ITmedia NEWS > 社会とIT > PINとパスワードは何が違う? 意外と知らない「知...

今さら聞けない「認証」のハナシ:PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ (2/4)

» 2019年02月20日 07時00分 公開
[鳥羽信一ITmedia]

 パスワードはその内容がそのまま、もしくは暗号化されて、ネットワークを通じてサーバ側に届き、サーバ内で保存されているパスワード情報と合致しているかを判定します。

 一方、PINはネットワークには流れません。PCやスマホの場合は、入力した端末内で、その端末内に保存されているPIN情報との照合を行います。ATMでキャッシュカードやクレジットカードを使う場合は、カードに内蔵されたICチップの中にあるPIN情報との照合を、ATM端末を通じて行います。

 この照合の結果、合致すれば端末・ICカード内のデジタルな認証情報が取り出され、その情報だけがネットワークを通じてサーバに伝達され、サーバ上で再度認証が行われます。認証情報だけが伝達される仕組みなので、PINそのものは端末からネットワークに流出しないのです。

PIN PINの仕組み

 この認証情報の取り出しには、PINの「知識」と、PIN情報が格納されている端末もしくはICカードの「所有」が必要なので、二要素認証になります。ですので、4桁の数字だけであってもセキュリティが高いといえるのです。

 しかしながら、ネットワーク上に流れる数字だけのパスワードのことをPINとか暗証番号と呼んでしまっているケースがあります。これらは正確にはPIN・暗証番号ではありません。PINという元の名称を暗証番号と言い換えてしまったために「暗証番号=数字だけのパスワード」という誤解を生んでしまったのかもしれません。

 なお、Windows 10ではPINに英字を使えるので、もはやNumberでもなくなってきていますね。

文字列ではなく“形”を覚える「パターン認証」

 パスワードや暗証番号が文字や数字の列を設定して覚えるのに対して、「形」を覚えるのが「パターン認証」です。

 現在、最も使われているパターン認証は、Androidスマホのロック解除でしょう。画面上にタテヨコ3×3で並んだ点(ドット)のうち、数カ所を指でなぞり、それがあらかじめ登録しておいた順序と同じであればロックが解除されます。なぞるべき点の位置と順番、つまり「パターン」を覚えるのでこれも知識認証です。

 このAndroidスマホのパターン情報もPINのように、そのスマホ内にしか保存されていません。ですので、パターンを知ってもその端末を入手できなければ役に立ちません。

 WIREDの記事(2017年11月)にあるように、パターンはなぞる場面を目撃したら案外簡単に分かってしまうものです。これはパターン認証に限らず、iPhoneのパスコードでも一緒です。しかし、そのパターンやパスコードを不正利用するには、そのスマホ自体を奪取しないといけません。

 逆に、スマホを拾ったり、盗んだりしても、パターンやパスコードが分からないとスマホ内の情報にはアクセスできません。

 当たり前のことではありますが、知識とモノの両方をそろえなくてはならない二要素認証の強さを表している例といえます。

今さら聞けない「認証」のハナシ 連載一覧

次回の掲載をメールで受け取る

認証セキュリティ専門企業であるパスロジが、専門用語が飛び交いがちなセキュリティの知識・話題から、「認証」関連分野を中心にできるだけ分かりやすく紹介します。

Copyright © ITmedia, Inc. All Rights Reserved.