この動画は、無料公開期間を経た後、メンバーシップ限定動画になります。動画見放題のメンバーシップ(月額990円)を是非ご利用ください。
パスワード認証は、パスワードの漏洩やブルートフォース攻撃などで破られてしまう危険性があることから、近年ではさまざまな防御策が考え出されています。それぞれ紹介しましょう。
チャレンジレスポンス認証
パスワードが盗聴されるのを防ぐために、パスワード自体を送信するのではなく「ハッシュ値」と呼ばれる、パスワードを加工した情報だけを送信します。CHAPという方式などがあります。
手順としては、最初にアカウント名などを入力してもらったら、サーバーは「チャレンジコード」と呼ばれるランダムのコード文字列を送信し返してきます。
ユーザーはいつも通りパスワードを入力しますが、このパスワードは実際には送信されず、先の「チャレンジコード」と混ぜ合わせて「ハッシュ値」と呼ばれるコード文字列を作ります。
このハッシュ値という値は、暗号とは違って元に戻すことはできません。そのため、パスワードを復元することはできないと考えて良いでしょう。
ただし、正しいパスワードを入力されたかどうかの検査だけはハッシュ値で可能です。これにより、認証を通過させるというしくみです。万が一チャレンジコードが盗聴された場合でも、チャレンジコードはログインの度に変化するため、パスワードを解析するのは不可能になります。
リスクベース認証
普段と利用している環境が違う場合に、パスワードの再入力を求めたり、別の認証方法、例えばメールを受信して指定されたキーコードを入力する二段階認証などを強いる認証方法です。
主に、接続しているWebブラウザの種類が違う場合や、IPアドレスが違う場合などに発動します。これにより、第三者が万が一パスワードを入手した場合などにも、不正ログインを防ぐことができます。
ワンタイムパスワード
1回限りのパスワードを利用するという認証方法です。「S/Key方式」や「時刻同期方式」というものがあり、例えば時刻同期方式の場合、ログインするユーザーには専用のスマホアプリや専用機器などに一定ごとに変化する英数字(トークンコードといいます)を表示します。
これを入力してログインします。多くの場合は、パスワード認証と組み合わせて利用されます(多段階認証)。
Know Your Customer(KYC)
オンラインでのサービスの場合、アカウントやパスワードで認証できるのは「当人認証」と呼ばれる情報だけであり、名前や住所などの個人情報を偽っている可能性もあります。
しかし、銀行取引や株取引などで個人情報の確認が必要な場合は、免許証やマイナンバーカードなどを利用して「本人認証」を行う必要があります。このように、どの「本人確認」が必要であるかを「KYC」と呼びます。