数字4桁しか設定できない銀行の暗証番号。10000通りのパターンしかないので頑張れば当てられる気もします。果たしてこれはセキュリティ的に大丈夫なのか?という疑問に答えます。
あなた誰?
都内IT企業で技術者として働いています。
セキュリティスペシャリストの資格を持っています。 *1
結論から言うと
銀行のカード暗証番号は数字4桁でも問題ありません。
何故数字4桁でも問題ないのか
銀行口座を持ってない人はほぼいないでしょう。そしてほとんどの人が4桁の数字の暗証番号を設定しているでしょう。でも、口座から突然お金を取られた人はそんなにいないはず。
さらに、暗証番号が数字4桁であることは何十年も変わっていません。これはつまり、セキュリティ的に問題はないことを示しているのです。
では何故たった4桁、しかも数字だけの暗証番号だけで問題ないのでしょうか。重要なのは「カードを持っていないとお金をおろせない」と言う点です。
順を追って説明します。
本人確認(認証)の種類
本人確認することを「認証」と言います。銀行口座は認証ができたらお金をおろせるという仕組みです。認証にはいくつかの種類があります。主なものは以下の3つです。
- 所持による認証
- 記憶による認証
- 身体的特徴による認証
所持による認証、これはつまり、銀行のカードを持っていれば本人確認できたとします。
記憶による認証、これはつまり、暗証番号を覚えていれば本人とします。
身体的特徴による認証、これはつまり、指紋認証などです。
これらのいくつかの要素のうち、2つ以上のものが組み合わさっていると「セキュリティ的に十分」であると言われます。銀行口座の場合、カードを持っていて、かつ、暗証番号を知らないといけないので、所持による認証と記憶による認証の2要素が組み合わさっていると言えます。暗証番号が知られてもカードを盗られなければ問題ありません。このため、セキュリティ的には十分であると言えるのです。
ただし、カードを紛失したり、パスワードがバレている場合は、実質1要素による認証になっているので危険です。すぐにパスワードを変えたり、口座を止めてもらうなどの対応が必要です。
Amazonやtwitterのアカウント
twitterのアカウントはよく「乗っ取られた」という話を聞きます。しかし、大抵の人はは数字4桁よりも強いパスワードを採用しているはずです。 何故銀行は乗っ取られないのにtwitterは乗っ取られるのか。twitterは所持による認証も身体的特徴による認証も無いからです。パスワードだけ知っていればログインできます。*2なのですぐ乗っ取られるわけです。
生体認証
最近はカードと暗証番号以外に、生体認証(静脈認証や指紋認証)を使っている銀行も多いです。生体認証は身体的特徴による認証に分類されるので、これを使うと、3要素を組み合わせた認証となり最強です。
まとめ
- カード所持と暗証番号で2要素あるので安全
- 更に生体認証があると3要素なので安心安全
- twitterなどの「所持」や「身体的特徴」の認証がない場合は危険。乗っ取られやすい。
- 作者:上原 孝之
- 発売日: 2018/11/19
- メディア: 単行本(ソフトカバー)