パスワードのセキュリティ問題を解決するにはどうすればいいですか?ブロックチェーンID認証プラットフォームに治療法がある

パスワードを覚えるのが嫌いな人はいないでしょう。私もあなたも、そして Facebook のボスであるマーク・ザッカーバーグでさえも、私たちは皆、さまざまな場面でパスワードを覚えるのが嫌いなはずです。パスワードを忘れてしまう人はよくいます。 Deloitte の統計によると、少なくとも 37% のユーザーが Web サイトにログインする際にパスワードを忘れてしまい、「パスワードの取得」機能を使用しています。 （複数のアカウントでパスワード「dadada」を使用するを参照）

パスワードを忘れやすくするために、さまざまな Web サイトで数字と文字の最も単純な組み合わせを使用することがよくあります。 Experian によれば、平均的なユーザーは 5 つの異なるパスワードを使用して 26 の Web サイトにログインしますが、最もよく使用される 10,000 のパスワードの組み合わせで 98% のアカウントにログインできます。

Twitter には 3,300 万のアカウントがあり、LinkedIn には 1 億 6,500 万のアカウントがあり、Tumblr には 650 万のアカウントがあり、VK.com には 1 億 7,100 万のアカウントがあり、Badoo には 1 億 2,700 万のアカウントがあり、MySpace には 3 億 6,000 万のアカウントがあります。

現在、10億以上の個人アカウントがハッキングされ、オンラインで公然と販売されています。パスワードが簡単に盗まれる時代では、フィッシング サイト、マルウェア、エクスプロイトよりもさらに簡単に、弱いパスワードを簡単に入手できます。パスワード確認ツールは、再利用されたパスワードに一致するサイトを常に検出するようになりました。

そのため、攻撃者はパスワードのスクリーニングや盗難を利用してユーザー アカウントに侵入します。 2013 年には 76% のアカウントがハッキングされ、2015 年までにその数は 95% に達しました (Verizon のデータ侵害調査レポートより)。ハッカーは、攻撃を開始するために、最も脆弱なポイント、つまり単純なパスワードを選択するだけで済みます。企業は多額の費用をかけて高品質で安全性の高いシステムを構築しますが、顧客が「12345」などの単純なパスワードを使用するため、すべての努力が無駄になります。

おそらくこれが、システム セキュリティ コストがユーザー 1 人あたり 201 ドルであり、サイバー犯罪による損失が 2019 年に 21 億ドルに達すると予測されている理由です (Juniper Research によると、2015 年の 4 倍以上)。

セキュリティ専門家が要件に応じてアカウント パスワードを作成する方法をどれだけ説明しようとしても、単純で覚えやすいパスワードを使用するという人間の本質の弱点を打ち破ることはできません。

パスワードクラッキングの問題を解決する方法や手段は数多くありますが、1PasswordやLastPassなどのパスワードストレージサービスプロバイダーが顧客にパスワードメモリを提供したり、マスターパスワードを作成したりしていますが、従来の方法で小さな改善を行っただけで、問題の本質は解決されていません。多くのプログラム（ブラウザなど）では通常、次回自動的にログインできるように「パスワードを記憶する」ことが求められます。これは安全ではありません。誰かがあなたのコンピュータにアクセスすると、自動ログイン情報とパスワードが取得される可能性があります。

最大の問題は、ユーザーのログイン名とパスワードを記録するデータベースが集中化された構造になっていることです。すべての情報は集中サーバーに保存され、すべてのログイン検証はサーバーに記録されたユーザー名とパスワードに基づいて行われます。もちろん、Web サイトの管理者など一部のユーザーが使用するパスワードは、一般ユーザーが使用するパスワードよりもはるかに複雑であり、このような複雑なパスワードを持つアカウントはハッカーにとってより魅力的です。このため、ハッカーはパスワード サーバーに侵入するために、より多くの手段と理由を使用する必要があります。ハッカーがログインするには、パスワードが書かれたファイルやパスワードが書かれた紙を見つける必要があります。

