一般的なパスワード認証は IDやパスワードを事前に登録し、本人が管理する必要があり、予測する人も多く、聞き出すサイトなどもあり大変である。
そのために、パスワードの変更を時々要求されるし、使える文字がサイトのよって違う。
また、文字種の内その組み合わせや文字数を要求されることが多い。
生年月日・電話番号などパスワードを連想できる数字は使えないことが多いし、変える時 その前に使用していたパスワードは使えない。
多くのPASSWORDを考えだすのに苦労する。そこで、認証について調べた。
認証には、次の3つの要素があり、組み合わせて利用する場合もある。
- 知識:本人だけが知っていること。ものを所有する必要はないが、漏えいするリスクがある。「パスワード」、「暗証番号」、「秘密の質問」など。
- 所有:本人だけが持っているもの。ものを所有する必要があり、紛失のリスクもある。IDカード」、「スマートフォン」、ワンタイムパスワードの「トークン」など。
- 生体:本人の身体の一部やそれに準ずる要素。所有する必要はないが、けがによって使えなくなる、プライバシー漏えいの恐れがあるなどのリスクがある。「指紋」、「声」、「虹彩」など。
ワンタイムパスワードは金融機関で振り込みによく使われているシステムで、2方式在る。
- タイムスタンプ認証
- チャレンジ/レスポンス認証
タイムスタンプ認証は、認証をする時刻をもとにワンタイムパスワードを生成する方式です。パスワードについてはトークンと呼ばれる専用端末やスマートフォンアプリなどを用いて生成されたものが表示され、ユーザーはそれを利用します。
チャレンジ/レスポンス認証は、ログインを要求しているサーバーが「チャレンジ」と呼ばれる文字列を返してくるので、その文字列に対してあらかじめ設定された計算式によって求められた結果を返し、サーバー側でも計算をした結果と一致すれば認証クリアとなる方式です。
チャレンジ/レスポンス認証は、ログインを要求しているサーバーが「チャレンジ」と呼ばれる文字列を返してくるので、その文字列に対してあらかじめ設定された計算式によって求められた結果を返し、サーバー側でも計算をした結果と一致すれば認証クリアとなる方式です。
1度しか使えないこと、生成してから短時間=30秒~1分で使えなくなることなど、セキュリティは非常に高い。(100%安全とは言えない)
しかし、専用ソフトが必要で、設定が会っている など、使い方があり、使えなくなることがる。
電話を使った方法
電話による音声で行う方式です。登録している電話番号に電話を発信し、ユーザーが電話に出ると音声で認証コードが通知されるので、それを入力して合致していれば認証クリアとなります。
電話による音声で行う方式です。登録している電話番号に電話を発信し、ユーザーが電話に出ると音声で認証コードが通知されるので、それを入力して合致していれば認証クリアとなります。
生体認証
生体認証とは、指紋や静脈、声など、身体の一部やそれに準ずる要素を使って本人を特定する仕組みで、「バイオメトリクス認証」とも呼ばれます。あらかじめ個人を特定できる身体的または行動的な特徴を登録しておき、認証時に照合して本人かどうか判断します。
| 認証方式 | 識別要素 | 特徴 |
|---|---|---|
| 指紋 | 指紋の特徴 | 読み取り装置が小型で導入コストが安価だが、指の状態が認識精度に影響する。 詳しくはこちら |
| 掌紋 | 手のひら全体の紋理(筋模様)の特徴 | 指紋に比べると読み取り装置が大型で、手のひらの状態が認識精度に影響する。 |
| 静脈 | 手や指の内側にある静脈(血管)の特徴 | 精度が高く偽装が困難だが、認識装置が大型で体調変化や環境が認識精度に影響する。 詳しくはこちら |
| 顔 | 顔の輪郭、目や鼻の形状や配置の特徴 | 手軽に行えるがマスクや眼鏡、照明、顔の経年変化などが認識精度に影響する。 詳しくはこちら |
| 音声 | 声の特徴 | 手軽に行えるが体調変化や周辺の音が認識精度に影響する。 詳しくはこちら |
| 虹彩 | 目の虹彩の特徴 | 経年変化が少なく、精度も非常に高いが、照明が認識精度に影響する。 詳しくはこちら |
| 眼球 | 目の白目部分にある血管の特徴 | 手軽に行えて装置が安価(スマートフォンなどの通常のカメラとアプリの組み合わせでも実現可能)。 |
| 耳形 | 耳の形状の特徴 | 手軽に行えるが髪型、証明などが認識精度に影響する。 |
| 耳音 | 耳の穴(外耳道)の形状によって異なる反響音の特徴 | 意識せず継続的に認証できるが、周辺の音が認識精度に影響する。一度に不特定多数を認証する目的には不向き。 詳しくはこちら |
| DNA | 遺伝子配列の特徴 | 精度は理論上100%だが時間と手間がかかる。 |
などがあり、普通の認証として使えないものや、精度が低いもの、けがで使えなくなるものも ある。普通に使える物を太字で示した。
最後にパスワードの管理法やアプリ集のサイトを載せておく。
パスワードの管理法
https://www.lrm.jp/security_magazine/pass_management/
https://www.reneelab.jp/windows10-password-kanri.html
パスワード管理アプリ集
https://app-liv.jp/customizations/security/0514/
https://freesoft-100.com/security/idpass.html