開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2017/10/05

なぜ4桁程度のPINコードが「高強度パスワードより安全」な場合があるのか

Windows 10の生体認証機能「Windows Hello」では、PINコードの設定が必要だ。マイクロソフトのサイトの説明によればパスワードより安全となっている。これを見て、「パスワード強度の一般的な議論と違うのではないか?」と思った人もいるだろう。実はこれは、スマートフォンなどに設定するPINコード、パスコードと一般的なWebサイトのパスワードとのシステムの違いの話である。この違いが分かれば「パスワードより安全」という意味が分かるはずだ。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
英数字、記号、大文字小文字を組み合わせた複雑なパスワードより、4桁のPINコードが安全?
(©weerapat1003 - Fotolia)

見直されるPINコード

 パスワードに関する議論は尽きない。安全性や強度に関する基準も、技術や社会情勢(犯罪者の動向)によって変遷する。認証にパスワードを使うということの限界論や、いずれパスワードはなくなる、なくすべき、といった意見も存在する。

 そんなパスワードを始めとする認証において、1つの動きが広がりつつある。PINコードによる認証方法だ。

 PINコードによる認証は、以前から主にモバイルデバイスに実装されており、新しいものではない。また、PINコードについて革新的な新発見や技術が発表されたわけではないが、デバイス保護、アカウント保護のための認証方法として割と安全でこなれた技術でもある。それが、IoTやデバイスの多様化にともない活用場面が増えている。ほぼ限界にきているパスワード強度のみに頼った認証を強化できる可能性があるからだ。

デバイスに紐づいているため高まる安全性がある

 では、なぜPINコードがパスワードより安全となるのか。PINコードは通常、デバイス、クライアント端末、PC本体などに保存・管理されている。これに対して、パスワードはサーバ上でリストとして管理される。

 パスワードがサーバ上に管理されていると、アクセスする端末、デバイスは原則問わない。むしろそうでないと困るわけだが、それは攻撃者もネット上のどこからでも攻撃できることにもなる。また、リストで管理されているため、ファイルをまとめてダウンロードして解析することも可能である。暗号化されていても、大量のデータがあれば解読のためのヒントやキーが得られることもある。

 これに対して、デバイスに保存されたPINコードは、認証もデバイス内で行われる。仮にPINコードが漏れても、攻撃者は不正アクセスのためには正規ユーザーのPINコード認証ができるデバイスを手に入れる必要がある。もちろんPINコードが、従来からよくある4桁数字の場合は、手動のブルートフォース攻撃でも破られる可能性がある。桁数は多く、数字以外の組み合わせが推奨されるのは言うまでもない。

 以上が「パスワードよりPINコードが安全な場合がある」という理由だが、次のような疑問も湧く。

 デバイスへのログインやロック解除のしくみが、サーバでアカウント情報を管理するパスワードより安全かもしれないが、デバイスから利用する各種サービスまで安全とはいえない。これらのサービスアカウントは、従来からのリスト攻撃などによってパスワードが破られてしまうことに変わりないのではないか。

【次ページ】 PINコード・生体認証にも弱点はある、把握しておくことが大事

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!