パスワード認証とは？仕組みと問題点、欠点を補う認証方式は？

通販サイトやネットバンキング、動画共有サイト、その他会員制サービスなど、インターネットを利用しているとありとあらゆる場面で本人かどうか確認するための「本人認証」をする機会があり、多くの場合「パスワード認証」が採用されています。そもそもパスワード認証とはどのような仕組みなのでしょうか？また、パスワード認証のリスクやそれを補う方策はあるのでしょうか？解説していきます。

パスワード認証の仕組み
パスワード認証と同様の認証方式
パスワード認証の問題点
- パスワードの使いまわしが発生しやすい
- 類推できるパスワードが使われやすい
パスワード認証の欠点を補う主な認証方式
パスワードを工夫して自己防衛を

パスワード認証の仕組み

パスワード認証とは、パスワードを使って利用者本人かどうかを確認するものです。まず、サービスの利用前にログインID（任意で決められるケースもあれば、登録したメールアドレスや電話番号がログインIDと兼用になることもあります）とパスワード（一般的に半角英数字や記号を組み合わせたもの）を設定します。以降、ログイン時にはIDとパスワードを入力し、登録情報と一致した場合にのみサービスが利用できるようになります。

パスワード認証と同様の認証方式

パスワード認証と似たようなものとして「暗証番号」「パスフレーズ」「秘密の質問」という3つの認証方法が挙げられます。それぞれ特徴を見ていきましょう。

暗証番号

暗証番号はあらかじめ決めておいた4～6桁程度の番号で個人を認証する仕組みです。代表的なものとして銀行のATMやデバイスのロック解除などが挙げられます。正しい暗証番号を入力しない限り、サービスを利用することができません。桁数が少なく数字のみなので覚えやすいのがメリットです。

パスフレーズ

パスワードは8～10文字以下という制限があることが多いですが、パスフレーズは10文字以上の言葉や文章を設定することができます。また、スペースの利用も可能です。文字数が多い分、セキュリティ面においてはパスワードよりも優位性があります。

秘密の質問

ある質問に対する答えをあらかじめ登録しておき、認証時にその答えを入力することで認証を受ける方式です。「あなたの母親の旧姓は？」「初めて海外旅行で行った国は？」「飼っているペットの名前は？」といった質問に対して自分が当てはまる答えを登録することができます。忘れてしまった場合でも、思い出しやすいのがメリットです。

パスワード認証の問題点

一般的に普及しているパスワード認証ですが、リスクも少なからずあります。ここからはパスワード認証で起こりがちな問題を考えてみましょう。

パスワードの使いまわしが発生しやすい

複数のサービスを利用していると、ついパスワードを使いまわしてしまいます。確かに覚える手間は省けますが、仮にあるサービスのパスワードが漏えいした場合、ほかのサービスにも不正にアクセスできてしまいます。可能な限りサービスごとに別のパスワードを設定しておきましょう。

類推できるパスワードが使われやすい

名前や生年月日など類推されやすいパスワードも危険です。特にIDとパスワードに同じ単語を使っていると容易に不正アクセスを許してしまいます。また、「1234」「abcd」といったような単純なパスワードも危険です。ランダムに大文字・小文字のアルファベットと数字の羅列に記号を組み合わせたようなパスワードを設定すれば、類推されるリスクをより抑えることができます。

パスワード認証の欠点を補う主な認証方式

非常に便利で広く普及してきたパスワード認証ですが、セキュリティ面では万全ではありません。そこで、パスワードと併用して、あるいはパスワードとは別に以下のような認証方式がとられることもあります。

ワンタイムパスワード認証

ワンタイムパスワードとは1回限りのパスワードです。メールやメッセージアプリなどに送られてくるワンタイムパスワードを入力します。毎回変化し、しかも一定の時間制限が設けられており、それを過ぎると無効になるため、非常にセキュリティ性が高いといえます。

ドングル認証

ドングルはソフトウェアの不正コピーを防止するために使われる認証用キーです。ドングルが入っているUSBをパソコンに挿すことでソフトウェアが使えるようになるという仕組みです。キーがないとエンジンを始動できない自動車をイメージするとわかりやすいでしょう。

生体認証

生体認証とは顔や虹彩（眼球の色がついている部分）、指紋、手のひらのしわなどの身体の持つ情報を登録し、サービス利用時にカメラなどで認証する方式です。これらの生体情報は人によって異なるため、本人認証性が極めて高いです。

二段階認証

二段階認証とは、パスワード認証に加えて別の方法で再度本人認証を行うことを指します。別途設定したパスワードや暗証番号、生年月日、セキュリティコードなどを入力させる、あるいは上記のワンタイムパスワード認証や生体認証を行うなど、さまざまな方法が用いられています。二重に認証を行うため、それだけセキュリティ性も高まります。

パスワードを工夫して自己防衛を

サイバー攻撃や不正アクセスなどのリスクに備えるためにはパスワードを類推されにくいものにする、使いまわしをしないなど、自己防衛をすることが大切です。また、なるべくセキュリティ性が高いサービスを選択することでリスクを抑えることができます。

特に契約は改ざんなどが許されず、外部に漏れてはいけない個人情報や機密情報なども含んでいるため、セキュリティ性は非常に重要な要素となります。

電子印鑑GMOサインでは一般的なパスワード認証に加えワンタイムパスワード認証を採用。二段階認証で不正ログインを防止しています。IPアドレス制限やクライアント制限で情報漏えいのリスクも最小限に。情報セキュリティマネジメントシステム（ISMS）の国際規格であるISO/IEC 27001も取得済みで、常にセキュリティ性の高いサービスを開発・提供しています。

「電子契約を導入したいけれどセキュリティが不安」「情報漏えいや不正アクセスが心配」という方は、ぜひ電子印鑑GMOサインをご検討ください。