1円でも得したいWebエンジニアの日常

クーポンだったりクレジットカードのポイントだったりを利用して1円でも得しつつ生活を便利にしていきたいWebエンジニアによるブログ。技術的な記事から商品レビューなど日常的なことまで。

銀行の暗証番号が4桁なのはセキュリティ的に問題ないのか

数字4桁しか設定できない銀行の暗証番号。10000通りのパターンしかないので頑張れば当てられる気もします。果たしてこれはセキュリティ的に大丈夫なのか?という疑問に答えます。

f:id:yoshiki_utakata:20181004212834j:plain

あなた誰?

都内IT企業で技術者として働いています。

セキュリティスペシャリストの資格を持っています。 *1

結論から言うと

銀行のカード暗証番号は数字4桁でも問題ありません。

何故数字4桁でも問題ないのか

銀行口座を持ってない人はほぼいないでしょう。そしてほとんどの人が4桁の数字の暗証番号を設定しているでしょう。でも、口座から突然お金を取られた人はそんなにいないはず。

さらに、暗証番号が数字4桁であることは何十年も変わっていません。これはつまり、セキュリティ的に問題はないことを示しているのです。

では何故たった4桁、しかも数字だけの暗証番号だけで問題ないのでしょうか。重要なのは「カードを持っていないとお金をおろせない」と言う点です。

順を追って説明します。

本人確認(認証)の種類

本人確認することを「認証」と言います。銀行口座は認証ができたらお金をおろせるという仕組みです。認証にはいくつかの種類があります。主なものは以下の3つです。

  • 所持による認証
  • 記憶による認証
  • 身体的特徴による認証

所持による認証、これはつまり、銀行のカードを持っていれば本人確認できたとします。

記憶による認証、これはつまり、暗証番号を覚えていれば本人とします。

身体的特徴による認証、これはつまり、指紋認証などです。

これらのいくつかの要素のうち、2つ以上のものが組み合わさっていると「セキュリティ的に十分」であると言われます。銀行口座の場合、カードを持っていて、かつ、暗証番号を知らないといけないので、所持による認証と記憶による認証の2要素が組み合わさっていると言えます。暗証番号が知られてもカードを盗られなければ問題ありません。このため、セキュリティ的には十分であると言えるのです。

ただし、カードを紛失したり、パスワードがバレている場合は、実質1要素による認証になっているので危険です。すぐにパスワードを変えたり、口座を止めてもらうなどの対応が必要です。

Amazontwitterのアカウント

twitterのアカウントはよく「乗っ取られた」という話を聞きます。しかし、大抵の人はは数字4桁よりも強いパスワードを採用しているはずです。 何故銀行は乗っ取られないのにtwitterは乗っ取られるのか。twitterは所持による認証も身体的特徴による認証も無いからです。パスワードだけ知っていればログインできます。*2なのですぐ乗っ取られるわけです。

生体認証

最近はカードと暗証番号以外に、生体認証(静脈認証や指紋認証)を使っている銀行も多いです。生体認証は身体的特徴による認証に分類されるので、これを使うと、3要素を組み合わせた認証となり最強です。

まとめ

  • カード所持と暗証番号で2要素あるので安全
  • 更に生体認証があると3要素なので安心安全
  • twitterなどの「所持」や「身体的特徴」の認証がない場合は危険。乗っ取られやすい。

情報処理教科書 情報処理安全確保支援士 2019年版

情報処理教科書 情報処理安全確保支援士 2019年版

*1:2017年ごろから情報安全確保支援士という名前に変わりましたが、セキュリティスペシャリストの方がわかりやすいのでこっちで表記しています。

*2:メールアドレスは通常公開するものですし