不特定多数の客を相手にインターネットを使った取引をするときに、いつも使っているパソコンと異なる場合には追加の確認をします、という金融機関や店が増えている。外出先から使ったり、ブラウザのバージョンが少し上がったり、といった少しの違いで異なるパソコンとみなされることがある。そういう場合は毎回追加のお尋ねが来ることになるので、うんざりしている。だいたい、同じパソコンからアクセスしていることを確認するということは、相手のパソコンが何かを調べているということで、少しやりすぎである。インターネットを使っているときに知らない相手に情報が漏れないように設定を強化すると、こういったサイトは「違う環境から接続しています」と決めつけてくる。その場合、次もまたその次も決めつける。正確には「あなたが誰かをこっそり調べようとしたけれど無理でした」と正直に言うべきである。客がユーザーID、パスワードをきちんと管理していなくて別の人に使わせたり、盗まれたりした状態と同じ可能性があると疑うのは勝手だが、自分の調査能力の低さを棚上げして正規の訪問者に毎回参考人聴取しますというのは、客としてはあまり気分がいいものではない。
今時はパソコンだけでなく、スマートフォンでもパソコンのWebページを見ることができるので、いつも同じパソコンで接続しているという時代ではない。しかし、端末認証は決まって3パターンしか記憶しない。同じ業者のプログラムを使っているのだろうか、決まって3つである。家のパソコン、ノートパソコン(家から接続)、ノートパソコン(学校から接続)、でもう3台とみなされる。この状態で電車の中でスマートフォンからアクセスすると「いつもと違う」と怒られてしまう。まだ3台目なのに。
客に対して端末で認証をするのはやめたらどうか。
本当はインターネットの世界に運転免許証みたいな存在のものがあればいいのだが、それに相当する電子証明書はなかなか普及しない。今バランスが取れているのは、
- 参照だけだったら、とりあえずID、パスワードだけで許してしまう。
- 登録している情報を更新したり、お金のやり取りが発生したりする場合は、今アクセスしているWebブラウザでやり取りしている情報とは別のもので再確認する。
という感じだろうか。参照だけあったら許すということが正解かどうかはわからない。1回目だけは別のものを使って確認を行うという方法もある。
「別のもの」は何がよいか
「別のもの」が何がよいのかも考慮が必要。ID、パスワードを知っている人なら取引ができますという状態の時、ID、パスワードをたくさん増やしても意味がない。ドアにたくさん鍵をかけても、鍵をかけた人がすべて同じ鍵束につなげて持ち歩いてしまえば少し鍵を開けるのに時間がかかる程度の気休めにしかならない。
テレホンバンキングが始まったとき、金融機関は乱数表を郵送した。乱数表にはたくさん数字が書かれていて、指定された場所の文字を打ち込む。指定場所を毎回変えることで、打ち込む数字が毎回異なるので、電話のプッシュ音を盗聴しても無駄になる。暗証番号は電話機に入力しているところをのぞき見されたら暗証番号がばれてしまう。でも、乱数表は速読術ができなければのぞき見された程度ではすべて覚え切れない。ただし、乱数表は紙なので簡単にコピーされてしまう。
そこで、乱数を表示する機械(ワンタイムパスワードトークン)を配る金融機関もある。この機械はその時使うパスワードしか表示しないし、そのパスワードは使い回しができない。その機械を操作できる人しかパスワードがわからないので安全だとされている。ただ費用が高い。
最近は、携帯やスマートフォンのメールに第2のパスワードを送るというやり方もある。乱数表はID、パスワードと一緒に管理していると意味がなかった。パスワードの機械は、通帳と印鑑を別の場所に保管するという文化に近いが、普段使わない機械なので万が一盗まれると盗まれたことに気づかないという欠点があった。携帯メールなら、携帯電話が盗まれたら気づく人が比較的多いし、普段使わない機械を管理する必要がないということでも優れている。携帯電話は金融機関や店側が新たにお願いしなくても客が持っているものを使うことができる。ID、パスワードだけを拾った人にとって、どの携帯電話に第2のパスワードが届くのかはわからないので、そういう意味でも優れている。
ただし、比較的優れている、というだけで、利用者が管理しなければいけないということには変わらない。印鑑と通帳を管理していた頃と同じ程度の管理義務は利用者側にある。
