見出し画像

なぜPINはパスワードよりも安全なのか?

(株)コンピュータマネジメント

皆さまこんにちは。2020年に新卒として株式会社コンピュータマネジメントに入社し、Webマーケティングを担当している入社4年目のMです。

先般、当社では社内サーバールーム廃止に向けて、オンプレミスでユーザー認証に利用していたActive Directory(AD)をクラウド基盤(Azure AD)へ移行しました。

Azure ADへの移行に伴い、会社PCへのログイン方法が従来の「パスワード」による認証から「PIN」による認証に変更されたのですが、そこで「PIN」についてこんな話を耳にしました。

「PIN」はパスワードよりも安全だから、パスワードほど桁数が長くなくても大丈夫。

不思議に思い調べてみると、どうやら長くて複雑なパスワードよりも、数字4桁程度の簡単な「PIN」のほうが、本当に安全性が高いと言われているようです。

そこで今回は、なぜPINのほうがパスワードよりも単純なのに安全だと言われるのか、その仕組みについて掘り下げていきたいと思います。


PINとは?

PINとは、「Personal Identification Number(個人識別番号)」の略で、機器やサービスの盗難、紛失、第三者による不正利用を防ぐための暗証番号のことです。

Windows 10でのサインイン時やスマートフォンのロック解除時、キャッシュカードやクレジットカードの利用時に使うもので、スマートフォンでは「パスコード」と表現されることが多いです。

基本的には数字4桁で設定しますが、場合によっては桁数をもっと増やしたり、大文字・小文字アルファベットを含めたりすることもあります。
例えば、iPhoneではデフォルトで数字6桁のパスコードを設定できます。

パスワードとPINの違い

パスワードとPINの主な違いは、「認証を行う場所」にあります。

パスワードはインターネットを経由し、サーバーに保管されている情報と照合することで認証を行いますが、PINはネットワークを経由せず、設定したPCやスマートフォンの端末内で認証を行います。

パスワード

パスワードを利用した認証方式の場合、入力されたパスワードはそのまま、あるいは暗号化された状態で、ネットワークを通じてサーバーのほうへと送られます。

サーバーはパスワードを受け取ったら、あらかじめサーバー内に保存されているパスワード情報と合致しているかを判定し、問題なければログインを許可します。

PIN

PINを利用した認証方式の場合、入力されたPINを使って「TPM」と呼ばれるPC内蔵のチップへアクセスし、その端末固有の認証情報を作り出します。

サーバーへは、TPMが作り出した認証情報が送られて、サーバー側で問題ないと判断されればログインが許可されます。

PINそのものはネットワーク上を流れることはないので、パスワードのようにサーバーへ転送される際に傍受されたり、サーバーから盗まれたりする心配はありません。

PINのメリット

PINを使うメリットは、主に以下3点があります。

入力が簡単で覚えやすい

パスワードの安全性を高めるとなると、英文字・数字・記号を組み合わせたより複雑で長いものを設定する必要がありますが、そんな複雑なパスワードを覚えて毎回入力するだけでもかなりの手間がかかります。

その点、PINであれば最低4桁の数字を入力するだけで簡単にサインインできるほか、桁数も少なく覚えやすいため管理もラクチンです。

2要素認証で安全性が高い

PINは、2つの異なる認証要素を組み合わせて本人確認を行うため、「2要素認証」に分類されます。

具体的には、以下3種類ある認証方式のうち、PINは「知識認証」(PIN)「所有物認証」(端末)の2つを利用します。

・知識認証:パスワードなど、本人の知識で認証
・所有物認証:ICカードやスマートフォンなど、本人の所有物で認証
・生体認証:顔、指紋、虹彩など、本人の身体的特徴で認証

そのため、「知識」だけで認証するパスワードよりも、遥かにセキュリティ面で安全性が高いといえます。

不正アクセス対策に最適

パスワードは、設定したPCやスマートフォン以外の端末からでもサインインして使うことができるため、万が一悪意のある第三者に漏れてしまうと、別の端末からサービスに不正ログインされてしまう可能性があります。

どれだけ長くて複雑なパスワードを設定していたとしても、パスワードそのものが漏えいしてしまったら、文字列の複雑さはもはや意味を為さなくなるというわけです。

一方、PINは設定したPCやスマートフォンなどの端末に紐づけられており、設定したデバイスとセットでなければ使えないという特徴があります。

そのため、仮に入力したPINを盗み見されたとしても、PINを設定した端末以外からログインすることは不可能なため、端末そのものが盗まれない限りは不正アクセスの被害を最小限に抑えることができます。

まとめ

今回は、パスワードとPINの違いについてお伝えしました。

結論として、パスワードよりもPINのほうが安全だと言われる理由は、

パスワードはどれだけ複雑でも漏れてしまえば一発アウトだが、PINは設定した端末が手元に無いと認証を行えないため、悪意のある第三者による不正アクセスをかなりの高確率で防ぐことができるから

でした。

利用しているデバイスがPINに対応している場合は、入力や管理が大変な従来のパスワードよりも、「安全」「ラク」なPINをぜひ積極的に活用してみましょう!

それでは今回はこの辺で。次回のnoteもお楽しみに!
ここまで読んでいただき、ありがとうございました!


この記事が気に入ったらサポートをしてみませんか?