パスワード認証とは｜弱点・安全な運用 | london3.jp

概要

パスワード認証とは、本人だけが知っている文字列（パスワード）を入力させて本人確認を行う、最も基本的な認証方式です。認証の3要素のうち「知識情報（本人が知っていること）」を用います。

導入が簡単で広く普及していますが、漏えい・盗み見・推測・使い回しといった弱点が多く、単独では安全性が不十分です。そのため、近年は多要素認証やパスワードレス認証への移行が進んでいます。

詳細（弱点・狙われ方）

弱点・攻撃	内容
ブルートフォース攻撃	総当たりで突破される（短いパスワードほど危険）。
辞書攻撃	よくある単語・パスワードで突破される。
パスワードリスト攻撃	使い回しを悪用され、別サービスで突破される。
盗み見・キーロガー	入力を覗き見・記録されて盗まれる。
フィッシング	偽サイトで入力させられ盗まれる。

パスワード認証のキーワードは「知識情報」と「単独では弱い」。弱点を補うのが多要素認証。保存時はハッシュ化＋ソルトが頻出ポイントです。

安全な運用と対策

利用者側

長く複雑なパスワードにする。意味のある語や使い回しを避ける。
サービスごとに異なるパスワードを使い、パスワード管理ツールを活用する。
多要素認証を有効にする。

システム側

パスワードは平文ではなくハッシュ化＋ソルトで保存する。
アカウントロック・ログイン監視を実装する。
過度に頻繁な定期変更の強制は避け、漏えい時のみ変更を促す運用が推奨される。

かつては「定期的な変更」が推奨されましたが、近年のガイドラインでは「長く強固なパスワード＋多要素認証」「漏えい時に変更」が重視されています。最新の考え方も押さえておきましょう。

関連・発展（パスワードレス）

パスワードの弱点を根本的に解消する動きとして、パスキー（FIDO）などのパスワードレス認証が普及しつつあります。公開鍵暗号と端末の生体認証を組み合わせ、フィッシングにも強い仕組みです。パスワード認証の限界を理解することが、これらの技術の意義の理解につながります。

試験での問われ方

「知識情報による認証はどれか」→ パスワード認証。
「パスワードを安全に保存する方法はどれか」→ ハッシュ化＋ソルト。
「パスワード認証の弱点を補う方式はどれか」→ 多要素認証。