数字4桁しか設定できない銀行の暗証番号。10000通りのパターンしかないので頑張れば当てられる気もします。果たしてこれはセキュリティ的に大丈夫なのか？という疑問に答えます。

f:id:yoshiki_utakata:20181004212834j:plain

あなた誰？

都内IT企業で技術者として働いています。

セキュリティスペシャリストの資格を持っています。 *1

結論から言うと

銀行のカード暗証番号は数字4桁でも問題ありません。

何故数字4桁でも問題ないのか

銀行口座を持ってない人はほぼいないでしょう。そしてほとんどの人が4桁の数字の暗証番号を設定しているでしょう。でも、口座から突然お金を取られた人はそんなにいないはず。

さらに、暗証番号が数字4桁であることは何十年も変わっていません。これはつまり、セキュリティ的に問題はないことを示しているのです。

では何故たった4桁、しかも数字だけの暗証番号だけで問題ないのでしょうか。重要なのは「カードを持っていないとお金をおろせない」と言う点です。

順を追って説明します。

本人確認(認証)の種類

本人確認することを「認証」と言います。銀行口座は認証ができたらお金をおろせるという仕組みです。認証にはいくつかの種類があります。主なものは以下の3つです。

所持による認証
記憶による認証
身体的特徴による認証

所持による認証、これはつまり、銀行のカードを持っていれば本人確認できたとします。

記憶による認証、これはつまり、暗証番号を覚えていれば本人とします。

身体的特徴による認証、これはつまり、指紋認証などです。

これらのいくつかの要素のうち、2つ以上のものが組み合わさっていると「セキュリティ的に十分」であると言われます。銀行口座の場合、カードを持っていて、かつ、暗証番号を知らないといけないので、所持による認証と記憶による認証の2要素が組み合わさっていると言えます。暗証番号が知られてもカードを盗られなければ問題ありません。このため、セキュリティ的には十分であると言えるのです。

ただし、カードを紛失したり、パスワードがバレている場合は、実質1要素による認証になっているので危険です。すぐにパスワードを変えたり、口座を止めてもらうなどの対応が必要です。

Amazonやtwitterのアカウント

twitterのアカウントはよく「乗っ取られた」という話を聞きます。しかし、大抵の人はは数字4桁よりも強いパスワードを採用しているはずです。何故銀行は乗っ取られないのにtwitterは乗っ取られるのか。twitterは所持による認証も身体的特徴による認証も無いからです。パスワードだけ知っていればログインできます。*2なのですぐ乗っ取られるわけです。