その結果、最も重要なアカウントを保護するために、物理的なデバイスと人間の記憶に基づいた「二次验证」（2FA）という別のセキュリティ システムが発明されました。

たとえば、よく知られている Google 認証では、ユーザーはログインする前に携帯電話の 2 要素認証コードをコンピューターに入力する必要があり、これらの認証コードは短期間で変更されます。繰り返しますが、この方法はまだ安全ではありません (ユーザーが 2 番目の確認コードを入力するまで、コンピューターはハッカーの制御下にあります)。また、利便性の面では、非常に重要なアカウントやめったにログインしないアカウントでない限り、ユーザーは 2 つ目の確認コードを毎回入力するのが面倒です。

もう一つのよく知られた二次検証方法は、テキストメッセージで検証コードを取得することです。これにより、テキスト メッセージなどを送信するコストという別の問題が発生します。それに加えて、ロシアのような権威主義国家の諜報機関は、テキストメッセージを傍受してきた長い歴史を持っています。

「Clef」について触れておきたいのですが、これは前述のセキュリティ問題を軽減するサービスを提供していますが、モバイルデバイスでは使用できません。

USBシールドなどのハードウェアトークンやその他デバイスを使用すると、社内で使用する場合は便利ですが、多数のユーザーやスマートフォンを持つユーザーにとっては非常に不便です。

上記は現状の説明ですが、私が言いたいのは、必要なソフト条件とハード条件は満たされているものの、利便性、使いやすさ、安全性を兼ね備えた本人認証ソリューションが未だ存在しないということです。

しかし幸運なことに、ブロックチェーンがあります!

分散型および非中央集権型のデータベースは、集中型サーバーが簡単にハッキングされるという問題を解決します。さらに、256 ビット キーを使用した非対称暗号化にも適しており、非常に安全なパスワードと言えます。もちろん、一般の人にとってこのような長いパスワード（秘密鍵）を覚えることは困難ですが、この長いパスワードを覚える必要はまったくありません。秘密鍵はモバイルウォレットで生成でき、つまり、秘密鍵をモバイルデバイスに保存できるのです。

また、SSL 証明書を使用して、チャネルを「中間者攻撃」から保護します。解決策は、顧客の電子メールと電話番号に一致する SSL 証明書を生成し、証明書ハッシュをブロックチェーンに書き込んで検証することです。

仕事の詳細:

クライアントが Web サイトにアクセスすると、ブラウザはユーザーに証明書を表示するよう要求します。

Web サーバーは証明書を受信すると、まずその署名をチェックします。

サーバーは乱数を生成した後、証明書に含まれる公開鍵を使用してそれを暗号化し、ワンタイム接続パスワードとしてクライアントのブラウザに送信します。

証明書ファイルとキーを持つブラウザは、キーを抽出し、暗号化されたパスワードをサーバーに送信します。

サーバーはブロックチェーンを通じて証明書情報をチェックし、クライアントが正しい秘密鍵を持っていることを確認します。これを行うには、サーバーは証明書のシリアル番号を確認し、その内部を検索します。サーバーは受信した証明書検証コードを検証した後、証明書のシリアル番号が登録時に使用された証明書と一致していることを確認します。

攻撃者がクライアントと同じシリアル番号を持つ証明書を生成した場合、その証明書は既にクライアントによって使用されているため、検証コードをブロックチェーンにインポートすることはできません。攻撃者が別のシリアル番号を持つ証明書を作成した場合、この証明書には別の ID しか設定できず、サーバーは新しいアカウントを作成します。

次に、ユーザーが簡単に使用できるようにする必要があります。そのため、ユーザーには電子メール アドレスと電話番号 (パスワードは不要) のみを入力してもらい、このデータを含む証明書をローカルで生成し、ユーザーがブラウザーにインストールできるようにします。

その後、ユーザーは確認メールのリンクからアカウントをアクティブ化し、電話番号の形式でカスタマー サービス ロボットにメッセージを確認して送信するよう求められます。もう一度言いますが、この方法は SMS テキスト メッセージで確認コードを送信する方法とは異なることに注意してください。この確認フォームでは、携帯電話に二次検証用の独立した通信チャネルが提供され、ハッカーがコンピュータ チャネルに感染する機会が排除されます。

