全2958文字
PR

 ユーザー認証の際に、本人である証拠として使われるのが認証要素だ。本人であることを何らかの形で示す情報が使われる。認証要素として使われる情報には大きく3種類がある(図1)。

図1●ユーザー認証で使われる要素は3種類
図1●ユーザー認証で使われる要素は3種類
認証要素には、ユーザーが知っている「知識情報」、ユーザーが所持している物に関する「所持情報」、ユーザーの身体もしくは行動の特徴である「生体情報」の大きく3種類がある。代表的な知識情報であるパスワードを利用することが多い。
[画像のクリックで拡大表示]

 まず、ユーザーが知っている情報である「知識情報」だ。代表的なのがパスワードである。数桁の暗証番号であるPINコードや秘密の質問などもある。

 他には、ユーザーが所持している物を利用する「所持情報」がある。パソコンのUSBポートに挿して認証を行うセキュリティーキーなどが該当する。スマートフォンやタブレットといった端末自体をセキュリティーキーとして利用することもある。その場合、特定の端末を使っていることを確認できれば本人だと見なす。

 ユーザーの身体もしくは行動の特徴である「生体情報」も認証要素として利用されている。指紋や虹彩、手のひらの静脈といった本人に特有の情報だ。生体情報を認証に利用するには、その情報を読み取る装置が必要になる。

パスワードはもう使わない

 現在は、認証要素としてパスワードが広く利用されている。しかしパスワードは大きく2つの問題点を抱えている(図2)。

図2●パスワードが抱える2つの問題点
図2●パスワードが抱える2つの問題点
パスワードには大きく2つの問題点がある。1つ目は、安全性と利便性がトレードオフの関係にある点だ。2つ目は、攻撃者に悪用されやすい点だ。IDとパスワードが漏洩すると誰でもログインできてしまう。
[画像のクリックで拡大表示]

 1つ目の問題点は、安全性と利便性がトレードオフの関係にあることだ。覚えやすいように簡単なパスワードにすると、すべての文字列を試す総当たり攻撃などで破られやすくなる。かといって安全性を高めようと複雑なパスワードにすると、覚えにくくなり利便性が低下する。

 2つ目の問題点は、攻撃者に悪用されやすいことだ。いったんIDとパスワードが漏洩すると誰でもログインできてしまう。

 ユーザーが複数のサービスで同じIDとパスワードを使い回している場合はより深刻な問題になる。あるサービスのIDとパスワードが漏洩すると、他のサービスでも不正ログインされる危険性があるからだ。攻撃者は、漏洩したIDとパスワードのリストを使い、様々なサービスへのログインを試みることがある。こうした攻撃をリスト型攻撃と呼ぶ。

 こうした問題があるため、パスワードを使わない認証、いわゆる「パスワードレス認証」が注目されるようになっている。パスワードレス認証として現在、最もよく使われているのが「SMS認証」だ(図3)。

図3●サービスのログイン時に使われるSMS認証
図3●サービスのログイン時に使われるSMS認証
サービスのログインには、パスワードの代わりにSMS認証を利用できることがある。ユーザーがログインしようとすると、登録している電話番号にSMSでワンタイムパスワードが送られる。そのパスワードを入力することでログインできる。図に示したのはYahoo! Japanの例。
[画像のクリックで拡大表示]

 SMS認証でログインするサービスでは、ユーザーがログインしようとすると、登録している電話番号にSMSでワンタイムパスワードが送られてくる。このパスワードをログインフォームに入力することでログインできる。

 SMSの内容を確認できるのは、あらかじめ登録した電話番号にひも付くスマホなどの端末だけだ。他の端末では確認できない。このためSMS認証は、ユーザーが特定のスマホなどを持っているという所持情報を利用していると考えることができる。

 パスワードの代わりにSMS認証を使うように推奨するサービス事業者も出てきている。例えば、ヤフーが運営する「Yahoo! JAPAN(以下、Yahoo!)」では、パスワード認証を使うユーザーに対して「パスワードを無効にしてSMS認証を有効にするよう促す画面」を表示することがある(図4)。Yahoo!では将来的にパスワード認証を廃止することを目指しており、この画面もその一環だと考えられる。Yahoo!の新規アカウントは、現在はパスワードを設定せずに作成できる。

図4●パスワードを無効にして SMS認証を使うよう推奨
図4●パスワードを無効にして SMS認証を使うよう推奨
Yahoo!ではパスワードを無効にしてSMS認証を有効にするよう促す画面が表示されることがある。
[画像のクリックで拡大表示]
▼PIN
Personal Identification Numberの略。
▼秘密の質問
「ペットの名前は?」「母親の旧姓は?」といった質問に対する答え。本人以外でも知り得る情報なので、単独の認証要素として使われることはほとんどない。パスワードと併用するといった補助的な利用が多い。
▼虹彩
眼球の前面にある、いわゆる黒目の部分。人によって模様が異なるため認証に利用される。円盤状の膜になっており、伸縮することで瞳孔の大きさを変え、網膜に届く光の量を調節する。
▼SMS
Short Message Serviceの略。ショートメッセージサービス。
▼ワンタイムパスワード
Yahoo! Japanの場合は4桁の数字。