PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ:今さら聞けない「認証」のハナシ(4/4 ページ)
専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回はパスワード以外の「知識認証」について。
「秘密の質問」も知識認証だが……
皆さんもWebサービスに新規登録する際に「秘密の質問」を選択して、その答えを設定した経験があるかと思います。「卒業した小学校の名前は?」「初めて飼ったペットの名前は?」「母親の旧姓は?」などなど。これはパスワードの再設定の際などに使われます。
これも登録した本人が知っている知識を使った認証ですが、本人「だけ」が知っている知識というわけではなく、第三者が調べてみれば分かる情報です。ですので、本人認証ではありません。大抵の場合は、秘密の質問に正しく答えられた場合のみ、確認用のメールやSMSが送信されるといった具合に補助的に使われています。
もし「補助的に」ではなく、秘密の質問に答えるだけでパスワードが再設定されるようなサービスは、本人認証が行われていないも同然。使わないか、情報を預けないようにすることをお勧めします。
秘密の質問を登録する際には、そのまま質問の答えを正直に登録する必要もありません。質問とは無関係な言葉や、パスワードと同様に複雑性のある文字列を入力した方が、推測されにくくなり安全です。
メールで届くメッセージでの認証も知識認証
ログインやパスワード変更の際にメールを送り、そのメールに掲載された数列を入力するか、掲載されたURLにアクセスする認証方法があります。
これはスマホやPCなどの端末にメールが届くため、その端末の所有による「所有物認証」だと認識されるかもしれませんが、実はこれは知識認証です。
なぜなら、そのメールを見るのに必要なのは、メールを受け取る端末を持っていることではなく、メールサーバにアクセスし、メールを受け取るためのパスワードを知っていることだからです。
企業・団体の情報システムやセキュリティ担当者がセキュリティ強化のために二要素認証を成立させたい場合、「パスワード+メール」では「知識+知識」なので、二要素認証は成立していないということに留意しましょう。とはいえ「セキュリティが強化されていない」というわけでもありません。セキュリティポリシー次第では、このような運用でも問題ないといえます。
この辺りの二要素認証と二段階認証の関係については、当連載の過去記事が詳しく書いていますので、ご参照ください。
同じメッセージを受け取るタイプの認証でも、SMSの場合は、電話番号にひも付くSIMカードを挿したスマホ・携帯電話に届くため、そのSIMカードを持っていることによる所有物認証になります。
次回は、このSMS認証や、ハードウェア&ソフトウェアトークンを使うワンタイムパスワードなどの所有物認証のハナシをする予定です。
関連記事
- PayPayも導入した「3Dセキュア」って何? クレジットカード本人認証のハナシ
認証まわりの話題について分かりやすく解説する連載。今回はクレジットカードの本人認証サービス「3Dセキュア」などについて解説します。 - ガンダム、パトレイバー、コードギアス――リアルロボットの“認証技術”を考察する
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第8回のテーマはサンライズ作品のリアルロボットの認証について。 - PayPayの不正利用、どう防ぐ? 狙われるのは“ポイント付与”の1月か
認証セキュリティ企業の担当者が、PayPayの不正利用問題やユーザーができる自衛策などを解説。還元額がポイントで付与される1月に不正利用が本格化するか。 - 強力なパスワードを作る法則とは? 意外と知らない「パスワード」のハナシ
私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは知識認証の代表格である「パスワード」のハナシ。 - 「認証の回数が多いほど安全」は間違い? 二要素認証のハナシ
私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは「二要素認証」。 - 本当に安全? 「二段階認証」のハナシ
私たちにとって身近になってきた「認証」の話。今更聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。 - 「鉄人28号」が抱える脆弱性とは? ロボット悪用を防ぐ”認証”を考える
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第7回のテーマは「鉄人28号」の認証について。 - 映画「ミッション:インポッシブル」5作品の“セキュリティ突破方法”を考察してみた
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第6回のテーマは映画「ミッション:インポッシブル」に登場する認証技術。 - 「新世紀エヴァンゲリオン」の使徒がネルフ本部に仕掛けた“ハッキングの手口”
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第5回のテーマは「パスワードハッキング」。 - 「新世紀エヴァンゲリオン」で初号機はシンジをどう“認証”しているのか
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第4回のテーマは「血筋認証」。 - 「メタルギアソリッド」と「東のエデン」で注目したい“生体認証”
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第3回のテーマは「生体認証」。 - 「ゼルダの伝説 ブレス オブ ザ ワイルド」で学ぶ”所有物認証”
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第2回のテーマは「所有物認証」。 - 「のばら」には脆弱性がある? 「ファイナルファンタジー」で学ぶ知識認証
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第1回のテーマは「合言葉」。
Copyright © ITmedia, Inc. All Rights Reserved.