パスワードとPINはどちらも本人しか知らない秘密の言葉(あるいは数字)です。また、文字を入力するところも同じです。PINの方が短く、使う文字の種類も少ないため、一見するとPINの方が「弱い」と思われがちですが、マイクロソフトなどは「PINはパスワードよりも安全」と言っています。Windows (10、11)の初期セットアップ時にも目にすることがあると思いますが、なぜなのでしょうか?
パスワードとPINの大きな違いは、入力した文字がどう取り扱われるかにあります。
実は、パスワードは認証に使っていますが、PINは「認証に使っていません」。
と、書くと色々と誤解を招きそうなので、例を挙げてもう少し詳しく説明します。
パソコンで、パスワードによるログインとPINによるログイン(*1)をサポートしているWEBサービスにアクセスする事を想定して話を進めていきます。
(*1)技術的な話をすると、「WebAuthn」によるログインをサポートしているWEBサービスを想定しています。
Password
IDとパスワードを入力するログインでは、入力した文字の情報はそのままWEBサービスのサーバーまで送られます。サーバーは、そのIDとパスワードを受け取って、パスワードが合っているか否かを確認して、問題なければログインを許可します。
PIN
IDとPINを入力するログインの場合、まずはPINを使って、パソコンの中にある「TPM」と呼ばれるセキュリティチップ(*2)にアクセスします。TPMは、そのTPMにしか作る事の出来ない認証情報を作り出します。サーバーへは、IDとTPMが作り出した認証情報が送られて、サーバー側で問題無いと判断されればログインが許可されます。
(*2) TPMについて正確に説明すると長くなりますので省略しますが、パスワードよりもとても強い暗号を作り出せるチップ、とここでは考えておいてください。
先ほど、PINは「認証に使っていません」と書きましたが、正確には、「TPMの認証に使っています」。ただ、そのTPMは手元のパソコンの中にありますので、PINそのものはネットワーク上を流れる事はありません。
ここまでの内容で、PINの特性が少し見えてきたかと思います。パスワードと大きく異なるのは以下の2点です。
・PINはネットワーク上を流れない。
・PINによる認証は、手元のパソコンとPINが無いと行う事が出来ない。
これらの特徴から、ネットワーク上での盗聴といった攻撃に強く、また、知識(PIN)と所持(パソコン)の2要素認証になっており、パスワードより遥かに強力な認証となっている事がわかるかと思います。
最後に
今回はパソコンを例に挙げましたが、実はパソコンだけでなく、スマホやタブレットなども同様の仕組みを備えています。また、弊社で扱っているFIDO2セキュリティキーなどは、パソコンやスマホなどと組み合わせて使うものですが、この話の中で出てきたTPMの役割を果たす事が出来ます。外付けのTPMのようなものですね。
弊社ではセキュリティキーを使用したソリューションも展開しているので、ご興味のある方は是非ソリューションやブログ等をご覧ください。認証デバイスをお求めの方は下記リンクからご購入いただけます。
YubiKeyShop 正規代理店
Amazon
最後までお読みいただきありがとうございました。