パスワードと生体認証〜バイオメトリック技術〜

パスワードと生体認証〜バイオメトリック技術〜

パスワード

パスワードは、古くから使われている「システムに登録されているユーザー」を認証するための情報です。IDにはメールアドレスが使われることが多く、また、アカウント名として画面上に表示されることも多いので、IDは比較的第三者に知られる可能性が高い情報であるといえます。

一方、パスワードはみなさん自身が自由に決められるうえ、画面などに表示されることもないので、そう簡単には第三者がパスワードを知ることはできません。しかしだからと言って容易に推測できるような文字列や、シンプルな文字列にしてしまうと、悪意のある人に解読される恐れが高まるので注意が必要です。

パスワードを決めるときの注意点

パスワードを決めるときは「複雑な」という前置きをされることが多いです。複雑なパスワードとは主に次のようなパスワードです。半角英数字の大文字、小文字、記号を組み合わせる辞書に掲載されている単語や、誕生日や名前の一部などは使わない他のサービスやシステムで使用しているパスワードを使い回さないパスワードを使い回していると、あるシステムでIDとパスワードが流出した場合に、他のシステムやサービスにも不正アクセスされる危険性が非常に高くなります。

そのため、ID にメールアドレスを使うようなシステムでは、パスワードの使い回しは絶対に避けるべき事項の1つです。利用しているサービスのセキュリティレベルを推測する方法利用しているサービスがきちんとセキュリティ対策をしているかを推測する方法があります。それが「パスワードリセット時の対応内容」(私たちがパスワードを忘れたときの対応内容)です。たとえば、先方にパスワードを失念したことを伝えた際に、登録パスワードを平文(読める形)でメールに記載して送ってくるようなサービスは、セキュリティの観点では、あまりよくないサービスといえます。

バイオメトリック認証

バイオメトリック認証とは、パスワード認証のような「ユーザーが仕意に決める情報」ではなく、「生体が持つ各種特徴」を認証に用いる認証方式の総称です。現在では顔認証や指紋認証、網膜·虹彩認証など、さまざまなバイオメトリック認証が実際に使われています。iPhone 6 以降に搭載されている「Touch ID」は指嫁認証機能です。

バイオメトリック認証の長所と短所

バイオメトリック認証は、生体(人間)が持つ各種特徴を認証に用いるので、パスワード認証などと比べて、なりすましが著しく困難です。また、認証を受けるための情報(ID やパスワード)を暗記したり、認証カードなどを所持したりする必要がないため、認証を受ける側の負担も軽減されます。

一方で、バイオメトリック認証のための装置は、パスワード認証などに用いるシステムや装置と比べて非常に高価であるため、導入には相応のコストがかかるという短所もあります。また、装置も必ずしも100%完な精度で生体を認証できるわけではないため、認証対象者の状態によっては、本人であるのに認証に失敗したり、に本人以外の人が認証に成功したりするといった「認証誤り」の可能性も発生します。

認証誤りと精度指標認証誤りの可能性は次の2つの指標で表されます。

本人拒否率 (False Rejection Rate : FRR)

他人受入率(False Acceptance Rate:FAR)

FRRとFARは独立したものではなく、FRRを低く設定するとFARが高くなりFRRを高く設定するとFARが低くなる傾向があるため、バイオメトリック認証を用いる際は、その目的に応じて FAR や FRRを調整することが必要です。

セキュリティカテゴリの最新記事