暗証番号
暗証番号(あんしょうばんごう)または個人識別番号(こじんしきべつばんごう:英: personal identification number, PIN)は、システムと使用者の間で共有する秘密の番号パスワードであり、そのシステムでの使用者の認証に使われる。稀に個人認証番号ともいう。
概要
[編集]一般に使用者がシステムを利用する際、公開の使用者識別子(ID、トークン)と秘密のPINの入力を要求される。ユーザーIDとPINを受け付けると、ユーザーIDに対応するPINを参照し、それを受け付けたPINと比較する。入力した番号とシステム内に格納されている番号が一致した場合のみアクセスが許可される。
PINが最も多く使われるのはATM利用時だが、デビットカードとクレジットカードの形でPOSの信用照会でも、利用が広がっている。
ヨーロッパでは、クレジットカード利用時に署名するという従来からの方法から、代わりに信用照会端末でPINを入力するという方法に置き換わりつつある。イギリスとアイルランドでは、EMVというICカードの規格と共に、PINが導入されたため、この方式を 'Chip and PIN' と呼ぶ。
それ以外の世界各地では、EMV導入以前からPINが使われていた。金融以外の分野では、GSM携帯電話で、利用者が4桁から8桁のPINを入力できる。このPINはSIMカードに記録される。
2006年、暗証番号の発明者と言われる James Goodfellow は、大英帝国勲章 (OBE) を授与された[1]。
長さ
[編集]PINの概念は、ATMの発明者ジョン・シェパード=バロンに遡る。1967年、彼は顧客が銀行口座から現金を引き出す効率的な方法を考えていて、自動販売機モデルがまさに最適だと思いついた。認証のためにシェパード=バロンが最初に思い描いたのは6桁の番号であった。これは彼が確実に覚えていられる桁数だったためである。しかし彼の妻が4桁の方がよいと言ったため、それが最もよく使われる桁数になった[2]。ISO 9564-1 では、PINを4桁から12桁としている。しかし同時に「ユーザビリティを考慮すると、PINの桁数は6桁を超えるべきではない」と注記している[3]。
生成
[編集]- Natural PIN
- PANを暗号化して作成するPIN。PIN生成鍵 (PGK) とトリプルDESを使う。生成された暗号文を十進数で表しPINとする。Natural PIN はカードごとにあり、変更されないし、ユーザーが変更することもできない。
- Offset PIN
- Natural PIN にオフセット値を加えたもので、任意のPINを生成できる。例えば、Natural PIN が 1111 で、ユーザーが指定したPINが 5555 だった場合、その差(オフセット)である 4444 を格納しておく。PINを入力したとき、オフセットを引くと Natural PIN が得られ、それが合っているか検証できる。
セキュリティ
[編集]金融関係ではPINは4桁の番号、つまり 0000 から 9999 であることが多い。すなわち1万種類の番号がありうる。しかし銀行によっては、同じ数字だけの番号(1111、2222など)や連続する数字(1234、2345など)や利用者の誕生日や0から始まる番号を許さない場合もある。システムにPINを入力する際、3回まで試行できることが多く、盗んだカードをブロックされずに正しいPINを入力して使える確率は0.06%である。もちろんこれは全ての番号が同じ確率で、犯人が何の情報も持っていない場合であって、かつてのPIN運用方法ではそうはいかなかった[4]。
2002年、ケンブリッジ大学の大学院生 Piotr Zieliński と Mike Bond は、IBM製ATM IBM 3624 でのPIN生成システムのセキュリティ上の欠陥を発見した。このATMの方式はその後の装置の多くでそのまま採用されていた。その方法は decimalization table attack と呼ばれ、銀行のコンピュータシステムにアクセス可能であれば、カードのPINを平均15回の推測で特定できる[5][6]。
携帯電話のPINを3回入力ミスすると、サービスオペレータが提供する個人ブロック解除コード (PUC) を入力するまでSIMカードがブロックされる。PUCを10回入力ミスすると、そのSIMカードは完全にブロックされ、新たなSIMカードに交換してもらうしかなくなる。
「PIN番号」という呼称
[編集]PIN番号という呼称もよく使われている。英語でも "PIN number" という言い方がよく使われている。しかし、これらはRAS症候群であり(正しくはPI番号)、「ATMマシン」や「RAS症候群」と同じである。
PINに関するデマ
[編集]欧米でチェーンメールで流布している噂として、ATMでPINを逆の順序で入力するとお金は普通に引き出せるが同時に警察に即座に通報される、というものがある[7]。これは強盗にカードを奪われ、PINを聞かれた際の対抗手段を意図しているが、実際のところそのような機能を持ったATMはまだ存在しない。
脚注・出典
[編集]- ^ “Royal honour for inventor of Pin”. BBC (2006年). 2007年11月5日閲覧。
- ^ “The Man Who Invented The CASH Machine”. BBC (2007年). 2007年3月2日閲覧。
- ^ ISO 9564-1:2002 Banking -- Personal Identification Number (PIN) management and security -- Part 1: Basic principles and requirements for online PIN handling in ATM and POS systems
- ^ Kuhn, Markus (July 1997) (PDF). Probability theory for pickpockets — ec-PIN guessing 2006年11月24日閲覧。.
- ^ Zieliński, P & Bond, M (February 2003) (PDF). Decimalisation table attacks for PIN cracking. University of Cambridge Computer Laboratory 2006年11月24日閲覧。.
- ^ “Media coverage”. University of Cambridge Computer Laboratory. 2006年11月24日閲覧。
- ^ “Reverse PIN Panic Code”. 2007年3月2日閲覧。