パスワード認証 【password authentication】
概要
パスワード認証(password authentication)とは、利用者をシステムが認証する方式の一つで、「パスワード」(password)と呼ばれる秘密の合言葉を入力することで本人であると確認する方式。情報システムの利用を事前に登録した利用者に限定する場合、使用開始を申し出た利用者が誰で、本当に名乗った本人なのかを確認する必要がある。この手順をユーザー認証(利用者認証)と呼び、何をもって本人であると確認するかによって様々な方式がある。
パスワード認証は最も広く普及している方式の一つで、利用者の登録時に登録名(ユーザー名/アカウント名/ID番号など)と共にパスワードという数文字の短い秘密の文字列を決めて登録する。次回以降に使用する際には、登録名と共にパスワードを入力し、システム側に保管されたものと一致すれば本人であるとみなす。
パスワードは英数字と半角記号を組み合わせて8文字程度とすることが多いが、長さの下限や上限、使用できる文字の制限(日本語文字や絵文字は不可など)、必ず使用しなければならない文字種の指定(英大文字、小文字、数字、記号からそれぞれ必ず一文字以上必要など)が決まっている場合もある。本人が任意に指定、変更できるようにすることが多いが、システム側で自動生成したものを使うよう定められている場合もある。
パスワード認証は認証方式のうち「相手が何を知っているか」に基いて本人であることを確かめる「WYK」(What You Know)型に分類される。同じ原理の方式として、4桁程度の数字を用いる「暗証番号」や、パスワードより長く単語やフレーズを組み合わせた秘密の文を用いる「パスフレーズ」、パスワードを忘れた場合などに用いられる「秘密の質問」方式などがある。
パスワードは覚えやすさのため、簡単な単語や単純な文字パターン(「PASSWORD」「ABCDEFGH」「12345678」等)にしたり、自分に関係する言葉(家族の名前や誕生日など)の組み合わせで設定する人が多いと言われる。他のシステムやサービスと同じものを使い回すことも多いため、攻撃者に簡単に割り出されてしまい、本人になりすましてシステムを不正に操作されたり、金銭や情報を盗み取られる被害があとを絶たない。
このため、セキュリティ専門家の中にはパスワード認証を廃止して別の方式に移行するか、パスワード認証と別の原理に基づく認証方式(利用者の所持品を利用する手法など)を組み合わせる二段階認証(二要素認証)にして安全性を高めるよう提唱する人も多い。
共有ボタンをタップ