PINとパスワード

ITmediaの記事から、PINとパスワードの違いについて。私も最初の頃は勘違いしていて、「なんで4桁の数字の方が、8桁以上の英数記号組合せのパスワードより信頼性が高いんだよ」と思っていたくち(笑)。ローカル(その端末内)で認証作業されるPINに対して、ネットワーク越しにサーバーと通信して認証作業するパスワードでは、まぁ確かに危険度は後者の方が大きいかもしれないけれど、それだけがセキュリティの重要度でも無いし。

例えば、会社から支給されている仕事用のパソコンでは、Windowsへのサインインはドメイン認証しているけれど、これオフラインの時も必要だから、実はパスワードはローカル(=パソコン)にキャッシュされていて、ネット接続時にパスワードが変更されていないかサーバーと検証するような仕組み。だから、毎回毎回ネットワーク越しにパスワード認証しているわけじゃ無いわけで、そう言う意味ではPINを使用する場合とそんなに違わないはず。そうなると、単純な4桁の数字のPINの安全性が一寸疑問になる。

Windows10では、数字以外の文字記号も含めて、さらに4桁以上の文字列もPINとして使用可能だけれど、そうなると利用者の使いやすさという観点から見ると、パスワードと余り違わなくなるわけで、一寸疑問も感じてきます。一寸前にも書いたけれど、この季節は指の皮膚がボロボロになるため、そうで無くても薄い指紋が完全に消えてしまうため、指紋認証が一切使えなくなります。で、ここ最近は最初から指紋認証派諦めて、PINを入れるようにしていますが、どっちが本当は安全なのか、どっちが便利なのか、色々悩みますね。

最近銀行系のアプリ等では、ワンタイムパスワードの利用が殆どで、1つ使い勝手が悪いのはAmazonとかGoogleのAuthentificatorでは無く、独自のツールをインストールしないとならず、それが面倒。個人的に派、このパターン認証方式が面白そうなんだけれど、これもパターンをどう描くかで、その時に表示された乱数を読み取るのが難しくなりそうで、単純なパターンに逃げそうな予感が。結局は、認証システム本体の作り方では無く、それを利用する人の意識というか認識が、その認証システムが与える信頼性の中で、一番大きいような気がする。