の「パスワード漏えいにまつわる脅威の温床」になっていると指摘、「ID/非対称パスワード」への移行を提案している。
「ID/非対称パスワード認証」の、ユーザー登録時及びユーザー認証時の特徴は下記の通り。
・ユーザ登録時
ユーザは登録時に一度だけ任意のパスワードの入力を行う
後の認証にこのパスワードは使われないので記憶する必要がない
サービス側もユーザのパスワードを保管する必要がない
無記憶認証サーバで処理が行われ、認証参加者に「非対称パスワード」を振出す
二つの非対称パスワードで認証を行う設計のほか、非対称パスワード(認証参加者)を任意に増やすシステム設計も可能
システムの安全性は認証参加者の数に依存しない
各々の非対称パスワードは互いに他を計算できない
振出された非対称パスワードは各々で自動的に管理され、ユーザはその存在を意識する必要がない
・ユーザ認証時
認証がリクエストされると、無記憶認証サーバに「同期して」認証参加者の非対称パスワードが集まる
ここにパスワード入力手続きは存在しない
無記憶認証サーバで検査処理と条件認証が行われる
無記憶認証サーバは一切のデータを記憶せず、検査と条件認証の可否のみを判断する
攻撃者が非対称パスワードいずれかを盗めても同期を満たせなければ認証されない
総当たり攻撃が成功する確率は 1/2^256 である
いずれかの非対称パスワードの流出やスマホ等の紛失時には、当該同期ネットワークをオフラインにし再登録の手続きを行う
同社では、IoT 自動車やスマートホームの解錠システム、オンラインバンキング等の Web サービス、社内データベースへのアクセス認証、Blockchain の署名などへの利用が期待されるとしている。
