ITmedia NEWS > 社会とIT >
ニュース
» 2019年02月20日 07時00分 公開

今さら聞けない「認証」のハナシ:PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ (3/4)

[鳥羽信一,ITmedia]

パターン認証を応用した認証方式

 Androidスマホの場合は端末への認証ですが、ネットワーク上のサービスへの認証にパターンを使用する認証方式もあります。

 ログイン画面上に下記の図のようなマス目内に番号が振られた乱数表が表示され、あらかじめ決めておいたパターンに沿って、マス内の番号を抽出し、つなげた数列を入力します。その内容が、サーバ上のパターンと同様であればログインを完了するという仕組みです。

 乱数表内の数字はログインのたびにランダムで入れ替わるため、同じパターンで抽出しても毎回入力する数列が変わる「ワンタイムパスワード」となります。

パターン ネットワーク上のサービスへの認証にパターンを使用する認証方式

 Androidスマホのロック解除と異なり、パターンをなぞっているわけではないので、後からのぞき見られてもパターンがバレません。入力する数列も毎回変わるので、数列を覚えられても問題ないのです。キー入力を監視する「キーロガー」のようなツールを使われても、画面に映された乱数表の情報を同時に奪取しないと意味を成さないため、通常のパスワードよりも強いといえます。

 この認証方法は、一般の認証ではほとんど使われておらず、主に企業や官公庁、公共機関・団体などで業務用認証製品(※2)として使われています。もともとワンタイムパスワードといえば、キーホルダーのような「ハードウェアトークン」にランダム(※3)で表示される数字を入力する製品(※4)のことを指していましたが、このパターン認証型のワンタイムパスワード製品の登場により、ハードウェアトークンを使用しないワンタイムパスワードが実現しました。

 なお、ハードウェアトークンのワンタイムパスワード表示機能をアプリ化したものをソフトウェアトークン型ワンタイムパスワードと呼びます。

※2:製品例「PassLogic

※3:実際には完全なランダムではなく、ハードウェアトークンとサーバで時間を基に同じ数列を作り出してパスワードとしています

※4:製品例「RSA SecurID Access

画像を利用した知識認証

 他の例として、画像を利用した知識認証もあります。

 あらかじめ正解の画像と囮の画像を登録しておき、ログイン画面にランダムで表示された複数枚の画像から正解画像を選択すればログインできる方式、1枚の画像における任意の位置をあらかじめ登録しておき、ログイン画面に表示された同じ画像から登録時に選択した場所をクリックすればログインできる方式などです。これらも一般向けではなく、主に業務用で使われています。

Copyright © ITmedia, Inc. All Rights Reserved.