意外と知らない?パスワードとPIN(パスコード)の違い
パソコンやスマホなどを起動する時や、SNS・ECサイト等のサービスを利用する時、何らかの方法で「本人認証」を行い、正規の利用者であることを証明する必要があります。
本人認証の方法としては、ID(ユーザー名や登録メールアドレス)と「本人しか知らない秘密の文字列」を入力する方法が昔から一般的ですが、この「本人しか知らない秘密の文字列」には、ある程度の長さ・複雑さが要求される場合と、短くて数字のみなど簡単な文字列でもいい場合があります。なぜそのような違いがあるのかご存知ですか?
●秘密の文字列には「パスワード」と「PIN」がある
一般的に、「本人しか知らない秘密の文字列」を「パスワード」と呼ぶことが多いですが、SNSのログインなどに使用するための比較的長く複雑なものが「パスワード」であり、スマホを起動するときなどに使用する短く、数字だけなど簡単なものは「PIN(またはパスコード、PINコード、個人識別番号、暗証番号)」と呼ばれる別の認証方式になります。
●パスワードとPINの特徴と注意点
パスワードとPINは、それぞれ用途や認証方式が異なるため、その特徴(メリット)や利用時の注意点(リスク)を理解して、適切に管理する必要があります。
| パスワード | |
| 文字列の特徴 | 10桁以上など比較的長く、アルファベット大小文字・数字・記号が混在する複雑な文字列が推奨される(サービスによっては桁数や文字種に指定がある) |
| 入力方法 | 主に端末のフルキーボードを使って入力する |
| 主な利用場面 | ・SNSやECサイト、アプリなど会員制サービスのログイン(本人認証) ・電子ファイルの暗号化とその解除 |
| 認証方法 | ・ログインの場合、主にインターネットを経由してサービス側のサーバー等に登録されている情報と端末から入力された情報を照合する ・電子ファイル暗号化の場合、ファイルとパスワードを共有(入手)し、ファイルに登録されている情報と端末から入力された情報を照合する |
| 入力制限 | 基本的に制限はない(何回認証に失敗してもやり直しが可能) |
| 認証に必要なもの | ・ログインの場合、認証情報と通信環境があれば、誰でも・どこから(どの端末から)でも認証できる ・電子ファイル暗号化の場合は、ファイルのコピーとパスワード情報があれば誰でも・どこから(どの端末から)でも認証できる |
| 注意事項 | ・パスワードとIDを知られると容易に悪用(不正アクセス)されてしまうため、知られないための対策が必須になる ・複数のサービス等に同じIDとパスワードを使い回している場合、認証情報を悪用されると、被害が複数のアプリやサービスに及ぶ可能性がある ・長く複雑なパスワードは、忘れる(覚えられない)リスクが高い ・電子ファイル原本を暗号化していても、共有設定を間違えたり、誤送信してしまったりして、誤った相手にファイルのコピーとパスワー情報が渡ってしまうと、ファイルが不正に利用される(情報が漏えいする)リスクがある |
| PIN | |
| 文字列の特徴 | 4-6桁程度の短く、数字のみ、またはアルファベットと数字混在の、比較的簡単な文字列の場合が多い |
| 入力方法 | テンキーのみ、または専用の入力画面を使用することが多い |
| 利用場面 | ・スマホやパソコンの起動時※ ・クレジットカードや銀行の専用アプリなどの利用時の本人認証 ・マイナンバーカード(マイナポータル)利用時の本人認証 |
| 認証方法 | 端末やカード本体内の固有情報に紐付けられ認証される |
| 入力制限 | 指定回数以上認証に失敗した場合、強制的にロックされる、初期化される、別の認証手段が必要になる、など制限されることが多い |
| 認証に必要なもの | PIN情報とPINが紐付けされた端末やカード本体がないと認証不可能(知識と所有の2要素認証) |
| 注意事項 | ・生年月日や電話番号など容易に推測可能なPINを設定していると、端末やカードを盗まれた場合に悪用されやすいリスクがある ・たとえ正規利用者であっても、一定回数認証に失敗すると、端末などが使えなくなるリスクがある |
認証情報(IDとパスワード)さえ知っていれば、誰でも(本人ではなくても)認証できてしまうパスワードに対して、PINは認証情報に加えて本人が持っている端末(カード)そのものがないと認証できないため、短い文字列であっても安全性が担保できる、ということです。
近年では、パスワードの弱点を補うために、パスワードに加えてスマホなどのショートメッセージを使って認証番号を送信する(本人しか持っていない端末を使うことで所有要素をプラスする)2要素認証も主流になっています。
●パスワード・PINは安全に管理し、多要素認証も有効に活用しましょう
サービス提供者の提供する安全設定や各種セキュリティ対策ツールなどによって、技術的な対策は可能ですが、何よりも利用者が適切にセキュリティ対策を実施することが大切です。例えば次のような対策を(面倒でも)必ず実施し、安全に利用するようにしましょう。
- 複数のサービスや端末などに同じ文字列を使い回さない
- パスワードは複雑かつ類推しにくい文字列を設定する(10桁以上の英大文字+英小文字+数字+記号混合などが推奨されています)
- 安易にブラウザにパスワードを記憶させない
- メールの添付ファイルやリンク、WEBサイトの広告などを安易に開かない
- アプリ、サービスなどを他人に使用させない(友人などにもパスワードを教えない)
- 誰でも接続可能なWi-Fiなど安全が確認できないネットワークに接続しない
- 端末のOSやアプリは常に最新の状態に保ち、サポート終了バージョンは使用しない
- 可能な限り生体認証などを併用する(多要素認証を使用する)
- 暗号化ファイルの共有時に誤送信(クラウドの共有設定ミス)がないよう慎重に操作する
- 端末本体やデスクトップ(ホーム画面)にパスワードやPINを書いた付箋を貼付しない
