暗証番号はなぜ4桁なのか

昨日、こういうタイトルの新書を読み終えた。
ちょうどICカード免許証に暗証番号を設定したところだったので、これを題材にする。

ICカード免許証の暗証番号も4桁だった(ただし、2種類設定)。

その新書の解説によると、
・暗証番号の桁数は基本的に文化の問題であり、外国では6桁だったりすることもある
・日本の場合、銀行のATMが4桁暗証番号の発祥元である
・当時、ATMにフルキーボードをつけるにはコストがかかるのでテンキーだけにした
・桁数が多すぎると、暗証番号を忘れる人が続出して大変なので少なめにした
・ATMの設置で先行していた三菱銀行(当時)が不利になるように、他の銀行が話し合って4桁にした(三菱銀行が最初からやり直しになるように仕向けた)
とのこと。

冗談とも本気とも取れないものの、まあ、まともな解説だった。

当初はキャッシュカードの磁気ストライプに暗証番号が埋め込まれていたが、これはセキュリティ上問題がある(簡単に読み取られてしまう)ので、後日、センターとの通信方式に改められている。

4桁暗証番号を採用したことによる問題点はいくつかあり、ほとんどはその書籍で説明されていた。
が、それらとは別に特に私が指摘したい問題が2つほどある。

1. どんな目的であっても暗証番号が4桁あればいいという勘違いの発生

キャッシュカードの暗証番号が4桁でこれまで曲がりなりにもやってこれたのは、暗証番号を入力する相手が銀行のATMであり、カメラで監視されており、入力回数が制限されており、通信経路も専用回線になっていたからだ。
要は4桁でも何とかなるような状況で使用していたのだ。
この点を見落として、どのような状況でも暗証番号4桁でセキュリティはばっちりだと思い込んでいる人が出てきてしまった。
日帰り温泉などにある暗証番号形式の貴重品ロッカーやデビットカードなんて、セキュリティ的には結構まずいんじゃないだろうか。

2. 4桁の数字でも何種類もあると結局覚えきれないという問題

簡単に忘れないように4桁にしたということだが、今の時代、キャッシュカードは2枚、クレジットカードは3枚、運転免許証には暗証番号2つ、携帯電話にも暗証番号と、一人あたり10個以上の暗証番号が、当たり前に必要になっている。
こんなにもたくさん覚えきれるはずがないので、結局は同じ番号を使いまわすか、紙に書くかのいずれかしかやりようがなくなっているのが現実だ。
セキュリティレベルは当然、「一番弱いところ」で評価されることになる。
この前テレビで、ひったくったハンドバッグの中にあった携帯電話の暗証番号をまず専用の装置で探り出し、その番号を使って同じバッグの中にあったキャッシュカードを使ってしまう(同じ暗証番号の可能性が高い)という犯罪があったと紹介されていた。
暗証番号を設定させる側の論理だけで、どんどん4桁設定させたところで、それはもはやセキュリティの用をなしていないと断言できる。


と、他人事のように書き連ねていたが、思い起こせば身近で、同じような深刻な問題が発生していた。

あまり仕事のことはブログに書かない主義なのだが、貴重な事例なので敢えて紹介する。
会社の商品をインターネットで販売しようというアイデアを先輩が出した。
IDとパスワードで顧客を管理すればいいと当然のようにのたまう。
もちろん、パスワードは数字4桁だなどという話ではない。

が、しかし、この先輩の言っていることは、実は「暗証番号4桁」の問題と、本質的には同じだと思う。
桁数が違うだけで「IDとパスワードで認証すれば、セキュリティ上の問題はない」と、深く考えずに決め付けているのは、上に書いた「暗証番号は4桁あればいいという勘違い」と根っこは同じだ。もちろん、この場合、SSLだけでは問題の解決にならない。

また、今の世の中、IDとパスワードだらけで、覚え切れないという問題も暗証番号とまた同じだ。IDは仕方ないにしても、パスワードは同じものを使いまわすか、紙に書くかするしかないのが現実だ。
供給者側の論理だけで、「IDとパスワードでいいじゃないか」と言ってしまうのは安直に過ぎる。

さて、先輩のご機嫌を損ねないように、どう説明したものか...

ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント

この記事へのトラックバック

  • 「カード」にもいろいろありますが・・・

    Excerpt: いろいろな種類があるカードは、まず支払機能(決済機能)があるかないかで大きく二つに分けることができます。支払い機能がないものは、一般企業の社員証やフィットネスクラブなどの会員証に使われている身分証明書.. Weblog: クレジット&キャッシング カード業界のコールセンターからみた裏側 racked: 2007-01-27 23:44
  • 『暗証番号はなぜ4桁なのか?』岡嶋裕史 を読んで

    Excerpt: 暗証番号はなぜ4桁なのか? (光文社新書)セキュリティを本質から理解する岡嶋裕史 内容紹介 何気ない行動、ちょっとした会話から、重要情報はもれている! 相次ぐ盗難キャッシュカードによる現金引き出し事件.. Weblog: そういうのがいいな、わたしは。(読書日記) racked: 2008-09-06 13:35