PINとパスワードは何が違う？ 意外と知らない「知識認証」のハナシ：今さら聞けない「認証」のハナシ（2/4 ページ）

[鳥羽信一，ITmedia]

　パスワードはその内容がそのまま、もしくは暗号化されて、ネットワークを通じてサーバ側に届き、サーバ内で保存されているパスワード情報と合致しているかを判定します。

　一方、PINはネットワークには流れることを想定していません。（※1）PCやスマホの場合は、入力した端末内で、その端末内に保存されているPIN情報との照合を行います。ATMでキャッシュカードやクレジットカードを使う場合は、カードに内蔵されたICチップの中にあるPIN情報との照合を、ATM端末を通じて行います。

　この照合の結果、合致すれば端末・ICカード内のデジタルな認証情報が取り出され、その情報だけがネットワークを通じてサーバに伝達され、サーバ上で再度認証が行われます。認証情報だけが伝達される仕組みなので、PINそのものは端末からネットワークに流出しないのです。

PINの仕組み

　この認証情報の取り出しには、PINの「知識」と、PIN情報が格納されている端末もしくはICカードの「所有」が必要なので、二要素認証になります。ですので、4桁の数字だけであってもセキュリティが高いといえるのです。

　しかしながら、ネットワーク上に流れる数字だけのパスワードのことをPINとか暗証番号と呼んだり、ネットワーク上に流してしまっているケースがあります。元来の運用方法のように別の認証要素と組み合わせている場合や、専用端末＆閉域網での運用ならともかく、単独使用や、インターネットに流れるような場合は安全とはいえません。

　セキュリティ業界的な話になるのですが、そろそろ「パスワード」と「PIN・暗証番号」を区別して定義し直した方が整理されて分かりやすいのでは、と考えています。（※1）

【修正：2019年2月26日14時10分更新　（※1）初出時の文章について、誤解を招く表現があったため、一部記述を修正しています。】

文字列ではなく“形”を覚える「パターン認証」

　パスワードや暗証番号が文字や数字の列を設定して覚えるのに対して、「形」を覚えるのが「パターン認証」です。

　現在、最も使われているパターン認証は、Androidスマホのロック解除でしょう。画面上にタテヨコ3×3で並んだ点（ドット）のうち、数カ所を指でなぞり、それがあらかじめ登録しておいた順序と同じであればロックが解除されます。なぞるべき点の位置と順番、つまり「パターン」を覚えるのでこれも知識認証です。

　このAndroidスマホのパターン情報もPINのように、そのスマホ内にしか保存されていません。ですので、パターンを知ってもその端末を入手できなければ役に立ちません。

　WIREDの記事（2017年11月）にあるように、パターンはなぞる場面を目撃したら案外簡単に分かってしまうものです。これはパターン認証に限らず、iPhoneのパスコードでも一緒です。しかし、そのパターンやパスコードを不正利用するには、そのスマホ自体を奪取しないといけません。

　逆に、スマホを拾ったり、盗んだりしても、パターンやパスコードが分からないとスマホ内の情報にはアクセスできません。

　当たり前のことではありますが、知識とモノの両方をそろえなくてはならない二要素認証の強さを表している例といえます。