今や私たちは2要素認証にかなり慣れることができた。新しい場所からログインする場合に4桁のコードを入力するのは、それほど不便というわけでもない。しかし、とあるスイスの研究者たちが、何の作業も必要としないスマートな認証方法を発表した。環境音の利用だ。
多要素認証の背後にある考え方は、基本的には、あるログインが偽装者やハッカーによるものではなく、実際のユーザーからのものであることを確認しようとするものだ。ユーザーが所有する第2のデバイスに、チェックのためにコードを送るのは1つの方法だが、それが唯一の方法というわけではない。
チューリッヒにあるスイス連邦工科大学(ETHZ)からのスピンオフ企業Futuraeは、Sound-Proofと呼ばれるソフトウェアの中で環境そのものを認証トークンとして利用している。
あるサービスが認証チェックをしたい場合に、認証システムは、ログインしようとしているデバイスとユーザーが所有している個人的デバイス(おそらくはスマートフォン)の両者に対して問い合わせを行う。システムはそれぞれのデバイス上で3秒間の録音を行い両者を比較する。もし両者が実質的に類似しているなら、ユーザーはログインしようとしているデバイスと同じ場所にいるので正しいログインと判断され、ログインが先へ進められる。
例えば、同じ曲の同じ部分や、同じ内容のおしゃべりが、両デバイスのバックグラウンドで流れていた場合には、大丈夫だと判断される。しかし、電話が鳥のさえずりだけを聞いているのに、ラップトップが人びとの雑談の声を拾っていたとしたら、それはおかしい。同社は、携帯電話がポケットやバッグの中にあっても、あるいは隣の部屋にあっても、この機能はうまく働くと言っている。
もし完全に静寂だった場合には、バックグラウンドノイズの代わりに超音波を使うことができる。この場合、ログインを要請されたデバイスから人間の耳には聞こえないチチチという音を再生し、携帯電話のアプリでそれを聞き取るのだ。
当然のことながら、これらの比較は全て波形レベルで行われていて、録音された音自身が外部に送信されることはない。
もちろん、これは数字によるトークンやドングルを置き換えるものではないが、追加の要素として、あるいはリスク評価技法として利用することができだろう。
Futuraeは最近、地元のVenture Kickコンペティションで13万フラン(現在はほぼドルと同価値)を獲得した。同社はこのキャッシュを使って、Sound-Proofをデモ版から商用版に進化させる計画だ。
[ 原文へ ]
(翻訳:Sako)