パスワードとPINの違い
下の記事で言う「ネットワーク」とは、グローバルネットワークのことだろう。つまり、銀行内部のコンピュータとキャッシュカードの間の連絡はそれとは別だ、という話なのだと思う。要するに、インターネットネットワークはパスワードでいい(どのパソコンからでも、他人から借りたパソコンでも盗んだパソコンからでもつながることができる)が、銀行のコンピュータとの接続はPINでないといけないわけだ。どちらも電線を通じて、あるいは空間を通じて流れる情報だのに、混線しないのが不思議である。
簡単にまとめるなら、「パスワードは不特定多数(インターネット)相手の個人識別番号」「PINは特定相手(たとえば銀行やパソコンメーカー)への個人識別番号」となるのではないか。
(以下引用)
パスワードはその内容がそのまま、もしくは暗号化されて、ネットワークを通じてサーバ側に届き、サーバ内で保存されているパスワード情報と合致しているかを判定します。
一方、PINはネットワークには流れることを想定していません。(※1)PCやスマホの場合は、入力した端末内で、その端末内に保存されているPIN情報との照合を行います。ATMでキャッシュカードやクレジットカードを使う場合は、カードに内蔵されたICチップの中にあるPIN情報との照合を、ATM端末を通じて行います。
この照合の結果、合致すれば端末・ICカード内のデジタルな認証情報が取り出され、その情報だけがネットワークを通じてサーバに伝達され、サーバ上で再度認証が行われます。認証情報だけが伝達される仕組みなので、PINそのものは端末からネットワークに流出しないのです。
この認証情報の取り出しには、PINの「知識」と、PIN情報が格納されている端末もしくはICカードの「所有」が必要なので、二要素認証になります。ですので、4桁の数字だけであってもセキュリティが高いといえるのです。
しかしながら、ネットワーク上に流れる数字だけのパスワードのことをPINとか暗証番号と呼んだり、ネットワーク上に流してしまっているケースがあります。元来の運用方法のように別の認証要素と組み合わせている場合や、専用端末&閉域網での運用ならともかく、単独使用や、インターネットに流れるような場合は安全とはいえません。
セキュリティ業界的な話になるのですが、そろそろ「パスワード」と「PIN・暗証番号」を区別して定義し直した方が整理されて分かりやすいのでは、と考えています。(※1)
【修正:2019年2月26日14時10分更新 (※1)初出時の文章について、誤解を招く表現があったため、一部記述を修正しています。】