PINとパスワードは何が違う？ 意外と知らない「知識認証」のハナシ：今さら聞けない「認証」のハナシ（4/4 ページ）

[鳥羽信一，ITmedia]

「秘密の質問」も知識認証だが……

　皆さんもWebサービスに新規登録する際に「秘密の質問」を選択して、その答えを設定した経験があるかと思います。「卒業した小学校の名前は？」「初めて飼ったペットの名前は？」「母親の旧姓は？」などなど。これはパスワードの再設定の際などに使われます。

　これも登録した本人が知っている知識を使った認証ですが、本人「だけ」が知っている知識というわけではなく、第三者が調べてみれば分かる情報です。ですので、本人認証ではありません。大抵の場合は、秘密の質問に正しく答えられた場合のみ、確認用のメールやSMSが送信されるといった具合に補助的に使われています。

　もし「補助的に」ではなく、秘密の質問に答えるだけでパスワードが再設定されるようなサービスは、本人認証が行われていないも同然。使わないか、情報を預けないようにすることをお勧めします。

　秘密の質問を登録する際には、そのまま質問の答えを正直に登録する必要もありません。質問とは無関係な言葉や、パスワードと同様に複雑性のある文字列を入力した方が、推測されにくくなり安全です。

メールで届くメッセージでの認証も知識認証

　ログインやパスワード変更の際にメールを送り、そのメールに掲載された数列を入力するか、掲載されたURLにアクセスする認証方法があります。

　これはスマホやPCなどの端末にメールが届くため、その端末の所有による「所有物認証」だと認識されるかもしれませんが、実はこれは知識認証です。

　なぜなら、そのメールを見るのに必要なのは、メールを受け取る端末を持っていることではなく、メールサーバにアクセスし、メールを受け取るためのパスワードを知っていることだからです。

　企業・団体の情報システムやセキュリティ担当者がセキュリティ強化のために二要素認証を成立させたい場合、「パスワード＋メール」では「知識＋知識」なので、二要素認証は成立していないということに留意しましょう。とはいえ「セキュリティが強化されていない」というわけでもありません。セキュリティポリシー次第では、このような運用でも問題ないといえます。

　この辺りの二要素認証と二段階認証の関係については、当連載の過去記事が詳しく書いていますので、ご参照ください。

• 本当に安全？　「二段階認証」のハナシ
• 「認証の回数が多いほど安全」は間違い？　二要素認証のハナシ

　同じメッセージを受け取るタイプの認証でも、SMSの場合は、電話番号にひも付くSIMカードを挿したスマホ・携帯電話に届くため、そのSIMカードを持っていることによる所有物認証になります。

　次回は、このSMS認証や、ハードウェア＆ソフトウェアトークンを使うワンタイムパスワードなどの所有物認証のハナシをする予定です。