　ほとんどの人が日常的に行っている、ログイン、サインインなどの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。

　本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。

連載：今さら聞けない「認証」のハナシ

専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介します。

執筆は、業務用の「トークンレス・ワンタイムパスワード」認証システム「PassLogic」や、一般向けにパスワード管理アプリ「PassClip」を提供する認証セキュリティ専門企業、パスロジの鳥羽信一氏。（編集：ITmedia村上）

本題の前に「パスワードの平文保存」の続報

　前回記事の冒頭で紹介した「パスワードデータを平文保存しているサービスがある」問題の続報です。昨日、フィッシング対策協議会が行った発表「インターネットサービス提供事業者に対する『認証方法』に関するアンケート調査結果（速報）」にて、以下のような記述がありました。

大部分の回答者が質問に「はい（パスワードを読めない状態で管理している）」と答える一方、13.6％の回答者が「いいえ」と回答しており、パスワードを「平文」、つまりそのままの状態で管理していると思われます。

　この「13.6％」という数字を見て、私は「えっ、まだこんなにあるの!?」と驚きましたが、これは末席ながら私がセキュリティ界隈にいるからなのでしょうか。JPCERTコーディネーションセンターの2018年の発表にあるような、「実際に使用しているパスワードが記載された脅迫メール」が出回るわけだ、と納得してしまいました。

　利用者の皆さまは、「パスワードの使い分け」を実施しましょう。使い分けておけば、漏えいした場合も脅迫メールを通じてどこから情報が漏れたかが分かるかもしれません（皮肉なことですが）。パスワードデータ平文保存にお心当たりのあるサービス事業者の方は、難読化処理の導入をお勧めします。

　このようなパスワード認証が抱える課題への対策の1つが「二段階認証」です。前回は、所有物認証の中でも、二段階認証を導入しているインターネットサービスの多くが二段階目の認証として採用している「所有物認証」の各方式について紹介いたしました。

　今回は前回紹介しきれなかった所有物認証の方式と、認証に使うデジタルな所有物「電子証明書」の仕組みについて紹介いたします。

乱数表カードによる認証

　マスの中に数字や文字が書かれた表（乱数表）が印刷されたカードをあらかじめ配布しておき、認証のたびに行と列が指定され、指定されたマス内の数字・文字を入力して認証する方式です。

　乱数表に書かれた内容がアカウントごとに異なるため、同じ場所を指定されたとしても入力する内容も異なるものになります。この仕組みで、特定のカードだと判別し、そのアカウントを認証します。

　表ではなくただの数列が示され、「右から2番目と4番目と5番目と7番目の数を入力」と指示される場合もあります。インターネットバンキングでは、前回紹介した時間によってワンタイムパスワードが計算される仕組みである「TOTP」（Time-based One-Time Password）に切り替わりつつありますが、まだ乱数カードが利用されているところもあります。マス内に描かれたイラストを選択する方式もあります。