PIN(暗証番号)がパスワードより安全?そんなバカな!

パスワード(写真:アフロ)

PIN がパスワードよりも安全とされる理由は、その構造 (長さや複雑さ) にあるのではなく、PIN がどのように機能するかという点にあります。

出典:PIN がパスワードより安全な理由【Microsoft】

先日、サイバーセキュリティに関する講演会で、参加者から一つの質問を受けました。それは「覚えるのも難しい複雑なパスワードよりも、4桁の暗証番号(PIN)のほうが安全なのですよね?!」というものです。その場では、「4桁のPINでは高々1万通りしかなく、偶然でも当たる(推定される)可能性があり、安全ではありません。それよりも8文字以上で、英数字そして記号も入れたパスワードのほうが、注意深く設定すれば、偶然にも当たることはなく、パスワードのほうが安全」と回答したのですが、怪訝そうな顔をされていました。

講演会の終了後、その怪訝そうな顔の理由を聞くと、Microsoft社のウエッブに「PINはパスワードより安全」と書いているということで、「パスワードは時代遅れ」とも書かれてるということでした。

そのウェッブでの説明を注意深く読めば、一般には必ずしもPINが安全ではないということが理解できるはずなのですが、タイトルだけを読んで、PINのほうが安全だと思ってしまうようです。MicrosoftのページやWindows10での表示でパスワードは時代遅れ等と書かれると思い込んでしまうのは仕方ないことかもしれません。

つい最近でも

OSのユーザーアカウントに「Microsoftアカウント」が使えるようになったWindows 10では、PCを起動するときに暗証番号を使ったログインが可能となった。「暗証番号よりも英数字を複雑に組み合わせたパスワードを入力させたほうが安全なのでは」と思うだろう。しかし、実はそうではない。

出典:「人がパスワード入力中に視線をそらす」は当たり前のITマナー?【ITmediaNEWS】

の記事にあるように、「Windows10では、利用するパソコンのみで使えるPINをログイン認証に使うことでパスワードを入力しないようにし、のぞき見されるリスクを減らしている」と書いて、その前後の文章から、パスワードを入力するよりも安全であるかのように主張しています。確かに元々のパスワード、Windows10ならばMicrosoftアカウントが盗まれる機会は少なくなるでしょう。しかし4桁のPINでは簡単に推測されてパソコンに侵入、すなわち乗っ取られてしまいます。これでは本末転倒です。高々4桁のPINで認証している理由は、そのパソコンが常に自分の手元にあり、長時間にわたって他人が自由に操作できないことを想定しているからです。決して、いかなる場合も4ケタのPINがパスワードよりも安全なわけではありません。

PINやパスワードだけでなく、セキュリティ全般にわたって安全であるための前提、すなわち仮定が存在します。無条件で安全な対策や方法は有り得ません。MicrosoftがPINを推奨する理由は、複雑なパスワードを、そのパソコンを利用するための認証に使った場合、その複雑なパスワードを他のサービス、例えば銀行やクラウド等のパスワードに使い回して、つまり同一にしてしまった場合、パソコンのパスワードが漏えいするとすべてのサービスに侵入されてしまうからです。パソコンやタブレットは日々使うものであり、ショルダーハッキングの可能性もありますが、それに注意しさえすれば、パソコンが他人に自由に使われてしまう可能性は高くはありません。つまり、パソコンやタブレットは常に自分の監視下に置かれていることを仮定しているからです。