by DeclanTM

ウェブサービスのアカウント情報を保護する目的で、手持ちのスマートフォンなどに認証番号を送信して二重のログインを行う「2段階認証」は、万が一パスワードが漏れてしまった際にもアカウントの乗っ取りを防げる有効的な手段です。しかし、2段階認証ではスマートフォンに表示される認証番号を読み取ってPCに入力する必要があり、通常のログインよりも時間と手間がかかります。そんな面倒な作業を省いて、周囲の「音」を使うことで自動的に2段階認証を行う「Sound-Proof」が発表されました。

Sound-Proof

http://sound-proof.ch/

Sound-Proof: Usable Two-Factor Authentication Based on Ambient Sound | USENIX

https://www.usenix.org/conference/usenixsecurity15/technical-sessions/presentation/karapanos

The Noise Around You Could Strengthen Your Passwords | WIRED

http://www.wired.com/2015/08/noise-around-strengthen-passwords/

「Sound-Proof」を使った2段階認証では、ウェブサービスにログインしたいPCなどの端末の近くに登録済みのスマートフォンを置いておくだけでOKで、スマートフォンの画面を開く必要もありません。2台の端末は周囲の騒音を感知して、互いの採取音を比較することでアカウント情報の認証を行います。音の収集と認証は自動的に行われるため、ユーザーは何もせずに待っているだけでいいというわけです。記事作成時点では、Sound-ProofはChrome、Firefox、Operaなど主要ブラウザに対応しているとのこと。

Sound-Proofを利用して2段階認証を行うには、まずスマートフォンを認証用の端末として使えるようにセットアップします。なお、端末を登録する際にアプリなどは必要ないとのこと。



そして、いつも通りPCでウェブメールやショッピングサイトにログインするだけです。スマートフォンはポケットやカバンの中に入れていても問題なく2段階認証が行われます。



2段階認証の処理は3秒足らずで行われ、従来のように「スマートフォンの画面で認証番号を確認してPCに入力する」という手間が全くかかりません。また、2つの音を比較する際には、スマートフォンが周囲の音をもとに「デジタル署名」を生成し、このデータをサーバーにアップロードする仕組みになっているので、収録された音がそのまま使われて個人情報が漏れることがないようにプライバシーが守られています。



Sound-Proofを使った2段階認証のデモは以下のようになっています。まず、いつも通りにPCを使ってウェブサービスにログイン。



すると、PCとスマートフォンが自動的に周囲の音を録音し始めます。



2台のデバイスで録音した音を比較・認証して、わずか2秒ほどで2段階認証を使ったログインが完了。



次はスマートフォンをカバンの中にしまっておいた状態で実験。



ウェブサービスにログインすると……



自動的に環境音の録音が始まり……



認証に成功しました。



一方で、パスワードを不正に入手した攻撃者がユーザーの近くにいたり、同じテレビ番組を見ていたりすると、Sound-Proofの2段階認証が突破されてしまうのではないかという懸念もあります。この脆弱性について、論文では「特定のユーザーを対象とした攻撃はほとんど行われていません。リスクは確かにありますが、アカウントを守るためには2段階認証を使うべき」と記されています。

なお、Sound-Proofを作ったのはスイスのチューリッヒ工科大学の研究チーム。メンバーのClaudio Marforio氏は「今後もSound-Proofの研究を進めていく予定で、認証速度をアップさせたり、2台の端末が感知した音を比較する精度を高めたりするためのシステム改善を目下進行中です。ゆくゆくはSound-Proofの技術を使ってスタートアップを設立したいと考えています」と語っています。