暗証番号

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動先: 案内検索

暗証番号(あんしょうばんごう)または個人識別番号(こじんしきべつばんごう:テンプレート:Lang-en-short)は、システムとユーザーの間で共有する秘密の番号パスワードであり、そのシステムでのユーザーの認証に使われる。稀に個人認証番号ともいう。

概要

一般にユーザーがシステムを利用する際、公開のユーザー識別子(ID、トークン)と秘密のPINの入力を要求される。ユーザーIDとPINを受け付けると、ユーザーIDに対応するPINを参照し、それを受け付けたPINと比較する。入力した番号とシステム内に格納されている番号が一致した場合のみアクセスが許可される。

PINが最も多く使われるのはATM利用時だが、デビットカードクレジットカードの形でPOSでも利用が広がっている。ヨーロッパではクレジットカード利用時に署名するという従来からの方法が、代わりにPINを入力するという方法に置き換わりつつある。イギリスとアイルランドではEMVというICカードの規格と共にPINが導入されたため、この方式を 'Chip and PIN' と呼ぶ。それ以外の世界各地ではEMV導入以前からPINが使われていた。金融以外の分野では、GSM携帯電話でユーザーが4桁から8桁のPINを入力できる。このPINはSIMカードに記録される。

2006年、暗証番号の発明者と言われる James Goodfellow は、大英帝国勲章 (OBE) を授与された[1]

長さ

PINの概念は、ATMの発明者ジョン・シェパード=バロンに遡る。1967年、彼は顧客が銀行口座から現金を引き出す効率的な方法を考えていて、自動販売機モデルがまさに最適だと思いついた。認証のためにシェパード=バロンが最初に思い描いたのは6桁の番号であった。これは彼が確実に覚えていられる桁数だったためである。しかし彼の妻が4桁の方がよいと言ったため、それが最もよく使われる桁数になった[2]。ISO 9564-1 では、PINを4桁から12桁としている。しかし同時に「ユーザビリティを考慮すると、PINの桁数は6桁を超えるべきではない」と注記している[3]

生成

Natural PIN
PANを暗号化して作成するPIN。PIN生成鍵 (PGK) とトリプルDESを使う。生成された暗号文を十進数で表しPINとする。Natural PIN はカードごとにあり、変更されないし、ユーザーが変更することもできない。
Offset PIN
Natural PIN にオフセット値を加えたもので、任意のPINを生成できる。例えば、Natural PIN が 1111 で、ユーザーが指定したPINが 5555 だった場合、その差(オフセット)である 4444 を格納しておく。PINを入力したとき、オフセットを引くと Natural PIN が得られ、それが合っているか検証できる。

セキュリティ

金融関係ではPINは4桁の番号、つまり 0000 から 9999 であることが多い。すなわち1万種類の番号がありうる。しかし銀行によっては、同じ数字だけの番号(1111、2222など)や連続する数字(1234、2345など)や0から始まる番号を許さない場合もある。システムにPINを入力する際、3回まで試行できることが多く、盗んだカードをブロックされずに正しいPINを入力して使える確率は0.06%である。もちろんこれは全ての番号が同じ確率で、犯人が何の情報も持っていない場合であって、かつてのPIN運用方法ではそうはいかなかった[4]

2002年、ケンブリッジ大学の大学院生 Piotr Zieliński と Mike Bond は、IBM製ATM IBM 3624 でのPIN生成システムのセキュリティ上の欠陥を発見した。このATMの方式はその後の装置の多くでそのまま採用されていた。その方法は decimalization table attack と呼ばれ、銀行のコンピュータシステムにアクセス可能であれば、カードのPINを平均15回の推測で特定できる[5][6]

携帯電話のPINを3回入力ミスすると、サービスオペレータが提供する個人ブロック解除コード (PUC) を入力するまでSIMカードがブロックされる。PUCを10回入力ミスすると、そのSIMカードは完全にブロックされ、新たなSIMカードに交換してもらうしかなくなる。

「PIN番号」という呼称

PIN番号という呼称もよく使われている。英語でも "PIN number" という言い方がよく使われている。しかし、これらはRAS症候群であり、「ATMマシン」や「RAS症候群」と同じである。

PINに関するデマ

欧米でチェーンメールで流布している噂として、ATMでPINを逆の順序で入力するとお金は普通に引き出せるが同時に警察に即座に通報される、というものがある[7]。これは強盗にカードを奪われ、PINを聞かれた際の対抗手段を意図しているが、実際のところそのような機能を持ったATMはまだ存在しない。

脚注・出典

テンプレート:Reflist
  1. テンプレート:Cite web
  2. テンプレート:Cite web
  3. ISO 9564-1:2002 Banking -- Personal Identification Number (PIN) management and security -- Part 1: Basic principles and requirements for online PIN handling in ATM and POS systems
  4. テンプレート:Cite paper
  5. テンプレート:Cite paper
  6. テンプレート:Cite web
  7. テンプレート:Cite web