パスワードはその内容がそのまま、もしくは暗号化されて、ネットワークを通じてサーバ側に届き、サーバ内で保存されているパスワード情報と合致しているかを判定します。
一方、PINはネットワークには流れません。PCやスマホの場合は、入力した端末内で、その端末内に保存されているPIN情報との照合を行います。ATMでキャッシュカードやクレジットカードを使う場合は、カードに内蔵されたICチップの中にあるPIN情報との照合を、ATM端末を通じて行います。
この照合の結果、合致すれば端末・ICカード内のデジタルな認証情報が取り出され、その情報だけがネットワークを通じてサーバに伝達され、サーバ上で再度認証が行われます。認証情報だけが伝達される仕組みなので、PINそのものは端末からネットワークに流出しないのです。
この認証情報の取り出しには、PINの「知識」と、PIN情報が格納されている端末もしくはICカードの「所有」が必要なので、二要素認証になります。ですので、4桁の数字だけであってもセキュリティが高いといえるのです。
しかしながら、ネットワーク上に流れる数字だけのパスワードのことをPINとか暗証番号と呼んでしまっているケースがあります。これらは正確にはPIN・暗証番号ではありません。PINという元の名称を暗証番号と言い換えてしまったために「暗証番号=数字だけのパスワード」という誤解を生んでしまったのかもしれません。
なお、Windows 10ではPINに英字を使えるので、もはやNumberでもなくなってきていますね。
パスワードや暗証番号が文字や数字の列を設定して覚えるのに対して、「形」を覚えるのが「パターン認証」です。
現在、最も使われているパターン認証は、Androidスマホのロック解除でしょう。画面上にタテヨコ3×3で並んだ点(ドット)のうち、数カ所を指でなぞり、それがあらかじめ登録しておいた順序と同じであればロックが解除されます。なぞるべき点の位置と順番、つまり「パターン」を覚えるのでこれも知識認証です。
このAndroidスマホのパターン情報もPINのように、そのスマホ内にしか保存されていません。ですので、パターンを知ってもその端末を入手できなければ役に立ちません。
WIREDの記事(2017年11月)にあるように、パターンはなぞる場面を目撃したら案外簡単に分かってしまうものです。これはパターン認証に限らず、iPhoneのパスコードでも一緒です。しかし、そのパターンやパスコードを不正利用するには、そのスマホ自体を奪取しないといけません。
逆に、スマホを拾ったり、盗んだりしても、パターンやパスコードが分からないとスマホ内の情報にはアクセスできません。
当たり前のことではありますが、知識とモノの両方をそろえなくてはならない二要素認証の強さを表している例といえます。
Copyright © ITmedia, Inc. All Rights Reserved.