認証に使うならパスワード入力?ICカード?それとも生体認証?

認証に使うならパスワード入力?ICカード?それとも生体認証?

今回は前回のブログに引き続き、 AAAテクノロジーにおける認証とその種類についてご紹介したいと思います。

AAAとは「認証」、「認可」、「課金(または管理)」の三要素だと前回のブログでお伝えしました。 そのうち「認証」は、識別されたユーザーの身元を検証し、証明する方法です。

IT業界まるわかりガイドは、日本初Web専門スクールのインターネット・アカデミーが運営する業界情報メディアです。最新の業界情報を、初心者にも分かりやすくご紹介しています。

目次

AAAにおける認証とは

前回のブログの復習ですが、アクセス制御の最初の段階において、 アクセスするユーザーが何者であるかをシステムに伝えることを「識別」と紹介しました。

日常生活に例えるなら、訪問者が家のベルを鳴らして「近所の田中です」と名乗るフェーズです。 これに対して、家の人が「この人は本当に名乗った通り近所の田中さんなのか」を判断する段階を「認証」といいます。

日常生活ならば、声で判断したり、窓から様子を見て、 外見が自分の知っている田中さんと一致するかを判断したりするでしょう。

一般的な認証

情報システムやネットワークにログインする際、 たいていの場合、IDとともにパスワードが求められます。 IDは識別のために利用される符号なので、これだけでは本人性を特定できません。

ユーザーは通常、認証のために二つ目の情報を提供することが求められます。 もっとも一般的に利用されているのがパスワードです。

ユーザーについて、システムやネットワーク側にあらかじめ保存されていた情報と、 識別された情報(ID)、そして認証のための情報(パスワード)を比較し、 一致が見られた場合、ユーザーは本人に間違いないと認証されるのです。

IDは本人だと名乗る機能を有しているに過ぎず、 秘匿性を持たないため(メールアドレスをIDとしている場合も多く見られます)、 パスワードが、そのユーザーが間違いなく本人だと特定する要素になります。

これを他人に知られてしまうと、 その他人が自分になりすましてシステムやネットワークにログインすることを許してしまいます。 よって、パスワードは決して人に知られてはなりません。

AAAにおける認証の種類

AAAにおける認証には大きく分けて三種類の要素があります。

(1)所持しているもの

鍵、磁気を帯びたカード、バッジなど、一般的には施設のセキュリティにおいてよく使用されます。 ただし、所持品によって行う認証は、紛失してしまう可能性があるというリスクがあります。

(2)記憶しているもの

もっとも一般的なのがパスワードで、多くは英数字と記号で構成されています。 他の認証方法と比べて、導入にコストがかからないため、よく使用されます。 ただし、便利で使いやすい分、弱いセキュリティであることも知られています。

欠点としては以下が挙げられます。

忘れてしまうこと

会社や組織などでは、パスワードを忘れることを防ぐため、 オフィスの机などにパスワードを張り出したままにするケースがあります。 これは内部関係者による情報漏えいやなりすましを誘発しかねず、非常に危険な行為です。

外部流出の危険性

所持品など実際に物品が必要な認証とは違い、英数字と記号で構成されるパスワードは、 システムやネットワーク内のセキュリティの不備などで流出しやすい認証方法といえます。 また、数が限定されている所持品とは違って、自分以外の他人に一度パスワードが知られてしまえば、 流失リストなどに掲載されて簡単に闇の世界に流れてしまうことがあります。

簡単なパスワードであれば、総当たりを行う攻撃によって破られてしまう場合がある

これを防ぐために、パスフレーズを用いることがあります。 パスワードをもう少し長くしたものをパスフレーズと呼びます。 数十文字以上の英数字と記号の組み合わせで構成され、覚えやすいように複数の単語を並べることから、この呼び名がつきました。

(3)本人であることを示すもの

声や動作、身体的特徴など、ユーザー固有の生体的特徴を、 あらかじめとっておいたデータと照合することによる認証法です。

もっとも正確に本人性を特定できる強力な認証法ですが、その分コストも高くつきます。

指紋や手のひら全体のしわや特徴を登録するパームスキャン、手形や網膜、虹彩、署名、声紋などのほかに、 キーボードの叩き方から本人性を特定する「キーボードダイナミクス」というユニークな生体認証もあります。