gayuu_fujinaの愚草記 (別館→本館)

はてなダイアリーが更新できなくなったので、泣く泣くこちらに移行。使いづらいようなら、別なサービスへの引っ越しも検討する予定。元ダイアリー:http://d.hatena.ne.jp/gayuu_fujina/

4桁数字の暗証番号という負の遺産 - novtan別館

真面目な話、四ケタパスワードは人間の脳みその限界。
人間の記憶には、短期記憶と長期記憶があり、無意味情報*1であるパスワードや暗証番号を長期記憶にするまで繰り返し使うためには、まず短期記憶で覚える必要がある。
しかし、短期記憶で覚えられるワード数は5から9個と言われており、当然だけど、個人差がある。
4ワードならほぼ全ての人が短期記憶で覚えられるけど、6ワード、8ワードとなると個人差で覚えられない人達が結構出てくる。
12桁なんてのは、メモにでも書かないと無理なのだ。*2
そこで、短期記憶を経由せずに長期記憶にするための「ごろあわせ」を利用し始めると、それ自体がもう脆弱性になる。*3
結論として、生体認証と短パスワードのハイブリッドがモアベターになるんだけど、今度はイミフな「究極のプライバシーを登録したくない」とか言い出して進まない罠。
…指紋そのものが登録される訳じゃねーっつの。
Web話に言及されているが、

ウェブによるアクセスというのはもう存在自体がセキュリティーホールみたいなものであるという意識が中の人には必要なんです。ウェブシステムで求められるセキュリティーってのはATMやらとはパラダイム自体が違うんです。

http://d.hatena.ne.jp/NOV1975/20140210/p1

これは本当に説明するのが難しい。
元エントリは可能な限り平易な文章で判りやすく説明していると思うけど、「正規ハードウェアとセットになったIDを前提としたシステム」と言う辺りで理解できない人達が出てくるんじゃないかな?
結局のところ、「誰でも使えるインターネットシステム」で「ネット内でやり取りされるのは簡単に複製・生成できるデジタル信号」という世界で、「簡単に*4本人であると証明する手段」は、恐ろしく限られているという事。
ATMでは、複製困難な「ICカード」を持っていることが「本人である条件の1つ」とする事でセキュリティを担保し、パスワードとセットで本人と識別している。
しかし、インターネットで入力している「ID」は単なる文字列、デジタルデータであり、誰でも知っていれば入力できてしまう。
これが根本的に「存在自体がセキュリティーホール」と言われてしまう理由。
だから、将来的には、NFCを利用したICチップで個人認証するか、iPhone5Sのようにアップルが溜め込んだ生体認証情報で個人認証するか、認証用のハードウェアが各端末に標準搭載されるようになっていくんじゃないかなぁ、と思う。
ていうか、Webでクレカが番号と有効期限だけで使えるという、恐ろしく脆弱な方法を使っていて、利用者は怖くないのかと本気で不思議に思うし。

*1:パスワードの強度UPにはランダム性が求められる

*2:メモに残す時点でセキュリティ的には最悪だ!

*3:パスワード突破は「辞書」と呼ばれるパスワードに利用されやすいものをデータベース化している。当然、ごろあわせなんてのは辞書に載るから

*4:これが重要!