電話番号がログインID

インターネットでは、お互いがあらかじめ持ち合わせている情報を2つ以上出してもらうことで本人かどうかを確認する。最も使われているのはID・パスワード認証というもので、IDとパスワードは預金通帳と印鑑の関係のようにたとえられるが、両方とも他の人が使いにくいようにしておくと安全である。
IDとパスワードは以下のように管理されるように努めなければならない。また、ITシステムが対応できなければならない。さらには人もITシステムも完璧はないから、もし一部が守られなかった場合の対応まで考えておかなければならない。

  • IDは利用者本人だけが利用しなければならない。
  • IDとパスワードの組み合わせは他人から利用されないようにしなければならない。
  • パスワードは本人だけに安全に伝えなければならない。IDもできれば安全に伝えなければならない。
  • IDは他人が悪用する場合に備えて変更可能にしなければならない。パスワードも同様。
  • IDは他人または元利用者が悪用するおそれがある場合に備えて無効化可能にしなければならない。
  • パスワードは他人が類推できてはいけない。IDもなるべく類推できないことが望ましい。
  • IDは連番にしないことが望ましい。
  • IDは複雑、桁数可変、文字種多様であることが望ましい*1。パスワードも同様*2

両方とも本人しか知らないと、ID・パスワードが正しいのにシステムがうまく動かないときや、パスワードを変更するときに、管理者が利用者を補助することが難しいので、管理者はIDだけは聞いてもいいですよ、ということになっている。
ある通信会社が、通話明細や請求書を表示するためのWebサイトにおいて、契約者の電話番号をログインIDにした。「IDもなるべく類推できないことが望ましい。」「変更可能にしなければならない。」の2項目に触れるが、後者の「変更可能」については、電話番号を変えることができなくもないが、他人にも教えてある番号であることから頻繁に変えるものではないのであまり推奨される事例ではない。

電話番号がわかりません

ところで、この会社が他社と資本提携したので、そのサイトもログインIDが電話番号になった。
わたしが契約していたのはカーナビ専用機である。カーナビに接続すると勝手に電源が入って、勝手に回線を接続する通信機であり、電話やメールはできない。電話番号は発信するのには必要で機械の中には入っているのだろうが、利用者は電話番号を使うことはない。
通信会社サイトの運営者は、もともとユーザーIDの配布の手間を省いたつもりなのである。ユーザーIDは自分の電話機に、いわゆるエフゼロ(ファンクションキー + 0)を入力して自分で調べて下さい、ということにしたかったらしい。ところがカーナビ専用機にはテンキーどころかひとつもボタンがない。どこかの書類に書いてあるのかと思って探したところ

電話番号の確認方法 一般の電話機: 「メニューボタン」→「0」

と書いてあった。紙には一切電話番号を載せないのに、インターネットのユーザーIDでは使う。普通逆ではないかと。
サポートに電話をしようとしたら

電話番号と暗証番号による認証が必要です

電話番号を入力しないとお客様扱いはされず、自動応答システムで門前払いにされてしまう。
カーナビ専用のサポート窓口が別にあり、幸い電話番号入力不要だった。事情を説明したら少し待たされたが、個人情報を口頭で伝えることで電話番号を教えてもらうことができた。電話番号と契約時の暗証番号を使ってサイトにもログインすることができた。

*1:ただし、桁数可変や字形類似文字(例えば、大文字Iと小文字lと数字に1)の混在は、利用者の誤解を招き、管理者による補助を難しくするので過度にパターンを増やさないようにすることも求められる

*2:パスワードは利用者が自ら設定するため、パターンが多い方が望ましい