むかーしむかし、ATMがまだCDという名前だった時代、キャシュカードの暗証番号は磁気カード上に記録されておりましたとさ…コワイコワイ

JALの6桁数字が如何に脆弱かというのが話題ですが、世の中の利便性の基準が4桁数字の暗証番号になってしまっているというのはなぜかと考えるとこれはもう完全にキャッシュカード誕生から今に続く負の遺産だと言ってよいでしょうね。

あるんですよ。「パスワードが長くて覚えにくい。短くさせろ」というクレーム。

キャッシュカードの場合はそのハードウェアがひとつのハードルになっているという理由でパスワード側の脆弱性を利便性と引き換えにすることがある程度は可能です。でもオンラインでハードウェアを用いない認証というのはパスワードが脆弱であれば全体的に脆弱になってしまうことがわかりますよね。リバースブルートフォースなんてインターネットバンキングでは15年前から対策している…はず…僕の関係していたところは当然対策している…攻撃方法ですけどこれにしたって「誰かが間違えまくったせいで会社ごとアクセスできなくなったどうしてくれる」ってクレーム来ますからねー。しばらくすると解除されますよって話だけどね。

正規ハードウェアとセットになったIDを前提としたシステムにおいてパスワードは盗難時の最後の砦に過ぎないと考えることが出来ますから、一つの根本的な対策はID側のセキュリティーを上げる（ただし不慮の事態に弱くなるけど）ということで、キャッシュカードのICカード化（ATMの認証方式も経過形である端末認証からようやくホスト認証に切り替わりましたね）が急ピッチだったわけです。そういう点からすると、ウェブによるアクセスというのはもう存在自体がセキュリティーホールみたいなものであるという意識が中の人には必要なんです。ウェブシステムで求められるセキュリティーってのはATMやらとはパラダイム自体が違うんです。

でも、それをお客さんに説明するのってすごく難しいんですよ。なぜATMは4桁の暗証番号で「よい」のか。なぜウェブはそれじゃダメなのか。

ビットコインなんてのも出てきて、これからますますウェブそのものが人々の活動の基盤になっていくだろう中で、個人のアイデンティティを証明するのが生きている人間というハードウェアじゃなくなるところまで行き着くかもしれません。そうなった時に自分が自分であることを証明するためのものって一体何になっているんでしょうかね。