- 会員限定
- 2017/10/05 掲載
なぜ4桁程度のPINコードが「高強度パスワードより安全」な場合があるのか
見直されるPINコード
パスワードに関する議論は尽きない。安全性や強度に関する基準も、技術や社会情勢(犯罪者の動向)によって変遷する。認証にパスワードを使うということの限界論や、いずれパスワードはなくなる、なくすべき、といった意見も存在する。そんなパスワードを始めとする認証において、1つの動きが広がりつつある。PINコードによる認証方法だ。
PINコードによる認証は、以前から主にモバイルデバイスに実装されており、新しいものではない。また、PINコードについて革新的な新発見や技術が発表されたわけではないが、デバイス保護、アカウント保護のための認証方法として割と安全でこなれた技術でもある。それが、IoTやデバイスの多様化にともない活用場面が増えている。ほぼ限界にきているパスワード強度のみに頼った認証を強化できる可能性があるからだ。
デバイスに紐づいているため高まる安全性がある
パスワードがサーバ上に管理されていると、アクセスする端末、デバイスは原則問わない。むしろそうでないと困るわけだが、それは攻撃者もネット上のどこからでも攻撃できることにもなる。また、リストで管理されているため、ファイルをまとめてダウンロードして解析することも可能である。暗号化されていても、大量のデータがあれば解読のためのヒントやキーが得られることもある。
これに対して、デバイスに保存されたPINコードは、認証もデバイス内で行われる。仮にPINコードが漏れても、攻撃者は不正アクセスのためには正規ユーザーのPINコード認証ができるデバイスを手に入れる必要がある。もちろんPINコードが、従来からよくある4桁数字の場合は、手動のブルートフォース攻撃でも破られる可能性がある。桁数は多く、数字以外の組み合わせが推奨されるのは言うまでもない。
以上が「パスワードよりPINコードが安全な場合がある」という理由だが、次のような疑問も湧く。
デバイスへのログインやロック解除のしくみが、サーバでアカウント情報を管理するパスワードより安全かもしれないが、デバイスから利用する各種サービスまで安全とはいえない。これらのサービスアカウントは、従来からのリスト攻撃などによってパスワードが破られてしまうことに変わりないのではないか。
【次ページ】 PINコード・生体認証にも弱点はある、把握しておくことが大事
関連コンテンツ
関連コンテンツ
PR
PR
PR