このように、ログインにパスワード、集中サーバー、公開データベースは使用せず、お客様に十分な利便性を提供します。日常生活では、2要素認証（2FA）を使用する必要はありません。ほとんどのサーバーでは、ブラウザ証明書は、自動ログインのために現在一般的に使用されている「パスワードの保存」と同様に十分に安全ですが、集中型サーバーがハッキングされるリスクがないため、ユーザー パスワードの漏洩を心配する必要はなく、「パスワードを忘れた場合/パスワードを取得」機能を使用する必要もありません。機密データ サービスの場合は、2 要素認証 (2FA) を使用することをお勧めしますが、使用する場合でも、メッセージに「はい」と入力するだけで便利かつ簡単に使用できます。

証明書はモバイル デバイス (SDK) にインストールでき、オペレーティング システムは他の保護手段 (生体認証、PIN コード、パターン ロックなど) のインストールを提案します。これらの手段はお客様が選択できますが、最も重要なことは、最も単純な追加の保護手段であっても、現在のものよりも安全であるということです。同時に、顧客があらゆるデバイスからアクセスできるようにすることで、将来の大きなイベント、つまりモノのインターネット アプリケーションへの準備が整います。生体認証とパスワードは、既存のトークン ハードウェアと USB シールドに基づいているため、当社のデバイスでは機能しませんが、現在よりもさらに安全にすることができます。

したがって、主な機能は次のとおりです。

1. 安全な接続と簡単な導入のための SSL 証明書

2. デスクトップ、モバイル、車、ドローンなど、あらゆるデバイスで動作します。

3. 登録用のメールアドレスと携帯電話番号: ウォレット、ノード、パスワードは不要

4. 便利で安全な二次検証：独立したチャネルを使用してローカルロボットと対話する

5. 中央サーバーなし：脆弱なポイントなし

6. 1つのアカウントを複数のウェブサイトで使用できます

7. 複数のアカウントで簡単に管理
   

質問と回答

デバイスを紛失した場合はどうなりますか?

アカウントは電話番号とメールにリンクされているため、電話番号が復元されるまでメール経由でアカウントへのアクセスを停止できます。それ以降にのみ証明書の再発行が可能になります。サーバーは銀行のようなシステムを使用しており、最も複雑なケースでもアカウントを復元するために、文書のコピーや顧客の写真などの追加データを収集することが可能です。時間が経つにつれて、ブロックチェーン上に完全な ID 情報を保存できるようになることを期待しています。その場合、物理的な証明書は必要なくなります。

公開されている例はありますか?

Emercoin では SSL 証明書による認証が実装されています。この概念を使用して、インストールされたウォレットを使用してサーバーの展開を必要とせずに証明書を自動的に生成し、MVP に 2 番目の検証を追加しました。また、需要があれば、より安価な送金を実現するために、このテクノロジーをビットコイン サイドチェーンに導入する予定です。

費用はいくらですか？

ユーザーは無料でご利用いただけます。必要な手数料は、セキュリティコストを削減し、サービスに対する顧客レビューを改善して容易にしたいという理由で、サードパーティのサービス（銀行、取引所など）によって支払われます。サービスにかかる費用はお客様にご負担いただく場合がございます。たとえば、ビットコイン取引所は顧客数は多いものの、収益はほとんどない場合があります。この場合、年間 1 ドルの手数料は顧客にとって受け入れられる可能性があります。

カスタマー サービス支払いモデルを選択する理由の 1 つは、ブロックチェーン上でアカウントを作成するときにトランザクションを完了する必要があることです。また、機器の破損などにより、定期的に証明書の再発行が必要になります。

これに対する便利な解決策について、一般の意見を聞きたいです。たとえば、経験の浅いユーザーが証明書をダウンロードするのは難しいでしょうか? (他のプログラムと同様にダウンロードしてインストールします) 脆弱性は見つかりましたか?このようなテクノロジーをサービスプロバイダーとして、またはユーザーとして使用しますか?

引用された関連リソース

• https://news.ycombinator.com/item?id=11845346

• https://www.bellingcat.com/news/2016/04/30/russia-telegram-hack/

• https://getclef.com/

• http://emercoin.com/EMCSSL