Yahoo!ニュース

パスワードは暗証番号ではない!?

森井昌克神戸大学 名誉教授
暗証番号(写真:アフロ)

「パスワードって、暗証番号の事?」と思っていませんか? それは違います。パスワードと暗証番号はそれ自体も、利用場面も違うのです。

ネット上で個人へのサービスが多様化し、かつ重要になっている事から、個人認証としてのパスワードは以前にも増して重要になっています。しかし、この認証という目的を遂げるために、パスワードは完全では有りません。ネット銀行では、パスワードの欠点を克服するために、ワンタイムパスワードや乱数表をによるチャレンジ・アンド・レスポンス(C&R)方式が用いられます。C&R方式とは、質問(チャレンジ)に対して、その回答(レスポンス)を投げ返す方式です。乱数表を用いる方式では、予め配布された乱数表に基づいて、乱数表のどの部分に書かれた文字かを問いかけ(チャレンジ)、その乱数表から指定された乱数を答える(レスポンス)方式となっています。毎回、異なる部分を問いかけるので、ワンタイムパスワード、つまり毎回パスワードが変わる方式と同じ効果を期待しています。同時にサービス毎に異なるパスワードを利用するということで、パスワードの使い回しも防いでいるのです。

パスワードの最大の欠点とは、安易なパスワードを設定する事です。パスワードは暗証番号では有りません。安易でない、つまり無意味なパスワードを付ける必要が有ります。無意味なパスワードを付ける理由は、第三者(攻撃者)から推測され難いパスワードを付けるためです。この推測され難いパスワードを付ける事が一般には難しいのです。正確にはほとんどの人が覚え易くする事を優先して、無意味ではなく、自分に取っては意味のあるパスワードを付けてしまうことです。自分や身近な人の住所や電話番号、それに生年月日に関係する英数字を付けてしまう人がまだまだ多数いるのです。これを半強制的に排除した方式が、先のワンタイムパスワードや乱数表を用いたC&R方式なのです。

暗証番号は英語で、personal identification number(PIN)となり、個人を認証するものではなく、識別するものです。つまり、暗証番号は、それ単体で認証する事は有りません。クレジットカードであったり、キャッシュカードであったり、物理的な「もの」が必要であり、それの所有者が正しい事を、その紐付けによって確認する「合い言葉」が暗証番号なのです。「もの」がない場合であっても、所有者である「人」がその人、本人であるか、すなわち、いわば所有者であるかを確認しています。「人」という物理的な存在を確認する必要が有るため、認証する人が直接、その人に会うか、すくなくともカメラ等で確認する必要が有ります。つまり、監視の目が有る場所で使われるのが「暗証番号」であり、ネットワーク越しのように、監視されていない場所で使われるのが「パスワード」なのです。

神戸大学 名誉教授

1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了、工学博士。同年、京都工繊大助手、愛媛大助教授を経て、1995年徳島大工学部教授、2005年神戸大学大学院工学研究科教授(~2024年)。近畿大学情報学研究所サイバーセキュリティ部門部門長、客員教授。情報セキュリティ大学院大学客員教授。情報通信工学、特にサイバーセキュリティ、情報理論、暗号理論等の研究、教育に従事。内閣府等各種政府系委員会の座長、委員を歴任。2018年情報化促進貢献個人表彰経済産業大臣賞受賞。 2019年総務省情報通信功績賞受賞。2020年情報セキュリティ文化賞受賞。2024年総務大臣表彰。電子情報通信学会フェロー。

森井昌克の最近の記事