スマホのセキュリティーを調べていて気づいたこと

 
リベンジブログ - 徒然なるままに - 徒然日記

パスワードとPINの違いをご存知でしたか?

 

 

正直のところ、正確な知識としては認識していませんでした。

正確な情報を確認するためにWEB検索してみました。

見つかりました、以下一部を引用させていただきました。

暗証番号は「PIN」(もしくはPINコード)とも呼ばれます。

 

キャッシュカードやクレジットカードといったICカードだけでなく、新しいPCやスマートフォンを使い始めるときにもPINの設定を要求されたことがあるかと思います。

 

これは日常使い慣れた方法ですよね。

 

これらは大抵4桁~8桁の数字で設定するようになっているので、暗証番号と言い換えられているのが実情です。

 

そもそもPINは「Personal Identification Number」の略で、和訳すると「個人識別番号」。「個人を識別するための番号」なら「数字だけでできたパスワード」だろうと考えてしまっても無理はありません。

 

 

 

しかし、

 

実はPINとパスワードには明確な違いがあります。

 

パスワードはその内容がそのまま、もしくは暗号化されて、ネットワークを通じてサーバ側に届き、サーバ内で保存されているパスワード情報と合致しているかを判定します。

 

この段階で盗まれてしまう可能性があるかもということですよね。

 

一方、PINはネットワークには流れることを想定していません。

PCやスマホの場合は、入力した端末内で、その端末内に保存されているPIN情報との照合を行います。

 

ATMでキャッシュカードやクレジットカードを使う場合は、カードに内蔵されたICチップの中にあるPIN情報との照合を、ATM端末を通じて行います。

 

 

以前は、磁気ストライプのために、情報が盗まれる事故も発生していました。

 

そこで、現在ではカードの情報はIC化されてきています。

 

旧式の銀行キャッシュカードが実態としては残存していますが、、、。

 

この照合の結果、合致すれば端末・ICカード内のデジタルな認証情報が取り出され、その情報だけがネットワークを通じてサーバに伝達され、サーバ上で再度認証が行われます。

認証情報だけが伝達される仕組みなので、PINそのものは端末からネットワークに流出しないのです。

この認証情報の取り出しには、PINの「知識」と、PIN情報が格納されている端末もしくはICカードの「所有」が必要なので、二要素認証になります。

 

ですので、4桁の数字だけであってもセキュリティが高いといえるのです。

しかしながら、ネットワーク上に流れる数字だけのパスワードのことをPINとか暗証番号と呼んだり、ネットワーク上に流してしまっているケースがあります。

 

これは困ったことですね。

 

 

セキュリティーに対する知識不足のシステムエンジニアの設計したシステムは危険をはらんでいるということです。

 

元来の運用方法のように別の認証要素と組み合わせている場合や、専用端末&閉域網での運用ならともかく、単独使用や、インターネットに流れるような場合は安全とはいえません。

セキュリティ業界的な話になるのですが、そろそろ「パスワード」と「PIN・暗証番号」を区別して定義し直した方が整理されて分かりやすいのでは、と考えています。

ところで、頭を整理するための下記のことを認識しておく必要があります。

 

「認証の情報」は3種類

認証に使われる情報は次の3種類に分けられます。

これは「認証の3要素」と呼ばれています。

 

知識(Something you know):あなたが知っていること
(例:パスワード、暗証番号、秘密の質問、パターンなど)

所有(Something you have):あなたが持っているもの
(例:ICカード、スマホアプリ、携帯電話用SIMカード(SMSメッセージ用)、ハードウェアトークン、USBトークンなど)

生体(Something you are):あなた自身のもの。身体的特徴
(例:指紋、顔、静脈、虹彩など)

二段階認証導入済みサービスをはじめ、ほとんどの二段階認証では、知識要素であるパスワードと、所有要素である「登録済みの自分の」スマホといった異なる2つの要素を利用しています。

二段階認証の各段階で使用する認証情報を別々の要素にすることで、「パスワードが分かっても、個人を特定してスマホを入手しなければならない」「スマホを入手したとしても、パスワードを推測しなければならない」といった具合に、不正利用者側の手間が増え、情報入手難易度が劇的に上がり、セキュリティ向上につながるわけです。

認証の3要素は、あくまでも「利用者が、利用者本人であることを確認する」本人特定のために使われるものです。

これ以外にも、「場所」「時間」「画像を正確に認識できるかどうか」などの要素があるのですが、これらは「その人物が正当な本人か」を識別するのには使用されません。あくまで利便性を上げるために補助的に使われたり、その利用者がどういう状況にあるかを識別するのに使われたりします。

私達も、認証を利用する際に、どの要素に当てはまる情報を使用しているのかを意識してみる必要がありますね。

 

 

 

関連記事
コメント
コメント投稿

コメント ( 必須 )

お名前 ( 必須 )

メールアドレス ※公開されません ( 必須 )

サイトアドレス ( 必須 )

トラックバック
トラックバックURL