PIN は一般的な概念であり、RFC のような統一標準は基本的に存在しません。
パスワードにも厳密な RFC のような仕様定義はなく、用途ごとに標準が分散しています。
→ つまり “PIN/パスワード” そのものを定義する標準はないが、
認証方式の枠組み・要件は標準化文書に存在する、という状況です。
- パスワード = ネット越し可能な"合言葉認証"(知識要素)
- PIN = デバイスやカードの"ローカル解錠番号"(所有要素の一部)
1. 定義と存在スコープ
| 項目 |
パスワード |
PIN |
| 目的 |
サービス/アカウントの認証 |
端末/カード/機器のローカル認証 |
| スコープ |
サーバ/ネットワーク越しに照合可能 |
端末内で完結(ネットに出ない) |
| 使える文字 |
文字・数字・記号が一般的 |
数字のみが一般的(4--6桁が多い) |
| 認証の分類 |
知識要素(Something you know) |
知識+所有要素のロック解除 |
2. 規格・ガイドライン
パスワード(直接定義の標準はないが実務標準がある)
-
NIST SP 800-63:パスワード運用の事実上の国際標準
- 8文字以上推奨
- 定期変更は強制しない
- 辞書パスワード禁止
- 貼り付け入力OK
- 漏洩チェック推奨
- RFC 7617:Basic認証の仕様
- OWASP ASVS:Web認証の実装ベストプラクティス
PIN(PINそのものの標準は無い)
- 金融での利用は ISO/IEC 9564(PIN管理)
- ICカードのPIN運用は EMV規格
- スマホPIN/パスコードは OSベンダー仕様(Android/iOS/Windows)
ポイント
パスワードは ネットワーク越しの認証標準が多数
PINは 用途ごとの業界・製品仕様に依存
3. 共通点と明確な違い
共通点
- 秘密情報で本人確認を行う
- 総当たり攻撃(ブルートフォース)が脅威
- 試行制限やロックアウトが有効な防御
違い
| 観点 |
パスワード |
PIN |
| 送信される? |
通信に乗る(TLSで暗号化) |
出ない。ローカル完結 |
| 盗まれた時の影響 |
どこからでも悪用されうる |
端末がないと悪用できない |
| 保護の主役 |
サーバの認証制御・ポリシー |
端末の保護機構(暗号領域/試行制限) |
| 想定される脅威 |
フィッシング/漏洩/DB流出 |
端末盗難・のぞき見・総当たり |
| 強さの源泉 |
長さ・複雑さ・管理 |
端末のロック制御と隔離 |
4. 歴史的な流れ
| 時代 |
できごと |
| 1960--70s |
コンピュータ認証にパスワードが登場(互いに文字列を照合) |
| 1980--90s |
ATMと銀行カードの普及 → 機器アンロック用途としてPINが普及
|
| 2000--2010 |
Webサービス爆発 → パスワード乱用と漏洩時代 |
| 2015〜 |
NIST「定期変更不要」など"人間中心ルール"に転換 |
| 2020〜 |
パスワードレス(FIDO/Passkey)へ移行開始 |
パスワードはネットが拡張しすぎた世界では弱く、
PINは端末の信頼に依存して生体認証も組み合わせたりして生き延びた
5. 現代のベストプラクティス
| 領域 |
推奨 |
| パスワード運用 |
長くて本人に覚えやすいパスフレーズ / 使い回し禁止 / 2FA / 漏洩検知 |
| PIN運用 |
端末の試行制限を必須 / 生体認証と併用 / 端末暗号化の上で使う |
| 共通 |
フィッシング対策ができて初めて安全と言える |
