top of page
Blog article

Blog article

パスワードとPINの違い

パスワードとPINはどちらも本人しか知らない秘密の言葉(あるいは数字)です。また、文字を入力するところも同じです。PINの方が短く、使う文字の種類も少ないため、一見するとPINの方が「弱い」と思われがちですが、マイクロソフトなどは「PINはパスワードよりも安全」と言っています。Windows (10、11)の初期セットアップ時にも目にすることがあると思いますが、なぜなのでしょうか?


パスワードとPINの大きな違いは、入力した文字がどう取り扱われるかにあります。

実は、パスワードは認証に使っていますが、PINは「認証に使っていません」。


と、書くと色々と誤解を招きそうなので、例を挙げてもう少し詳しく説明します。

パソコンで、パスワードによるログインとPINによるログイン(*1)をサポートしているWEBサービスにアクセスする事を想定して話を進めていきます。


(*1)技術的な話をすると、「WebAuthn」によるログインをサポートしているWEBサービスを想定しています。



Password


IDとパスワードを入力するログインでは、入力した文字の情報はそのままWEBサービスのサーバーまで送られます。サーバーは、そのIDとパスワードを受け取って、パスワードが合っているか否かを確認して、問題なければログインを許可します。



PIN


IDとPINを入力するログインの場合、まずはPINを使って、パソコンの中にある「TPM」と呼ばれるセキュリティチップ(*2)にアクセスします。TPMは、そのTPMにしか作る事の出来ない認証情報を作り出します。サーバーへは、IDとTPMが作り出した認証情報が送られて、サーバー側で問題無いと判断されればログインが許可されます。


(*2) TPMについて正確に説明すると長くなりますので省略しますが、パスワードよりもとても強い暗号を作り出せるチップ、とここでは考えておいてください。

先ほど、PINは「認証に使っていません」と書きましたが、正確には、「TPMの認証に使っています」。ただ、そのTPMは手元のパソコンの中にありますので、PINそのものはネットワーク上を流れる事はありません。


ここまでの内容で、PINの特性が少し見えてきたかと思います。パスワードと大きく異なるのは以下の2点です。


・PINはネットワーク上を流れない。

・PINによる認証は、手元のパソコンとPINが無いと行う事が出来ない。


これらの特徴から、ネットワーク上での盗聴といった攻撃に強く、また、知識(PIN)と所持(パソコン)の2要素認証になっており、パスワードより遥かに強力な認証となっている事がわかるかと思います。



最後に


今回はパソコンを例に挙げましたが、実はパソコンだけでなく、スマホやタブレットなども同様の仕組みを備えています。また、弊社で扱っているFIDO2セキュリティキーなどは、パソコンやスマホなどと組み合わせて使うものですが、この話の中で出てきたTPMの役割を果たす事が出来ます。外付けのTPMのようなものですね。


弊社ではセキュリティキーを使用したソリューションも展開しているので、ご興味のある方は是非ソリューションやブログ等をご覧ください。認証デバイスをお求めの方は下記リンクからご購入いただけます。


YubiKeyShop 正規代理店


Amazon



最後までお読みいただきありがとうございました。

タグ:

Commentaires


bottom of page